Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion godkendt i MitID
| Sagsnummer: | 689/2023 |
| Dato: | 18-04-2024 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Klaus Tougaard Kristensen, Morten Bruun Pedersen og Poul Erik Jensen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion godkendt i MitID |
| Indklagede: | Danske Andelskassers Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilhørende betalingskort -395.
Den 17. oktober 2023 blev klagerens betalingskort anvendt til en betaling til en udenlandsk tøjvirksomhed S på 2.810 EUR svarende til 21.173,69 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun modtog en SMS, som fremstod som om den var fra MobilePay, i en SMS-tråd, som indeholdt andre SMS’er, som retmæssigt var fra MobilePay. Indholdet af SMS’en tilskyndede hende til at opdatere MobilePay for at kunne fortsætte med at sende og modtage penge via MobilePay. Hun fulgte et link i SMS’en, opdaterede de nødvendige ændringer, og godkendte med MitID. 30 minutter senere modtog hun en besked fra sin netbank, hvoraf fremgik, at hun havde godkendt, at en ukendt part kunne trække ca. 2.800 EUR svarende til ca. 21.000 DKK fra hendes konto. Hun kendte ikke til denne betaling, hvorfor hun straks kontaktede sin bank og spærrede sit betalingskort og MitID for at sikre, at alt var lukket ned. Ca. to dage senere blev beløbet trukket på hendes konto.
Banken har fremlagt en udskrift af en e-mail til Nets af 20. oktober 2023, hvoraf fremgår, at banken anmodede Nets om at sende den betalingsoplysninger vedrørende en betaling af 17. oktober 2023 kl. 12:55 til S på 2.810 EUR foretaget med betalingskort -395.
Banken har fremlagt en udskrift af en e-mail fra Nets af 24. oktober 2023, hvoraf fremgår, at betalingen på 2.810 EUR blev valideret med MitID-app, og at der forud for betalingen fremgik følgende tekst i MitID:
”Betal 2810,00 EUR til [S] fra kort xxx[-395]”
Klageren gjorde indsigelse mod betalingen ved et indsigelsesskema. Af dette fremgår blandt andet:
”…
|
Beskriv hvad der er sket: … |
Jeg modtager en besked fra mobilepay, i samme sms - tråd som andre mobilepay opdateringer, (som er korrekte sms-er, og dermed benytter de samme nummer som mobilepay) hvor der står jeg skal godkende ændringer/opdateringer, så jeg forsætte med at sende/modtage penge. Jeg opdaterer de ændringer der er tale om og godkender med Mit-ID. 30 minutter efter, får jeg en besked fra min net-bank om at jeg har godkendt, at de(ukendt) kan trække 2800 euro (21.000 Dkk) fra min konto, hvilket jeg ikke kender til. Derefter ringer jeg til min bank, spærre mit kort samt spærre mit Nem-Id. Efterfølgende kan jeg nu se at den ukendte modtager er [S], hvilket jeg ikke ved hvad er, eller har købt/godkendt et beløb på 2800 euro til. |
|
Havde du kortet på købstidspunktet? … |
Ja, og det er kun mig, der har haft adgang til mit kort |
|
Hvor opbevarede du dit kort? … |
I min pung |
|
Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse mod beløbet. |
Jeg har ikke foretaget dette køb.
|
|
Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? … |
Ja, på SMS |
…”
Ved meddelelse af 24. oktober 2023 godtgjorde banken klageren 13.173,69 DKK, svarende til klagerens tab fratrukket 8.000 DKK.
Parternes påstande
Den 14. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal godtgøre hende 8.000 DKK.
Danske Andelskassers Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun er blevet svindlet.
Hun så ikke beløbet på 2.800 EUR i sin MitID, da hun godkendte. Hun havde aldrig godkendt 2.800 EUR og slet ikke været så panisk, da hun modtog beskeden fra banken, om at der var godkendt 2.800 EUR, hvis hun var klar over, at hun havde godkendt en betaling på 2.800 EUR.
