Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer: 605/2023
Dato: 14-06-2024
Ankenævn: Henrik Waaben, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktion. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede: Coop Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion. Installation af MitID-app på svindlers enhed.

Sagens omstændigheder

Klageren var kunde i Coop Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 8. september 2023 blev klagerens Visa/dankort anvendt til en betaling på 390 EUR, svarende til 2.939,59 DKK til en beløbsmodtager, (X), som klageren ikke kan vedkende sig. Af en udskrift fra Nets fremgår, at korttransaktionen blev gennemført med sikkerhedsløsningen ”3-D Secure Fuld” og med MitID. Transaktionen blev bogført på klagerens konto den 12. september 2023. Af teksten der blev sendt til MitID-app fremgik:

”Betal 390,00 EUR til [X] fra kort xx9554”

Banken har oplyst, at transaktionen blev godkendt i klagerens MitID-app -3705, der var installeret den 8. september 2023.

Om baggrunden for transaktionen har klageren oplyst, at han blev udsat for phishing på internettet, hvor kriminelle via en falsk PostNord hjemmeside fik adgang til hans personlige oplysninger, herunder MitID, brugernavn og adgangskode. De kriminelle nåede at oprette en ny MitID-app på en anden enhed i hans navn og misbrugte hans kreditkort, inden han fik det spærret. Han blev bedt om at åbne et link til PostNord, mobile version, og skulle i den forbindelse som ”ny bruger” verificeres ved at åbne en push-up besked med en QR-kode og har ikke modtaget yderligere beskeder.

Banken har fremlagt en udskrift af klagerens MitID-log. Det fremgår heraf, at der den 8. september 2023 var registreret to MitID-apps tilknyttet klagerens MitID: nr. -4452 (aktiveret på Iphone 7 Plus den 07. januar 2022 og spærret den 13. september 2023) samt nr. -3705 (aktiveret på Iphone 14,2 den 08. september 2023 og spærret den 13. september 2023.  

Klageren har gjort indsigelse mod transaktionen over for banken. I forbindelse med indsigelsen anførte klageren blandt andet:

”Jeg fastholder stadig, at jeg ikke har godkendt transaktion af 390,00 EUR. Det fremgår af den af Coop fremsendte rapport fra Nets (bilag A) , at transaktionen er godkendt med MitID app, og at, når transaktionen er godkendt med MitID app, sendes der ikke engangskode. Transaktionen er imidlertid godkendt med en ny MitID app 3705, som jeg aldrig har anvendt, og hvis eksistens jeg først er blevet opmærksom på i forbindelse med denne sag. Jeg formoder, at oprettelse af aktiveringskode til denne ny MItID app 3705 er sket, da jeg skulle åbne et link til Postnord og som ny bruger verificeres ved at åbne en pushup besked med QR kode. Som bruger er jeg efterhånden blevet vant til at godkende med en QR kode, men var uvidende om, at jeg hermed har givet svindler adgang til at åbne et nyt MitID 3705 og uberettiget anvende det til transaktionen.”

Banken har oplyst, at transaktionen eller sikkerhedssystemerne ikke var ramt af fejl, svigt mv.

Af MitID-loggen og bankens kommentarer hertil fremgår endvidere følgende aktiviteter den 8. september 2023:

Tidspunkt

Hændelse

Bankens kommentar

19:44

App-autentificering lykkedes. MitID identifikationsmiddel-ID -52

Der foretages login på www.mitid.dk, som sker med godkendelse via Klagers eksisterende MitID app (-52), og der anmodes om adgang til at ændre oplysninger/oprette ny MitID app.

19:45

Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil.

 

20:45

Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID profil.

Efter en time tildeles adgang til at logge på mitid.dk igen og oprette ny MitID app. Dette er en sikkerhedsmekanisme, så oprettelse af ny MitID app altid sker over en periode på minimum 1 time.

20:56

App-autentificering lykkedes. MitID identifikationsmiddel-ID -52

Der foretages igen login på www.mitid.dk, som sker med godkendelse via Klagers eksisterende MitID app (-52), og der anmodes om adgang til at ændre oplysninger/oprette ny MitID app.

21:00

Aktiveringskode – til ny MitID app oprettet. MitID identifikationsmiddel-ID -05.

Ny MitID app valideres med genereret aktiveringskode.

21:00

. Aktiveringskode – til ny MitID app valideret MitID identifikationsmiddel-ID -05

Midlertidig pinkode til ny MitID app bliver sendt på SMS til -353 (Klagers telefon).

