Indsigelse mod at hæfte med op til 8.000 DKK af korttransaktioner, der blev godkendt i MitID.

Sagsnummer:276/2024
Dato:19-12-2024
Ankenævn:Vibeke Rønne, Jonas Thestrup Nielsen, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørgen Lanng.
Klageemne:Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte med op til 8.000 DKK af korttransaktioner, der blev godkendt i MitID.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte med op til 8.000 DKK af korttransaktioner, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet Visa/Dankort -3302.

Klageren har oplyst, at hun den 26. april 2024 modtog en e-mail, der fremstod som værende fra YouSee. Af e-mailen fremgik, at klageren skulle opdatere sine betalingsoplysninger ved at give en række oplysninger, hvis hun ville undgå afbrydelse af YouSee’s tjenester. Hun var ved at skifte mobilabonnement, og forventede at modtage en mail i den forbindelse. Hun trykkede på ”opdater betalingsoplysninger”, og blev videreført til MitID. Hun blev bedt om at klikke på MitID, hvilket hun gjorde. Hun fik besked om, at der var sket en teknisk fejl. Hun blev henvist til at prøve igen, hvilket hun gjorde. Efter andet forsøg besluttede hun at vente nogle dage. Efterfølgende blev hun opmærksom på, at der var gennemført to betalinger på hendes konto, som hun ikke kender til.

Den 28. april 2024 blev der gennemført en kortbetaling på 1.149,57 USD svarende til 8.032,27 DKK til betalingsmodtager, U, samt en kortbetaling på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T, med klagerens Visa/Dankort -3302. Klageren kan ikke vedkende sig betalingerne.

Banken har anført, at kortbetalingerne blev godkendt med stærk kundeautentifikation i klagerens MitID -5451, som var installeret på klagerens mobiltelefon den 20. august 2022. Banken har fremlagt en udskrift med klagerens aktive identifikationsmidler og en udskrift fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af den ene af betalingerne. Af teksten fremgik:

” Pay 1000.00 USD to [betalingsmodtager T] from card xx3302”

Banken har oplyst, at transaktionerne var korrekt registreret og bogført.

Den 30. april 2024 gjorde klageren indsigelse til banken mod de to betalinger, og bestred, at hun havde godkendt de pågældende betalinger.

 

 

Banken besvarede den 3. maj 2024 klagerens indsigelse, og oplyste, at betalingsmodtager, U, havde tilbageført beløbet til klageren, og at klageren således var blevet godtgjort for denne betaling.

For så vidt angår klagerens indsigelse vedrørende betalingen på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T, oplyste banken, at det var bankens vurdering, at klageren hæftede med op til 8.000 DKK, da klageren selv havde godkendt betalingen med sin MitID-app. Banken afviste derfor klagerens indsigelse vedrørende denne betaling.

Parternes påstande

Den 13. maj 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre klagerens tab på 6.987,19 DKK.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun ikke kender til betalingerne, men hun er taknemmelig for, at hun fik pengene retur fra betalingsmodtager, U.

Hun havde ikke mulighed for at gennemskue, at henvendelsen fra "YouSee" var svindel, da hun ventede en henvendelse vedrørende skift af telefonselskab.

Hun fik to gange meddelelse om, at der var sket en teknisk fejl, og besked på, at hun skulle prøve igen. Der må på en eller anden måde være sket et skift, mens hun klikkede.

Hun troede, at MitID var fuldstændig sikkert.

Hun er fornuftig, og forstår ikke, at hun har handlet på en måde, hvor hun skal ”straffes” ved at miste 8.000 DKK.

Hun har betydelige udgifter til medicin og mangler nu de 8.000 DKK, fordi hun uforvarende har været udsat for svindel.

Danske Bank har til støtte for frifindelsespåstanden anført, at betalingen er korrekt registreret og bogført. Betalingen blev godkendt med klagerens Visa/Dankort i klagerens MitID-app. Ved transaktionen blev der anvendt stærk kundeautentifikation.

MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Det må på den baggrund lægges til grund, at klageren selv autoriserede betalingen, om end uforvarende.

Klageren videregav selv sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen.

Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var betalingsmodtager, T, og at beløbet på 1.000,00 USD ville blive trukket på klagerens betalingskort.

Det måtte således stå klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager. Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger eller ved den efterfølgende godkendelse af betalingen.

Klageren har således ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, og klageren hæfter dermed med op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4.

Banken har heller ikke i øvrigt handlet ansvarspådragende.

Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at hun ikke har noget kendskab til betalingen, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.

En vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet Visa/Dankort -3302.

 

Klageren har oplyst, at hun den 26. april 2024 modtog en e-mail, der fremstod som værende fra YouSee. Af e-mailen fremgik, at klageren skulle opdatere sine betalingsoplysninger ved at give en række oplysninger, hvis hun ville undgå afbrydelse af YouSee’s tjenester.

Den 28. april 2024 blev der gennemført en kortbetaling på 1.149,57 USD svarende til 8.032,27 DKK til betalingsmodtager, U, samt en kortbetaling på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T, med klagerens Visa/Dankort -3302. Klageren kan ikke vedkende sig betalingerne.

Banken har anført, at kortbetalingerne den 28. april 2024 blev godkendt med stærk kundeautentifikation i klagerens MitID -5451, som var installeret på klagerens mobiltelefon den 20. august 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Pay 1000.00 USD to [betalingsmodtager T] from card xx3302”.

Klageren har anført, at hun ikke kender til betalingerne, og ikke havde mulighed for at gennemskue, at henvendelsen fra "YouSee" var svindel, da hun ventede en henvendelse vedrørende skift af telefonselskab. Hun blev bedt om at klikke på MitID, hvilket hun gjorde. Hun fik to gange meddelelse om, at der var sket en teknisk fejl, og besked på, at hun skulle prøve igen, hvilket hun gjorde. Der må på en eller anden måde være sket et skift, mens hun klikkede. Hun troede, at MitID var fuldstændig sikkert. Hun er fornuftig, og forstår ikke, at hun har handlet på en måde, hvor hun skal ”straffes” ved at miste 8.000 DKK.

Den 3. maj 2024 tilbageførte betalingsmodtager, U, 8.032,27 DKK til klageren. Klageren er således godtgjort for betalingen til betalingsmodtager, U. Banken afviste samtidig klagerens indsigelse vedrørende betalingen til betalingsmodtager, T, på 1.000 USD svarende til 6.987,19 DKK. Sagen angår herefter betalingen på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Andreas Moll Årsnes – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T, i sin MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.000 USD svarende til 6.987,19 DKK til betalingsmodtager, T, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Jørgen Lanng – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 6.612,19 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.