Hun godkendte 00,00 DKK, som var det man plejede at godkende, når man skulle opdatere ændringer. Det var denne besked, hun swipede godkend til. Beløbet må have ændret sig, i det hun swipede. Hun åbnede MitID, kiggede, godkendte og kiggede derefter tilbage på sin computerskærm. I de sekunder er der sket ændringer i beløbet.
Hun ønsker en nedsættelse eller tilbagebetaling af selvrisikoen på 8.000 DKK, da det er ekstremt højt, især når hun ikke har handlet groft uforsvarligt. Hun har tværtimod fulgt alle forholdsregler.
MobilePay blev selv hacket, og hun fandt først ud af det, da hun modtog beskeden fra banken. Derefter spærrede hun alle sine betalingstjenester inden for 30 minutter.
Danske Andelskassers Bank har til støtte for frifindelsespåstanden anført, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Ved transaktionen er der anvendt stærk kundeautentifikation, jfr. betalingslovens § 7, nr. 30. MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31.
Klageren blev præsenteret for teksten ”Betal 2810,00 EUR til [S] fra kort xxx[-395]” i sin MitID. Klageren har godkendt denne betaling.
Klageren har derved ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID. Klageren hæfter derfor for op til 8.000 DKK for den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Bankens afgørelse om betaling af selvrisiko er på linje med andre lignende afgørelser afsagt af Ankenævnet i sager om phishing.
Banken har til støtte for afvisningspåstanden anført, at hvis bevismaterialet for den principale påstand ikke er tilstrækkeligt til at oplyse sagen, vil det kræve yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4. og sagen skal derfor afvises.
Ankenævnets bemærkninger
Klageren var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilhørende betalingskort -395.
Den 17. oktober 2023 blev klagerens betalingskort anvendt til en betaling til en udenlandsk tøjvirksomhed S på 2.810 EUR svarende til 21.173,69 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun modtog en SMS, som fremstod at være fra MobilePay, i en SMS-tråd, som indeholdt andre SMS’er, som retmæssigt var fra MobilePay. Indholdet af SMS’en tilskyndede hende til at opdatere MobilePay for at kunne fortsætte med at sende og modtage penge via MobilePay. Hun fulgte et link i SMS’en, opdaterede de nødvendige ændringer, og godkendte med MitID. 30 minutter senere modtog hun en besked fra sin netbank, hvoraf fremgik, at hun havde godkendt, at en ukendt part kunne trække ca. 2.800 EUR svarende til ca. 21.000 DKK fra hendes konto. Hun kendte ikke til denne betaling, hvorfor hun straks kontaktede sin bank og spærrede sit betalingskort og MitID for at sikre, at alt var lukket ned. Ca. to dage senere blev beløbet trukket på hendes konto.
Banken har fremlagt en udskrift af en e-mail til Nets af 20. oktober 2023, hvoraf fremgår, at banken anmodede Nets om at sende den betalingsoplysninger vedrørende en betaling af 17. oktober 2023 kl. 12:55 til S på 2.810 EUR foretaget med betalingskort -395.
Banken har fremlagt en udskrift af en e-mail fra Nets af 24. oktober 2023, hvoraf fremgår, at betalingen på 2.810 EUR blev valideret med MitID, og at der forud for betalingen fremgik følgende tekst i MitID: ”Betal 2810,00 EUR til [S] fra kort xxx[-395]”
Klageren gjorde indsigelse mod betalingen ved et indsigelsesskema, hvori klageren blandt andet oplyste, at hun ikke havde foretaget købet, at hun var blevet udsat for svindel, og at hun via SMS var blevet kontaktet og bedt om at bekræfte eller oplyse sine personlige oplysninger eller betalingskortoplysninger.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Klageren har anført, at det af MitID fremgik, at hun godkendte 00,00 DKK, som var det man plejede at godkende, når man skulle opdatere ændringer. Det var denne besked, hun swipede godkend til. Beløbet må have ændret sig, i det hun swipede.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Inge Kramer og Klaus Tougaard Kristensen – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 2.810 EUR i sin MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 2.180 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.