Indsigelse mod at hæfte for korttransaktion godkendt i MitID

Sagsnummer:322/2023
Dato:18-01-2024
Ankenævn:Henrik Waaben, Kritte Sand Nielsen, Nanna Vetter Viberg Nielsen, Morten Bruun Pedersen og Anna Marie Schou Ringive.
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for korttransaktion godkendt i MitID
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilhørende Visa/Dankort -277.

Den 27. marts 2023 blev der med klagerens betalingskort gennemført en kortbetaling på 1.029 EUR svarende til 7.669,66 DKK til betalingsmodtager D.

Banken har fremlagt en udskrift over klagerens aktive identifikationsmidler i MitID. Det fremgår af udskriften, at der ikke i perioden fra den 22. juni 2022 og frem til den omtvistede betaling blev tilføjet yderligere enheder til klagerens MitID. Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -5218, som den 22. juni 2022 blev installeret på klagerens android-mobiltelefon, model SM-G781B.

Banken har fremlagt en udskrift fra Nets. Banken har anført, at den viser, hvilken tekst klageren fik præsenteret i MitID, før kortbetalingen blev godkendt. Af udskriften fremgår:

”Betal 1029,00 EUR til [betalingsmodtager D] fra kort [xxx277].”

Den 11. april 2023 gjorde klageren indsigelse mod betalingen over for banken. Af indsigelsen fremgår:

”…

Jo, jeg har ringet til Dansk bank, afd. indsigelse om uheld situation før påske, onsdag d. 5.april

Jeg har forklaret dem min uheld situation ved opringning-

Jeg vil igen forklare om min uheld situation, det skete mandag d.27.marts.

Vedr. Mail, det stod ny opdatering MitID i linket, så trykkede jeg på linket, det skal jeg betale på mit visakort, så trykkede jeg på godkend i MitID, så opdagede jeg falsk ny opdatering i MitID, det stod Euro 1.006 ,

Jeg kom for sent at slette godkend i MitID.

Jeg tjekkede min konti efter torsdag d. 29. marts i min mobilbank. Jeg var forskrækket at se mange penge i min konti. Jeg skulle aldrig at røre at trykke på linket.

…”

Banken har oplyst, at banken den 12. april 2023 afviste klagerens indsigelse.

Parternes påstande

Den 26. maj 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre hende 7.669,66 DKK.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun blev udsat for svindel.

Hun modtog en e-mail, hvori hun blev anmodet om at opdateret sit MitID. Hun har efterfølgende fundet ud af, at den e-mail var falsk. I e-mailen skulle man anvende sit MitID for at opdatere, hvilket hun gjorde. Det kan se ud som om, at hun selv har foretaget købet, men det har hun ikke. Hun var udsat for svindel.

Hun har efterfølgende læst, at mange ældre har modtaget samme e-mail, og at det er svindel. Hendes oplysninger må være blevet misbrugt, hvilket hun har forklaret banken, men banken troede ikke på hende.

Hun kan overhovedet ikke genkende købet og spærrede med det samme sit hævekort i banken. Hele forløbet har været ubehageligt. Det er ubehageligt, at nogen har misbrugt hendes oplysninger, men også at banken afviser hende.

Danske Bank har til støtte for frifindelsespåstanden anført, at den omtvistede kortbetaling blev korrekt registreret og bogført.

Kortbetalingen blev autoriseret med klagerens MitID og dermed godkendt med stærk kundeautentifikation. Dette understøttes af, at MitID var installeret på klagerens android-telefon, og at klageren tillige har oplyst at have godkendt betalingen i MitID.

Det må have stået klart for klageren, at hun var ved at foretage en betaling på 1.029 EUR til en for hende ukendt modtager, idet følgende tekst blev vist til klageren i MitID forud for godkendelse af betalingen: ”Betal 1029,00 EUR til [betalingsmodtager D] fra kort xxx277”.

Der foreligger ikke oplysninger om, at klageren befandt sig i en presset situation i forbindelse med betalingen.

Klager hæfter selv for 8.000 DKK, da klageren ved groft uforsvarlig adfærd muliggjorde betalingen, jf. betalingslovens § 100, stk. 4.

Banken bemærker, at klageren muligvis har været udsat for svindel, men der er ikke tale om svindel, som banken hæfter for, idet klageren selv har autoriseret betalingen med sit MitID, og da både beløbet og modtageren fremgik af teksten i MitID forud for klagerens godkendelse af betalingen.

Banken har til støtte for afvisningspåstanden anført, at det vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, for at Ankenævnet kan vurdere, hvordan omstændighederne ved transaktionen helt præcist var.

Ankenævnets bemærkninger

Den 27. marts 2023 blev der med klagerens Visa/Dankort -277 gennemført en kortbetaling på 1.029 EUR svarende til 7.669,66 DKK til betalingsmodtager D.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -218, som var installeret på klagerens enhed, og at klageren forinden godkendelsen havde fået en tekst præsenteret i MitID, hvoraf fremgik, at hun var i færd med at godkende en betaling på 1.029 EUR til betalingsmodtager D fra kort -277.

Den 11. april 2023 gjorde klageren indsigelse mod betalingen. I indsigelsen oplyste klageren, at hun havde modtaget en e-mail, hvoraf fremgik, at hun skulle opdatere MitID. Klageren trykkede på linket og bemærkede, at hun skulle betale med sit betalingskort, hvilket hun godkendte i MitID. Klageren opdagede efterfølgende, at anmodningen om opdatering af MitID var falsk, og spærrede sine kort i banken.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Ankenævnet finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Henrik Waaben, Kritte Sand Nielsen og Nanna Vetter Viberg Nielsen – udtaler:

Vi finder det godtgjort, at klageren må have godkendt kortbetalingen på 1.029 EUR til betalingsmodtager D i sit MitID.

Vi finder derfor, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Anna Marie Schou Ringive – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.294,66 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.