Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed.
| Sagsnummer: | 571/2023 |
| Dato: | 18-04-2024 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Morten Winther Christensen, Janni Visted Hansen, Rolf Høymann Olsen og Kim Korup Eriksen. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MitID-app på svindlers enhed. |
| Indklagede: | Djurslands Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner. Aktivering/indrullering af MItID-app på svindlers enhed.
Sagens omstændigheder
Klageren var kunde i Djurslands Bank, hvor hun havde en konto -298 med et tilknyttet Visa/dankort -781 og et MasterCard Debit -050.
Den 13. august 2023 blev der med klagerens Visa/dankort -781 og klagerens MasterCard Debit -050 foretaget følgende transaktioner, som klageren ikke kan vedkende sig:
|
Dato og klokkeslæt |
Kort |
Modtager |
Beløb i kr. |
|
13. august 2023 kl. 16:12 |
-050 |
Betalingsmodtager 1 |
11.990 |
|
13. august 2023 kl. 16:15 |
-050 |
Betalingsmodtager 2 |
10.527 |
|
13. august 2023 kl. 16:47 |
-781 |
Betalingsmodtager 3 |
12.638 |
|
13. august 2023 kl. 16:53 |
-781 |
Betalingsmodtager 4 |
2.190 |
|
13. august 2023 kl. 16:58 |
-050 |
Betalingsmodtager 5 |
2.228 |
|
I alt |
|
|
39.573 |
Ifølge oplysninger fra Nets blev alle transaktioner godkendt med 3D Secure. Transaktionerne blev godkendt med MitID. Den anvendte MitID-app havde serienummer -7559.
Af spærrebreve af 14. august 2023 fra banken til klageren fremgik, at klagerens Visa/dankort -781 blev spærret af Nets den 13. august 2023 kl. 16:57, og klagerens MasterCard Debit -050 blev spærret den 13. august 2023 kl. 22:14.
Klageren gjorde efterfølgende indsigelse mod de tre transaktioner foretaget på kort -050 og de to transaktioner foretaget på kort -781 over for banken. I indsigelsesblanketterne oplyste klageren blandt andet, at hun ikke på noget tidspunkt var blevet kontaktet og bedt om at bekræfte/oplyse sit betalingskort eller sine personlige oplysninger. Hun oplyste endvidere:
”Fik en sms fra region midt., d.13/8-23 går så via E-boks for at se hvad det er. Jeg kan ikke få mit mitid til at virke, den skriver til mig at jeg skal vente i 1 time, for at kunne logge på igen. Efter en time virker det stadig ikke. Jeg bliver ringet op omkring kl 21.30 af en person fra mobil pay, som fortæller at min konto er blevet hacket. Jeg ringer med det samme til nets, for at lukke min konto. vi vælger at lukke alle vores konti i familien. Jeg ringer samtidig til politiet for at anmelde sagen. Mens jeg snakker med politiet, ringer de igen fra mobil pay, personen fra politiet, siger jeg ikke skal tage den. Jeg vælger at blokere nummeret, da jeg får at vide fra politiet, at det er [falsk] nummer. Dagen efter prøver de igen at ringe til mig 6 gange. Vi finder ud af at de har flyttet rundt på penge mellem mine konti. der bliver købt forskellige ting af elektronik. Jeg får snakket med banken, som kan nå at stoppe 2 beløb, plus jeg selv får stoppet en. Vi prøver at ringe til [betalingsmodtager 2], og nogle af de andre for at få tingene stoppet, men uden held.”
Ved et brev af 23. august 2023 meddelte banken klageren, at den godtgjorde klagerens tab fratrukket 8.000 kr. og indsatte 31.573 kr. på klagerens konto.
Banken har oplyst, at det fremgår af klagerens MitID-log, at der før den 13. august 2023 var registreret et MitID-identifikationsmiddel med serienummer -2880 tilknyttet klagerens MitID, og at der den 13. august 2023 kl. 16:01 blev tilknyttet et MitID-identifikationsmiddel med serienummer -7559 til klagerens MitID på en anden enhed. Klageren havde forud herfor den 13. august 2023 kl. 14:42 med sit bestående MitID med serienummer -2880 anmodet om adgang til at ændre oplysninger i sin MitID-profil. Klageren blev tildelt adgang hertil kl. 15:42 stadig pålogget med sit bestående MitID med serienummer -2880. Banken har oplyst, at klageren henholdsvis kl. 14:42, kl. 15:42 og kl. 15:57 forinden log-in på hendes MitID-profil med sin MitID-app -2880 havde swipet til følgende tekst: ”Godkend følgende? Log på MitID for at se eller ændre din profil”.
