Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer: 357/2023
Dato: 18-04-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Morten Winther Christen-sen, Janni Visted Hansen, Rolf Høymann Olsen og Kim Ko-rup Eriksen.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede: Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et Visa/dankort tilknyttet sin private konto og et Visa/dankort tilknyttet sin virksomhedskonto.

Den 21. maj 2023 kl. 21:24 blev der foretaget en intern overførsel fra klagerens budgetkonto til hendes private konto.

Den 21. maj 2023 kl. 21:25 og 21:26 blev der foretaget to korttransaktioner á 5.200 kr. på klagerens kort tilknyttet henholdsvis hendes private konto og hendes virksomhedskonto til en betalingsmodtager, en kryptovalutabørs, BC, som klageren ikke kan vedkende sig. Transaktionerne blev bogført på klagerens konti den 23. maj 2023.

Banken har oplyst, at betalingerne blev godkendt i klagerens MitID-app med serienummer -7392, som var installeret den 21. maj 2023 kl. 21:17, og at betalingerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klageren gjorde indsigelse mod transaktionerne over for banken. I indsigelsesblanketterne anførte klageren blandt andet:

”… Der er blevet hævet 5200kr. fra Vilnius, Litauen. Jeg har ikke været i landet. Det er ikke mig, der har brugt kortet eller hævet pengene. Mit kort er blevet misbrugt. Jeg ved ikke hvordan. …”

Klageren anmeldte endvidere sagen til politiet. I anmeldelsen anførte klageren blandt andet:

”…Jeg har en vare til salg… på dba.dk: … Jeg får en henvendelse fra en mulig køber den 21.5, som skriver, at vedkommende er interesseret i… lampen. Køber betaler for både lampe og fragt. Jeg bliver bedt om at oplyse kortoplysninger til DAO's (fragtselskabets) hjemmeside. Jeg indtaster ikke CVC. Hensigten er således, at det er mig, der får overført ca.870kr for både lampe og fragt via DAO. Det er først på sidste side, hvor jeg har godkendt forsendelsen, at jeg bliver mistænksom, fordi der står: 'sende' og ikke 'send' (på korrekt dansk). Jeg går med det samme på netbank spærrer begge mine visa/dankort. Og spærrer mit mitid. Det der kan undre meget er, at der to dage senere er hævet 5200DKK på begge mine kort. Ikke blot mit private visa/dankort, hvor jeg tastede kortoplysninger ind. Men ligeledes mit firmakort, som jeg IKKE har givet nogen som helst oplysninger omkring. Aldrig. …”

Banken godtgjorde klageren tabet fratrukket 8.000 kr.

Banken har fremlagt en udskrift vedrørende klagerens MitID. Det fremgår heraf, at der den 21. maj 2023 var registreret fire MitID-apps tilknyttet klagerens MitID: nr. -7469 (aktiveret på iPhone 15.2 den 28. december 2022), nr. -4779 (aktiveret på iPhone 7 den 12. januar 2022), nr. -7392 (aktiveret på iPhone 12 mini den 21. maj 2023 kl. 21;15 og spærret samme dag kl. 21:37) samt nr. -0083 (aktiveret på iPhone 15.2 den 21. maj 2023). Der fremgår endvidere blandt andet følgende aktiviteter den 21. maj 2023:

Tidspunkt

Hændelse

19:11

Godkendelse – logget på med MitID

 

19:11

App – autentificering lykkedes

MitID identifikationsmiddel-ID:… -7469

19:12

Oplysninger - MitID bruger anmodet adgang til at ændre oplysninger i MitID profil

 

20:12

Oplysninger - MitID bruger tildelt adgang til at ændre oplysninger i MitID profil

 

21:15

App – autentificering lykkedes

 

21:15

Godkendelse – logget på med MitID

 

21:15

Aktiveringskode – til ny MitID app oprettet

21:16

Aktiveringskode – til ny MitID app valideret

21:16

Midlertidig PIN-kode – til MitID app sendt på SMS

21:17

Midlertidig PIN-kode – til MitID app valideret

21:17

App – ny MitID app aktiveret

MitID identifikationsmiddel-ID: …-7392

Banken har oplyst, at det på baggrund af klagerens MitID log kan konstateres, at der den 21. maj 2023 med klagerens MitID-identifikationsmiddel med serienummer -7469 blev godkendt oprettelse af et MitID-identifikationsmiddel med serienummer -7392. Et MitID identifikationsmiddel (et MitID identifikationsmiddel med et specifikt serienummer) kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til.

