Sagsnummer: | 477/2023 |
Dato: | 25-09-2024 |
Ankenævn: | Bo Østergaard, Christina Bryanth Konge, Andreas Moll Årsnes, Morten Bruun Pedersen og Elizabeth Bonde. |
Klageemne: | Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Indsigelse mod kortbetaling. Aktivering/indrullering af MitID på svindlers enhed. |
Indklagede: | Danske Andelskassers Bank |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører Indsigelse mod kortbetaling. Aktivering/indrullering af MitID på svindlers enhed.
Sagens omstændigheder
Klageren, som er født i 2006, var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilknyttet betalingskort -153. Klageren havde en iPhone 12, hvorpå hun den 18. december 2022 havde aktiveret MitID -496.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår:
”…
04-05-2023 20:01:33 … App – Ny MitID app aktiveret
04-05-2023 20:01:30 … Midlertidig PIN-kode – til MitID app valideret
04-05-2023 20:01:01 … Midlertidig PIN-kode – til MitID app sendt på SMS
04-05-2023 20:00:59 … Aktiveringskode – til MitID app valideret
04-05-2023 20:00:43 … Aktiveringskode – til MitID app oprettet
04-05-2023 19:59:49 … Godkendelse – logget på med MitID
04-05-2023 19:59:47 … App -autentificering lykkedes
…
04-05-2023 17:38:55 … Godkendelse – indtastet bruger-ID
04-05-2023 17:29:02 … Oplysninger – MitID bruger tildelt adgang til at ændre oplysninger i MitID-profilen.
04-05-2023 16:29:09 … App – autentificering lykkedes
04-05-2023 16:28:44 … Oplysninger – MitID bruger anmodet om adgang til at ændre oplysninger i MitID profil
04-05-2023 16:28:19 … Godkendelse – logget på med MitID
…”
Klageren har fremlagt en besked fra MitID af 4. maj 2023, hvoraf fremgår:
”…
Beskeder fra MitID
Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer….
…
Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på o…
...”
Den 4. maj 2023 kl. 20:00 blev der aktiveret et nyt MitID -987 på en iPhone 11.
Samme dag blev klagerens betalingskort -153 anvendt til en betaling på 894,94 EUR svarende til 6.749,80 DKK til en betalingsmodtager C, som klageren ikke kan vedkende sig. Af en udskrift fra Nets fremgår, at korttransaktionen blev gennemført ved godkendelse i MitID.
Om baggrunden for transaktionen har klageren oplyst, at hun havde en vare til salg på Tise. Hun blev kontaktet af en person T, der foregav at ville købe varen, og som meddelte klageren, at hun skulle bruge klagerens telefonnummer for at kunne sende en handelsanmodning til klageren. Klageren modtog herefter en SMS med et link, hvor hun blev bedt om at oplyse sine kortoplysninger, som hun skulle validere med MitID. Klageren var af den opfattelse, at hun skulle registrere sit kort i app’en, hvilket var sædvanligt at gøre i andre tilsvarende apps. Efter dette modtog klageren en oplysning om, at der var tekniske problemer, og at hun skulle prøve igen en time efter, hvorefter hun forsøgte at få det til at virke nogle gange yderligere. Da hun senere samme dag kontaktede person T, konstaterede hun, at person T havde blokeret hende, og at hun havde været udsat for svindel, hvorfor hun spærrede sit kort og ændrede sine MitID-oplysninger.
Ved bankens formular, indsigelse Q&A, gjorde klageren indsigelse mod betalingen. Af formularen fremgår blandt andet:
”…
Beskriv hvad der er sket: …
I forbindelse med at jeg ville sælge noget på Tise, var der en kvinde, som sendte et link til mig. Desværre troede jeg det var validt, da jeg ikke har brugt Tise før. Mine kortoplysninger blev derfor givet, da jeg trykkede på linket og troede det var standard for at kunne lave en handel.
…
Vælg en indsigelsesårsag for hver transaktion, og beskriv, hvorfor du gør indsigelse mod beløbet. …
Jeg har ikke foretaget dette køb.
Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? …
Ja, på SMS.
…”
Den 10. maj 2023 afviste banken klagerens indsigelse.
Klageren gjorde indsigelse mod bankens afvisning af 10. maj 2023.
Den 5. juli 2023 fastholdt banken sin afvisning.
Parternes påstande
Den 6. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal tilbagebetale hende 6.749,80 DKK.
Danske Andelskassers Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke validerede betalingen på 894,94 EUR. Hendes MitID oplysninger blev stjålet og misbrugt. Hun blev aldrig præsenteret for betalingen i sin MitID og blev ikke præsenteret for betalingsteksten.
Svindleren formåede at lave en digital skal udenom MitID. Hun blev derfor aldrig præsenteret for en besked om, at hun var i gang med at ændre eller udlevere oplysninger. Hun modtog en besked om, at der var tekniske problemer, og at hun skulle prøve igen om en time. Hun kan ikke forklare, hvordan svindlerne teknisk bar sig ad med at lave den digitale skal. Svindlerne vidste dog, hvad de gjorde, og hvordan de skulle bygge en integration mellem deres digitale løsning og MitID for at få folk til at falde i. Det hele virkede meget troværdigt.