Banken har oplyst, at det fremgår af bankens test af systemet, at der, efter klageren den 13. august 2023 kl. 14:42 med sit bestående MitID med serienummer -2880 havde anmodet om adgang til at ændre oplysninger i sin MitID-profil, blev sendt en SMS til klagerens telefonnummer, hvoraf fremgik:
”Du får adgang til at ændre oplysninger på MitID’s hjemmeside om 1 time(r).
Har du ikke bedt om adgang ? Ring til MitID support.”
Banken har endvidere oplyst, at det fremgår af bankens test af systemet, at der efter en time blev sendt en SMS til klagerens telefonnummer, hvoraf fremgik:
”Du kan nu logge på MitID’s hjemmeside og ændre dine oplysninger i 24 time(r).
Har du ikke bedt om dette ? Ring til MitID support.”
Banken har yderligere oplyst, at det fremgår af klagerens MitID-log, at der, efter at klageren havde åbnet for adgang til at ændre i sin MitID-profil, den 13. august 2023 kl. 16:01 blev foretaget forskellige ændringer. Der blev ændret telefonnummer, og der blev bestilt en aktiveringskode til et nyt MitID med serienummer -7559, der blev aktiveret med den bestilte aktiveringskode og en på SMS tilsendt midlertidig PIN-kode. Den 13. august 2023 kl. 16:01 var en ny MitID-app -7559 tilknyttet klagerens MitID herefter aktiv på en anden enhed. Den nye MItID-app -7559 blev efterfølgende brugt til at logge ind i klagerens netbank, hente de nødvendige kortoplysninger til at foretage de omtvistede korttransaktioner samt foretage et forsøg på en netbankoverførsel, som blev forhindret.
Parternes påstande
Den 16. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Djurslands Bank skal betale 7.625 kr.
Djurslands Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hendes konto blev hacket. Hun ringede til banken med det samme og fik lukket alle konti tilhørende hendes familie.
Hun kan ikke forstå, hvorfor hun skal betale en selvrisiko på 8.000 kr. i stedet for 375 kr. Hun handlede så hurtigt, som hun kunne, og hun har gjort alt det, som banken sagde, at hun skulle gøre.
Sagen er også anmeldt til politiet.
Djurslands Bank har til støtte for frifindelsespåstanden anført, at transaktionerne er korrekt registreret og bogført.
Klageren har selv ifølge MitID-loggen med sit MitID med serienummer -2880 initieret og autoriseret adgang til at ændre i MitID-profilen og dermed adgang til at ændre telefonnummer og at bestille en ekstra MitID-app på en anden enhed. Oprettelsen og autorisationen sker ganske kort tid før de omtvistede transaktioner, der alle er 3D-autoriseret med den nyetablerede MitID-app.
Det fremgår tydeligt af processen for etablering af adgang til at foretage ændringer i MitID-profilen og til at bestille nyt/ekstra MitID, at det forudsætter involvering af den eksisterende aktive MitID, og at der advares med SMS’er til bestående telefonnummer. Det har formodningen imod sig, at etableringen af den nødvendige adgang kan ske ved simpel uagtsomhed eller uden indehaverens medvirken. Modsat konklusion fjerner enhver tillid til sikkerheden i MitID-systemet.
Accept af og efterfølgende manglende reaktion på advarsels-SMS omkring etablering af adgang til at foretage ændringer i MitID-profilen, er groft uagtsomt og dermed omfattet af betalingslovens § 100, stk. 4, nr. 3, fordi klageren derved åbner for misbrug af såvel kort, som netbank og alle øvrige steder, hvor MitID kan anvendes.
Til støtte for den subsidiære påstand har banken anført, at klageren har en markant anden opfattelse af hændelsesforløbet, end det der kan konstateres i logs fra MitID og fra Nets.
En afklaring af sagens nærmere omstændigheder, herunder om klagerens medvirken og om uagtsomhedsniveauet heri gør, at sagen skal afgøres efter betalingslovens § 100, stk. 4, nr. 2 og 3, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Djurslands Bank, hvor hun havde en konto -298 med et tilknyttet Visa/dankort og et MasterCard Debit.
Den 13. august 2023 blev der med klagerens Visa/dankort og klagerens MasterCard Debit foretaget fem transaktioner på i alt 39.573 kr., som klageren ikke kan vedkende sig.
Banken godtgjorde klagerens tab fratrukket en selvrisiko på 8.000 kr.
Klageren har anført, at hendes konto blev hacket, og at hun alene hæfter med en selvrisiko på 375 kr.
Banken har anført, at klageren ved involvering af sin eksisterende MItID-app godkendte aktiveringen af en ny MItID-app på en tredjemands enhed, hvorved klageren ved groft uforsvarlig adfærd muliggjorde gennemførsel af de ikke vedkendte transaktioner.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder omkring aktiveringen af klagerens MitID på tredjemands enhed, herunder om klageren ved groft uforsvarlig adfærd muliggjorde transaktionerne og dermed hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3, forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.