Banken har oplyst, at der den 21. maj 2023 kl. 19:11 blev givet adgang til log ind på klagerens MitID, og at der i den forbindelse med klagerens MitID-identifikations-middel/MitID-app nr. -7469 blev swipet til/godkendt følgende: ”Log på MitID.dk for at se eller ændre i din MitID profil”. Der blev anmodet om oprettelse af et nyt MitID-identifikationsmiddel, og der blev i den forbindelse sendt en notifikations-SMS til klagerens registrerede telefonnummer med følgende ordlyd:

”Du har bedt om adgang til at ændre oplysninger på MitID. dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har endvidere oplyst, at der den 21. maj 2023 kl. 20:12 blev sendt endnu en notifikations-SMS med følgende ordlyd:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support + 45 33980010.”

Banken har endvidere oplyst, at der med klagerens MitID-app nr. -7469 den 21. maj 2023 kl. 21:15 blev swipet til/godkendt følgende: ”Log på MitID.dk for at se eller ændre i din MitID profil”, at der kl. 21:16 blev sendt en SMS-kode til klagerens registrerede telefonnummer hos MitID, og at der på dette tidspunkt ikke var sket en ændring af det hos MitID registrerede telefonnummer. Banken har oplyst, at SMS’en indeholdt følgende tekst:

”Midlertidig PIN kode til MitID app: xxxxxxxx

VIGTIGT! Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller supporten”

Banken har endvidere oplyst, at koden blev indtastet samme dag kl. 21:17, hvorefter et nyt MitID-identifikationsmiddel med serienummer -7392 var aktiveret 21:17.

Klageren har oplyst, at hun fik en SMS fra banken om, at der var oprettet en mobil netbank. Hun blev mistænksom og fik derefter straks spærret sit MitID og kort til sin private konto. Banken har oplyst, at SMS’en fra banken blev sendt kl. 21:19.

Parternes påstande

Den 22. juni 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal godtgøre hende minimum 7.625 kr. svarende til en selvrisiko på 375 kr.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at transaktionerne skyldtes tredjemands misbrug af hendes MitID.

Banken har ikke godtgjort, at betingelserne for, at hun hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 eller 5, er opfyldt.

Hendes hæftelse udgør højest 375 kr., jf. betalingslovens § 100, stk. 3.

Hun blev via en falsk DAO-hjemmeside franarret sin personlige sikkerhedsforanstaltning.

Hun havde en lampe til salg på dba.dk. En køber henvendte sig og tilbød den fulde pris for lampen (800 kr.) og at købe varen med fragt. Køberen sendte et link til fragtfirmaet DAO.

Den Blå Avis benytter sig allerede af fragtfirmaet DAO. Således blev hun ikke mistænksom, da hun fik et link til (en falsk) DAO-hjemmeside, som 100 % lignede DAO’s faktiske hjemmeside. Hun opdagede ikke, at det var et fishing-link. Med intentionen om at modtage penge for salget via dba.dk indtastede hun sine kortoplysninger – udelukkende til sit private Visa/dankort.

Hun godkendte to gange med MitID for at modtage penge for salg af lampe og fragt via dba.dk via fragtfirmaet DAO’s falske hjemmeside. Hun har således to gange godkendt en overførsel via MitID, som, troede hun, var en godkendelse af at modtage penge.

Hun har ikke oplyst/givet sit cpr. nummer. Hun gav udelukkende kortoplysninger til sit private Visa/dankort, ikke firmakortet.

Hun har ikke med forsæt oplyst detaljer om en personlig sikkerhedsløsning.

Hun har handlet i god tro på en henvendelse om et salg på dba.dk.

Hun har ikke ageret groft uforsvarligt.

Registrering af brug af et betalingsinstrument er ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigtagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Det var først, da hun fik en SMS fra banken om, at der var oprettet en mobil netbank, at hun blev mistænksom. Hun blokerede straks sit private Visa/dankort samt MitID-adgang indenfor et minut efter, at hun havde fået SMS’en fra banken. Hun har udelukkende netbank på sin computer. Først i dette øjeblik vidste hun, at der var tale om fusk.

I starten var hun meget forvirret, da hun var opmærksom på, at hun havde givet Visa/dankort kortnummer til sin private konto og to gange godkendt på MitID (det, hun troede, var) modtagelsen af penge fra et salg på dba.dk via DAO. Derfor var hendes politianmeldelse af sagen også forvirret. Hun havde utrolig svært ved at forstå, hvordan svindlerne havde fået adgang til hendes firma-Visa/dankort, da hun ikke havde givet sit cpr. eller kortoplysninger til sit firmakort. Derfor troede hun i starten, at nogle har haft adgang til hendes pung.

Andre større pengeinstitutter har oplyst, at de i en tilsvarende situation ville holde en kunde skadesløs første gang, men at kunden selv skulle hæfte, hvis det skete igen.

