| Sagsnummer: | 349/2024 |
| Dato: | 04-03-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Mette Lindekvist Højsgaard, Jimmy Bak, Morten Bruun Pedersen og Jørgen Lanng. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nordea Danmark, filial af Nordea Bank Abp, Finland |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -863.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -880 blev aktiveret den 20. januar 2023 på en iPhone 11.
Klageren har oplyst, at hun på et ikke nærmere oplyst tidspunkt modtog en e-mail, der fremstod som værende fra Matas. Af e-mailen fremgik, at klageren kunne udfylde et spørgeskema og deltage i en konkurrence om en parfume mod betaling af 24 DKK. Klageren udfyldte spørgeskemaet og betalte 24 DKK ved godkendelse med MitID.
Den 20. juni 2024 blev der gennemført en kortbetaling på 1.890 EUR svarende til 14.169,72 DKK med klagerens betalingskort -863 til en udenlandsk betalingsmodtager, betalingsmodtager B, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -880. Banken har fremlagt en udskrift fra MitID med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 1890,00 EUR til [beløbsmodtager B] fra kort [-863]”
Banken har endvidere fremlagt en udskrift fra Nets med transaktionsoplysninger. Af udskriften fremgår følgende vedrørende betalingen:
”CARD NUMBER [-863]
DATE TIME 2024-06-20-13.55.49. …
BUSINESS [betalingsmodtager B]
…
CURRENCY EUR
TRANS AMOUNT 1890,00
…
CVM 3DS Auth
Status Approved
…”
Af klagerens MitID-log fremgår:
”20-06-2024 13:55:42. … App – autentificering lykkedes
MitID identifikationsmiddel-ID [-880]
…”
Banken har oplyst, at transaktionen er korrekt registreret og bogført.
Klageren har anført, at hun betalte 24 DKK og ikke 1.890 EUR. Hun oplyste hverken kontonummer, kortnummer eller koder. Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 24. juni 2024. Af denne fremgår blandt andet:
”For at kunne behandle sagen har vi brug for en udførlig beskrivelse af, hvorfor du gør indsigelse.
…
Skemaet afsluttede med accept med MitID med betaling af DKr 28 – MitID afsluttede. Jeg har ikke oplyst kontonummer eller kode v. betalingen – kun MitID.
…”
Den 25. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.169,72 DKK til klagerens konto.
Parternes påstande
Den 19. juli 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 8.000 DKK.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun modtog en e-mail, som hun efter grundig læsning var sikker på, havde Matas som afsender. E-mailen var på dansk og indeholdt et spørgeskema med relevante spørgsmål i forhold til hendes sædvanlige handler. Afslutningsvis stod der meget tydeligt, at hun nu betalte 24 DKK, og hun skulle bruge MitID. Hun oplyste hverken kontonummer, kortnummer eller koder. På den baggrund kunne hun være sikker på, at hun betalte 24 DKK.
Hun har læst flere steder, at der er en selvrisiko på 375 DKK, og forstår derfor ikke, at hun skal betale 8.000 DKK. Det bør komme hende til gode, at der tydeligt stod, at hun betalte 24 DKK.
Nordea Danmark har anført, at betalingen på 1.890 EUR er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet. Klageren har også erkendt at have foretaget betalingen, blot med et andet beløb.
Udskriften fra MitID viser, at klageren blev præsenteret for teksten ”Betal 1890,00 EUR til [beløbsmodtager B] fra kort [-863]”, hvorfor der ikke kan være tvivl om, at klageren godkendte betalingen på netop dette beløb. Det fremgår af selvsamme udskrift, at det er klagerens eget MitID identifikationsmiddel, -880, som godkendte betalingen, og der blev aktiveret den 20. januar 2023. Der kan derfor ikke være tvivl om, at det er klageren, der har godkendt betalingen med sin egen mobiltelefon.
At klageren gennem processen med betalingen, som hun var blevet linket til, så, at hun kun skulle betale 24 DKK, ændrer ikke herpå. Det fremgår af udskriften fra MitID, som den tekniske bevisførelse, at klageren er blevet præsenteret for en betaling på 1.890 EUR i sin MitID-app.
Når klageren valgte at godkende et beløb på 1.890 EUR – mod en forventet betaling på 24 DKK - som hun efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i MitID groft uforsvarlig adfærd fra hendes side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -863.
Klageren har oplyst, at hun på et ikke nærmere oplyst tidspunkt modtog en e-mail, der fremstod som værende fra Matas. Af e-mailen fremgik, at klageren kunne udfylde et spørgeskema og deltage i en konkurrence om en parfume mod betaling af 24 DKK. Klageren udfyldte spørgeskemaet og betalte 24 DKK ved godkendelse med MitID.
Den 20. juni 2024 blev der gennemført en kortbetaling på 1.890 EUR svarende til 14.169,72 DKK med klagerens betalingskort -863 til en udenlandsk betalingsmodtager, betalingsmodtager B, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -880, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 1890,00 EUR til [beløbsmodtager B] fra kort [-863]”
Klageren har anført, at hun betalte 24 DKK og ikke 1.890 EUR.
Den 25. juni 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.169,72 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Helle Korsgaard Lund-Andersen, Mette Lindekvist Højsgaard og Jimmy Bak – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.890 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.890 EUR og beløbsmodtager B, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Jørgen Lanng – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.