Hun var i færd med at godkende en handel mellem hende og en svindler, som udgav sig for at ville købe en vare, hun havde til salg. Det var første gang, hun skulle sælge noget på Tise. Hun havde derfor ikke erfaring hermed.
MitID blev installeret på en iPhone 11. Hun havde ikke en iPhone 11 i husstanden. Det er derfor ikke hendes mobiltelefon, MitID blev aktiveret på.
Efter konstateringen af svindlen blev hendes betalingskort straks spærret.
Hun har ikke handlet forsætligt, og det kan ikke betragtes som groft uforsvarlig adfærd, når man får stjålet og misbrugt sine betalings- og MitID-oplysninger. Forholdet skal derfor ikke behandles efter betalingslovens § 100, stk. 4, nr. 3.
Danske Andelskassers Bank har anført, at klageren validerede købet på 894,94 EUR med MitID, og at hun i forbindelse med valideringen i MitID blev præsenteret for følgende tekst: ”Betal 894,94 EUR til [C] fra kort xxx[-153]”.
Klageren godkendte overførelsen af ovenstående beløb til ukendt modtager til trods for den præsenterede tekst. Klageren var ikke opmærksom nok på, hvem hun overførte penge til og må af den årsag betegnes som havende handlet groft uforsvarligt jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor der må beregnes en selvrisiko på 8.000 DKK.
Sagens omstændigheder giver ikke anledning til at afvige fra betalingslovens selvrisikobestemmelser.
Det var ny information i sagen, at det ikke var klageren selv, der godkendte beløbet, men at klagerens MitID blev ændret til svindleres enhed, hvorved svindleren kunne godkende det omtvistede beløb i klagerens navn. Banken kan ikke udelukke, at det ikke er klageren selv, der har godkendt det omtvistede beløb, men at klagerens MitID er blevet tilføjet til en anden enhed, hvorved tredjemand har kunnet godkende beløb i klagerens navn.
Dette ville i givet fald være sket ved, at man loggede ind på MitID med sit MitID, anmodede om en aktiveringskode, afventede en time, loggede ind på MitID med sit MitID, aflæste koden og færdiggjorde opsætningen på den nye enhed eller ved anvendelse af klagerens pas. Klageren har godkendt, at tredjemand kunne logge på MitID.dk to gange med en times mellemrum, hvorefter tredjemand har kunnet godkende det omtvistede beløb.
Hvis dette er tilfælde, har klageren muliggjort misbruget ved godkendelse af logins på MitID.dk. Teksten der ved godkendelsen blev præsenteret for klageren i MitID, er ikke blevet læst ordentligt, inden godkendelsen fandt sted, og klageren har derved handlet groft uforsvarligt, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren, som er født i 2006, var kunde i Danske Andelskassers Bank, hvor hun havde en konto med et tilknyttet betalingskort -153. Klageren havde en iPhone 12, hvorpå hun den 18. december 2022 havde aktiveret MitID -496.
Den 4. maj 2023 kl. 20:00 blev der aktiveret et nyt MitID -987 på en iPhone 11.
Samme dag blev klagerens betalingskort -153 anvendt til en betaling på 894,94 EUR svarende til 6.749,80 DKK til en betalingsmodtager C, som klageren ikke kan vedkende sig. Af en udskrift fra Nets fremgår, at korttransaktionen blev gennemført ved godkendelse i MitID.
Klageren har oplyst, at hun havde en vare til salg på Tise. Hun blev kontaktet af en person T, der foregav at ville købe varen, og som meddelte klageren, at person T skulle bruge hendes telefonnummer for at kunne sende en handelsanmodning til klageren. Klageren modtog herefter en SMS med et link, hvor hun blev bedt om at oplyse sine kortoplysninger, som hun skulle validere med MitID. Klageren var af den opfattelse, at hun skulle registrere sit kort i app’en, hvilket var sædvanligt at gøre i andre tilsvarende apps. Efter dette modtog klageren en oplysning om, at der var tekniske problemer, og at hun skulle prøve igen om en time. Da hun senere samme dag kontaktede person T, konstaterede hun, at person T havde blokeret hende, og at hun havde været udsat for svindel, hvorfor hun spærrede sit kort og ændrede sine MitID-oplysninger.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at betalingstransaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingskort.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Andreas Moll Årsnes – udtaler:
Vi finder det godtgjort, at klageren har videregivet sine betalings- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 4. maj 2023 i sin MitID har godkendt, at tredjemand kunne ændre i klagerens MitID-oplysninger, hvorved tredjemand har kunnet aktivere MitID på sin enhed og foretage den omtvistede betaling.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:
Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som har muliggjort misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 6.374,80 DKK til klageren.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.