Hun henviser til Ankenævnets afgørelse, sagsnummer 207/2019 som præcedens.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at betaleren efter betalingslovens § 100, stk. 4, hæfter med op til 8.000 kr. af tabet, blandt andet hvis en betaler ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ved godkendelsen af et nyt MitID identifikationsmiddel udviste klageren groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionerne, som klageren har gjort indsigelse imod. Banken var derfor berettiget til at vurdere, at klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3. 

Pålogning skete på, og godkendelsesanmodningen blev sendt til en enhed, hvor klagerens MitID identifikationsmiddel med serienummeret -7469 var installeret. Et MitID identifikationsmiddel med et specifikt serienummer kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til. En sådan fysisk swipe-bevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom en fysisk swipe-bevægelse/godkendelsesanmodning ikke kan fjerngennemføres. Det kan derfor kun være klageren selv, der foretog en fysisk swipebevægelse ved godkendelse af oprettelse af et nyt MitID identifikationsmiddel.

Klageren har anvendt stærk kundeautentifikation til oprettelse og aktivering af et nyt MitlD-identifikationsmiddel. Det nye MitID identifikationsmiddel -7392 blev installeret med indtastning af klagerens personlige bruger-ID, to godkendelser via klagerens eksisterende MitID identifikationsmiddel med minimum en times mellemrum samt indtastning/videregivelse af unik SMS-pinkode (sendt til klagerens telefonnummer), som klageren blev gjort opmærksom på, at klageren aldrig burde dele med andre.

Der blev sendt en unik SMS-pinkode til klagerens registrerede telefonnummer hos MitID. Der blev enten foretaget indtastning eller videregivelse af koden. Af den fremsendte SMS med pinkode fremgik meget præcist og tydeligt: "VIGTIGT! Del aldrig denne kode med andre. Heller ikke med en som påstår at komme fra banken eller supporten".

Klageren har anført, at hun først blev mistænksom, da hun fik en SMS fra banken om, at der var oprettet en mobil netbank. Der blev sendt to advarselsnotifikations-SMS'er angående ændringer i MitlD til klagerens telefonnummer med minimum en times mellemrum (henholdsvis kl. 19:11 og kl. 20:12), og der blev ligeledes kl. 21:16 sendt en unik SMS-pinkode til klagerens telefonnummer i forbindelse med aktivering af det nye MitlD-identifikationsmiddel, inden klageren kl. 21:19 modtog den nævnte SMS-besked fra banken vedrørende information om nyoprettet netbank. De første tilsendte advarselsnotifikations-SMS'er burde have givet klageren anledning til agtpågivenhed.

Ved godkendelsen af det nye MitlD-identifikationsmiddel gav klageren adgang til, at fremmede ville kunne anvende klagerens MitlD til alt, hvad MitlD kunne anvendes til, herunder oprettelse af ny mobilbank samt godkendelse af transaktioner på klagerens vegne ved anvendelse af klagerens kortoplysninger, som klageren videregav, og som der desuden også via anvendelse af MitlD kan opnås adgang til, herunder både private og erhvervsmæssige kortoplysninger.

Transaktionerne, som der er gjort indsigelse imod, blev godkendt med et MitID identifikationsmiddel, hvis oprettelse er blevet godkendt af klageren.

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at stillingtagen til klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et betalingskort tilknyttet sin private konto og et betalingskort tilknyttet sin virksomhedskonto.

Den 21. maj 2023 kl. 21:25 og 21:26 blev der foretaget to korttransaktioner på 5.200 kr. på hver af klagerens kort til en betalingsmodtager, en kryptovalutabørs, BC, som klageren ikke kan vedkende sig.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at hun havde en vare til salg på dba.dk. En køber henvendte sig og tilbød den fulde pris for varen samt at betale for fragt. Køberen sendte et link til fragtfirmaet DAO, og hun indtastede sine kortoplysninger til sit private Visa/dankort og godkendte to gange med MitID for at modtage penge for salg af varen og fragt. Hun har ikke oplyst/videregivet sit cpr. nummer eller oplysninger om sit Visa/dankort tilknyttet virksomhedskontoen til nogen.

Banken har anført, at klageren i sin MitID-app nr. -7469 godkendte aktiveringen af en ny MitID-app på tredjemands enhed, og at klageren enten indtastede eller videregav en unik SMS-pinkode, der blev sendt til hendes registrerede telefonnummer hos Mit-ID, hvorved hun ved groft uforsvarlig adfærd muliggjorde gennemførslen af den ikke vedkendte transaktion.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring aktiveringen af MitID-appen på tredjemands enhed, herunder om hvordan SMS-koden kom tredjemand i hænde, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.