21:00

Midlertidig PIN-kode til MitID app sendt på SMS. MitID identifikationsmiddel-ID -05

 

21:08

Midlertidig PIN-kode – til MitID app valideret. MitID identifikationsmiddel-ID -05

Midlertidige pinkode fra SMS sendt til Klagers telefon indtastes, og ny MitID app bliver dermed valideret.

21:08

App – Ny MitID app aktiveret. MitID identifikationsmiddel-ID -05

Ny MitID app er aktiveret, og der sendes notifikation på sms til -353 (Klagers telefon).

Banken har oplyst, at det på baggrund af klagerens MitID log kan konstateres, at klageren selv ad flere omgange har været involveret i installationen og godkendelsen af den seneste MitID-app, og at der blev sendt midlertidig pinkode og notifikationer i forbindelse med installationen af den seneste MitID-app.

Banken har oplyst, at der blev givet adgang til log ind på klagerens MitID, og at der i den forbindelse to gange med klagerens MitID-app -4452 blev swipet til/godkendt følgende:  ”Log på hos MitID for at se eller ændre i din MitID profil".

Parternes påstande

Den 1. oktober 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Coop Bank skal betale 2.939,59 DKK til ham.

Coop Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han var udsat for phishing.

Han har hverken godkendt en ny MitID-app eller indtastet en aktiveringskode. Yderligere har han hverken bekræftet eller medvirket til installationen af en ny MitID-app.

Kriminelle har gennem en falsk PostNord hjemmeside fået adgang til hans personlige oplysninger, herunder MitID brugernavn og adgangskode. Han åbnede linket til, hvad han troede var PostNord, og verificerede sig med en push-up besked med en QR-kode og har i den forbindelse givet svindlerne adgang til oprettelse af en ny MitID -3705. Transaktionen på 390 EUR er godkendt på ny MitID-app -3705, som han aldrig har anvendt og først er blevet opmærksom på senere.

Endvidere har han ikke bevidst godkendt installation af en ny MitID-app, da han ikke har godkendt nogen ny MitID-app og i den forbindelse ikke indtastet en aktiveringskode. Han har siden opdaget en notifikation dateret den 8. september 2023, som han først bemærkede et par dage senere. Denne notifikation indeholdt en midlertidig pinkode, som han hverken har anvendt eller delt med andre. Han har været i kontakt med MitID-support, som informerede ham om, at det er muligt at oprette en app i hans navn uden at kræve bekræftelse af oprettelsen.

Coop Bank har til støtte for frifindelsespåstanden anført, at transaktionen er godkendt med klagerens MitID-app. I forbindelse med godkendelse af transaktionen var der tydelige og synlige oplysninger om både beløb og butik.

Godkendelse af transaktionen er sket med en ny MitID-app, som klageren selv har medvirket til at installere/godkende, da klageren på sin telefon har modtaget en midlertidig pinkode samt flere notifikationer om installation af en ny MitID-app. Yderligere har banken fremlagt MitID-log, hvor det fremgår, at klageren selv ad flere omgange har været involveret ved installation og godkendelse af den nye MitID-app.

Det fremgår af MitID-loggen, at den midlertidige pinkode er sendt til klagerens telefonnummer og er indtastet i forbindelse med validering af den nye MitID-app, og det må lægges til grund, at klageren selv må have delt koden.

Klageren har med sin medvirken til installation af den nye MitID-app, herunder deling af den midlertidige pinkode, og ved ikke at have reageret på tydelige notifikationer, som blev sendt til hans telefon, handlet groft uagtsomt, hvorfor banken er berettiget til at opkræve en selvrisiko på 8.000 DKK.

Coop Bank har til støtte for afvisningspåstanden anført, at såfremt klageren gør gældende, at han ikke har modtaget og delt den midlertidige pinkode og notifikationer på sin telefon, skal sagen afvises, da behandlingen vil forudsætte yderligere bevisførelse.

Ankenævnets bemærkninger

Klageren var kunde i Coop Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 8. september 2023 blev klagerens Visa/dankort anvendt til en betaling på 390 EUR, svarende til 2.939,59 DKK til en beløbsmodtager, (X), som klageren ikke kan vedkende sig. Af en udskrift fra Nets fremgår, at korttransaktionen blev gennemført med sikkerhedsløsningen ”3-D Secure Fuld” og med MitID. Den 12. september 2023 blev betalingen bogført på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at han ikke har foretaget transaktionen, og at han hverken har godkendt en ny MitID-app eller indtastet en aktiveringskode. Endvidere har han hverken bekræftet eller medvirket til installationen af en ny MitID-app.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på tredjemands enhed, herunder om hvordan SMS-koden og notifikationer kom tredjemand i hænde, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.