Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-mail.

Sagsnummer:85/2024
Dato:30-08-2024
Ankenævn:Henrik Waaben, Morten Winther Christensen, Jimmy Bak, Rolf Høymann Olsen og Anna Marie Schou Ringive.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishing-mail.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for korttransaktion i forbindelse med modtagelse af phishing mail.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde et betalingskort -9987.

Den 26. januar 2023 blev der foretaget en kortbetaling på 11.536 kr. med klagerens kort til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog en mail, som fremstod som værende fra Spotify, vedrørende opdatering af betalingskort. Forinden havde hun opdateret sit nye betalingskort på andre streamingstjenester, og da hun så modtog en mail fra Spotify vedrørende opdatering af sit betalingskort, troede hun, at mailen var fra dem. Klageren har endvidere under klagesagen oplyst, at hun aldrig har set eller godkendt et beløb på sin MitID-app, da hendes MitID fejlede, da hun var i gang med at logge ind.

Banken har oplyst, at klageren selv godkendte betalingen med sin personlige MitID-app -2285, som var installeret på klagerens telefon, Iphone 11 Pro Max den 21. juni 2022. Banken har desuden fremlagt udskrift fra Nets med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 11536,00 DKK til [A] fra kort xx9987”

Transaktionen blev bogført den 30. januar 2023.

Klageren gjorde indsigelse til banken den 30. januar 2023. Klageren har under indsigelsen oplyst følgende:

”… Da jeg ikke havde opdateret mit kort til Spotify var min formodning at det var en mail fra dem. Så jeg har været inde og opdaterer mit kort og godkende med nem id men den viste så fejl (at betalingen ikke gik igennem) og jeg tænkte at jeg ville kontakte Spotify når jeg fik tid. … ”

Banken besvarede klagerens indsigelse den 31. januar 2023 og godtgjorde klageren beløbet fratrukket 8.000 kr. Klageren klagede herefter over bankens afgørelse.

Parternes påstande

Den 8. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre 8.000 kr.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun er uenig i, at hun har handlet uansvarligt, da hun ikke har haft en chance for at gennemskue, at der var tale om svindel, før skaden var sket. Hun formoder, at hendes kort er blevet misbrugt.

Hun har hverken set eller godkendt et beløb på 11.536 kr. i sin MitID-app. Da hun var i gang med at logge ind, fejlede MitID-appen, og hun lukkede derefter appen. Da hun opdagede fejlen, bemærkede hun hurtigt, at skaden allerede var sket, og hun fik straks spærret sit kort.

Hun handlede hurtigt og forsvarligt, da hun opdagede, at hun var offer for svindel. Det usædvanlige og chokerende var, at betalingen gik igennem på trods af fejlen. Dette kan betyde, at svindlerne har kunnet overtage hendes skærm eller MitID og godkende købet. Hun ville aldrig have godkendt noget, hun ikke selv havde bestilt eller købt, uanset beløbet.

Hun er chokeret over, at MitID og bankerne ikke beskytter deres kunder bedre imod denne slags svindel, da det sker for alt for mange mennesker.

I samme uge havde hun modtaget et nyt betalingskort fra banken, da hendes gamle betalingskort var udløbet. Derfor opdaterede hun alle sine kortoplysninger på samtlige streamingtjenester. Det var derfor ikke usædvanligt, at hun skulle opdatere sine oplysninger. Hun kontaktede banken gentagne gange for at forklare de tilfældigheder, der gjorde, at hun modtog et nyt betalingskort fra banken og samtidig skulle opdatere kortoplysningerne. Hun blev snydt af en af disse mails.

Hun har ikke handlet uansvarligt, da hun har været udsat for ekstrem professionel svindel, som ingen ville have en chance for at opdage, før skaden var sket. Hun handlede hurtigt, og da hun opdagede svindlen, fulgte hun alle trinene for indsigelsen.

Danske Bank har til støtte for frifindelsespåstanden anført, at korttransaktionen på 11.536 kr., som klageren har gjort indsigelse imod, er korrekt registreret og bogført.

Korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation (to-faktor-autentifikation). MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen, og på den baggrund, må det lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.

Klageren videregav selv sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var, A, og at beløbet på 11.536 kr. ville blive trukket på klagerens betalingskort. Det måtte være klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.

Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 kr. i henhold til betalingslovens § 100, stk. 4.

Banken har godtgjort klageren den del af beløbet, der overstiger 8.000 kr., og banken har i øvrigt ikke har handlet ansvarspådragende.

Til støtte for afvisningspåstanden gøres det gældende, at klagerens påstand om, at hun ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation, samt at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun havde et betalingskort -9987.

Den 26. januar 2023 blev der foretaget en kortbetaling på 11.536 kr. med klagerens kort til en betalingsmodtager, A, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at hun modtog en mail, som fremstod som værende fra Spotify, vedrørende opdatering af betalingskort. Forinden havde hun opdateret sit nye betalingskort på andre streamingstjenester, og da hun så modtog en mail fra Spotify vedrørende opdatering af betalingskort, troede hun, at mailen var fra dem. Klageren har endvidere oplyst, at hun opdaterede kortet og godkendte med MitID, men at betalingen ikke gik igennem.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor beløb og beløbsmodtager fremgik ved godkendelsen.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 kr., jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.