Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 DKK for korttransaktion foretaget i forbindelse med phishing.

Sagsnummer: 530/2023
Dato: 19-03-2024
Ankenævn: Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 DKK for korttransaktion foretaget i forbindelse med phishing.
Indklagede: Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK for korttransaktion foretaget i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor hun havde en konto med et tilknyttet betalingskort -841.

Den 19. april 2023 blev der med klagerens betalingskort foretaget en betaling på 500 EUR, svarende til 3.726,25 DKK, til en betalingsmodtager, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun modtog en besked om, at bankinformationer til betaling af hendes hjemmeside skulle ændres, da betalingen ikke var gået igennem. Det gav god mening for hende, da hun havde lukket sin virksomhed, men ønskede at beholde sin hjemmeside. Hendes erhvervskonto var lukket, så derfor skulle der ændres bankinformationer, så hendes private konto kunne betale. Så hun foretog det, som fremgik af beskeden og godkendte med MitID, idet hun ikke var i tvivl om, at det var det hun skulle gøre.

Sparekassen har oplyst, at klageren klikkede på et link i den modtagne besked og godkendte en overførsel på 500 EUR med sit MitID.

Sparekassen har endvidere oplyst, at der ved overførslen fremgik en tekst med beløb og beløbsmodtager i klagerens MitID, og har fremlagt en e-mail fra Nets af 23. april 2023, hvoraf fremgår:

”Beløb: 500,00 EUR - 3726,25DKK

Dato og tid: den 19.04.23 kl. 14:13

Valideret med: mitid.code_app

MitID tekst: Betal 500,00 EUR til [P] fra kort xx9841

Mobilnummer: [telefonnummer]

Indrulleret af: bank IP adresse: 193.108.117.176

IP adresse land: DE (GERMANY)”.

Klageren gjorde indsigelse over for sparekassen.

Sparekassen afviste indsigelsen under henvisning til, at klageren hæftede med op til 8.000 DKK.

Klageren klagede den 27. juli 2023 til sparekassens klageansvarlige over afgørelsen. I klagen anførte hun blandt andet, at hun var blevet svindlet, og at der i stedet for et beløb på ca. 100 DKK var blevet trukket ca. 3.500 DKK, at sparekassen ikke anerkendte indsigelsen, idet hun havde anvendt sit MitID og godkendt transaktionen.

Ved brev af 15. august 2023 afviste sparekassen klagen og fastholdt sin afgørelse.

Parternes påstande

Den 1. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal tilbagebetale det fulde beløb.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun blev udsat for svindel og nu er utryg ved at foretage betalinger.

MitID er usikkert. Man skal ved anvendelsen af MitID foretage en QR-scanning, så man arbejder fortsat på sikkerheden. Den var der ikke, da hun foretog transaktionen.

Det kan ikke være rigtigt, at det skal gå ud over hende som privatperson, at hun skal hæfte for 3.500 DKK, når hun er blevet svindlet.

Hun handlede i god tro og satte ikke spørgsmålstegn ved transaktionen, da det var igennem MitID.

Sparekassen har skrevet, at hun ikke var i en presset situation på noget tidspunkt, men det ved den ikke, da den ikke har talt med hende.

Hun var netop i en presset situation, da hun havde søgt nyt job og henvist til sin hjemmeside på sit CV, og hvis hun ikke fik betalt hurtigst muligt, var hun bange for, at hendes hjemmeside gik ned, hvilket ikke ville se professionelt ud, så det var vigtigt for hende at få betalt.

Sparekassen Danmark har anført, at klageren autoriserede betalingen ved at swipe i sin MitID-app.

Betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Klagerens MitID er en personlig sikkerhedsforanstaltning, og udgør stærk kundeautentifikation.

Forud for godkendelsen af betalingstransaktionen blev klageren præsenteret for en tekst, hvoraf den registrerede betalingsmodtager ”[P]” og det omtvistede beløb fremgik. Disse oplysninger burde klageren have reageret på.

Klageren godkendte betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd den uberettigede anvendelse.

Klageren skal hæfte for op til 8.000 DKK af tabet ved den uberettigede anvendelse af sit kort.

Klagerens tab overstiger ikke 8.000 DKK, hvorfor sparekassen ikke hæfter for nogen del af tabet ved svindlen.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Danmark, hvor hun havde en konto med et tilknyttet betalingskort -841.

Den 19. april 2023 blev der med klagerens betalingskort foretaget en betaling på 500 EUR, svarende til 3.500 DKK, til en betalingsmodtager, som klageren ikke kan vedkende sig.

Om baggrunden for betalingen har klageren oplyst, at hun modtog en besked om, at bankinformationer til betaling af hendes hjemmeside skulle ændres, da betalingen ikke var gået igennem. Det gav god mening for hende, da hun havde lukket sin virksomhed, men ønskede at beholde sin hjemmeside. Hendes erhvervskonto var lukket, så derfor skulle der ændres bankinformationer, så hendes private konto kunne betale. Så hun foretog det, som fremgik af beskeden, og godkendte med MitID, idet hun ikke var i tvivl om, at det var det, hun skulle gøre.

Sparekassen har oplyst, at klageren klikkede på linket og godkendte en overførsel på 500 EUR med sit MitID.

Klageren har anført, at hun handlede i god tro og ikke satte spørgsmålstegn ved transaktionen, da det var igennem MitID.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet lægger til grund, at betalingen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Tre medlemmer – Henrik Waaben, Morten Winther Christensen og Mette Lindekvist Højsgaard – udtaler:

Vi lægger til grund som ubestridt, at klageren foretog betalingen og godkendte i MitID-appen. Vi finder det godtgjort, at klageren blev præsenteret for beløb og beløbsmodtager i sin MitID-app i forbindelse med betalingen på 500 EUR. Vi har herved lagt vægt på den e-mail fra Nets, der er fremlagt.

Vi finder derfor, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID-appen, hvor hun fik oplysninger om beløbet på 500 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Elizabeth Bonde – udtaler:

Som ovenfor anført lægger vi til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, sparekassen skal tilbageføre 3.351,25 DKK til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.