Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.

Sagsnummer:529/2023
Dato:25-09-2024
Ankenævn:Bo Østergaard, Christina Bryanth Konge, Andreas Moll Årsnes, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.
Indklagede:Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor han havde en konto med et tilknyttet betalingskort -079. Klageren havde herudover MitID.

Den 3. juli 2023 blev der med klagerens betalingskort foretaget tre betalinger på hver 370 GBP (britiske pund), 56,50 DKK og 24.807,42 MXN (mexicanske pesos), svarende til i alt 13.457,98 DKK, til tre udenlandske betalingsmodtagere A, B og C, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en e-mail fra Nets af 12. juli 2023, hvoraf fremgår, at alle tre betalinger blev godkendt med MitID, og at betalingerne blev gennemført fra IP-adresser, der var registreret i Belgien, Marokko og Danmark. Sparekassen har anført, at klageren enten selv har swipet godkend i sin MitID, eller at klageren har medvirket til, at der kunne ske aktivering af MitID på tredjemands enhed, hvorefter tredjemand godkendte betalingerne.

Ved tro og love-erklæring af 5. juli 2023 gjorde klageren indsigelse mod betalingerne. Af tro og love-erklæringen fremgår:

”…

Beskriv hvad der er sket: …

der er hævet på min konto og jeg har ikke købt noget og mit kort er spærret så jeg forstår det ikke

Havde du kortet på købstidspunktet? …

Ja, og det er kun mig, der har haft adgang til mit kort

Hvor opbevarede du dit kort? …

I hjemmet

Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse mod beløbet. …

Jeg har ikke foretaget dette køb.

Ønsker du at fortsætte med samme indsigelsesårsag på resten af de transaktioner, der er valgt? …

Ja

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? …

Nej, jeg er ikke blevet kontaktet

Har du forsøgt at identificere nogle af transaktionerne med hjælp fra dit pengeinstitut eller forretningen? …

Nej

Dato …

Kortholders underskrift …

5-7-2023

Jeg, [klagerens navn], bekræfter at jeg ikke har godkendt eller deltaget i transaktionen(erne) ovenfor. Jeg har underskrevet dette dokument med digital signatur.

…”

Den 11. juli 2023 anmodede sparekassen klageren om at oplyse, om klageren havde modtaget SMS’er eller e-mails med links i, eller om klageren havde haft noget til salg, hvor køberen havde anmodet om at betale med sikker betaling.

Samme dag svarede klageren, at han ikke kunne anvende MitID i en periode, da der var problemer med MitID, og at han først kunne bruge MitID igen, da han fik nyt pas den 29. juni 2023.

Samme dag svarede sparekassen, at dette tydede på, at han havde givet en anden adgang til sit MitID, som så havde ændret klagerens koder, så klageren ikke kunne få adgang til sit MitID.  

Senere samme dag svarede klageren, at han ikke havde givet andre adgang til sit MitID, at han ikke havde givet sine oplysninger til andre, og at sparekassen selv kunne se, at betalingerne vedrørte flybilletter.

Den 12. juli 2023 svarede sparekassen klageren:

”…

Ud fra det du fortæller med din manglende adgang til MitID i den pågældende periode, så er konklusionen, at der er sket et eller andet, op til det tidspunkt hvor du ikke længere havde adgang til MitID. Ud fra det du skriver, er der blevet oprettet MitID på en svindlers telefon, og det er derfor sandsynligvis svindleren der har godkendt de transaktioner du gør indsigelse imod. Dette kan dog kun ske, hvis du selv er med til at godkende oprettelsen af MitID – det kan simpelthen ikke lade sig gøre, uden dig.

De eksempler vi har, hvor noget tilsvarende er sket er feks:

1. Man har haft en vare til salg på facebook, Gul&Gratis, Tise, DBA eller lignende. Man bliver kontaktet af en køber, som ønsker at betale med sikker betaling gennem DAO. Man klikker på DAO-linket og indtaster de oplysninger der skal bruges for at kunne modtage pengene. Dette er svindel, og man få i stedet godkendt oprettelsen af MitID på en svindlers telefon

2. Man får en besked på Messenger eller lignende, fra en ven/veninde/familiemedlem. Vedkommende skriver f.eks. at han/hun har vundet en konkurrence, og man vil gerne give dig muligheden for også at vinde. Dette er også svindel.

3. Man får en besked fra sparekassen om, at man har dokumenter til underskrift, og man skal klikke på et link for at underskrive.

4. Man får besked om at ens MitID skal opdateres.

…”

Samme dag svarede klageren:

”Hvad skal der så ske nu”

Samme dag anmodede sparekassen klageren om at oplyse, hvad han havde reageret på.

Senere samme dag svarede klageren:

”…

Hej den måde du siger det på så skulle jeg selv ha godkendt transaktionen og det har jeg ikke så jeg holder fast på at jeg ikke har godkendt noget så jeg holder fast på det der er sket på min konto har jeg ikke gjort så jeg holder fast På der er nogen der har misbrugt mit kort

…”

Samme dag anmodede sparekassen klageren om at kontakte MitID-support, hvor han kunne få en GDPR-rapport over, hvad der var sket i den periode, hvor klageren ikke havde adgang til sit MitID.

Samme dag svarede klageren, at sparekassen selv måtte undersøge dette, hvortil sparekassen svarede, at den ikke havde mulighed herfor, da MitID var personligt.

Den 17. juli 2023 oplyste klageren sparekassen, at han ikke havde haft noget til salg eller købt noget, og at Nets havde lukket hans betalingskort. MitID havde lukket hans MitID, så han ikke havde noget med svindlen at gøre.

Sparekassen har fremlagt en e-mail af en ukendt dato, som blev sendt til klageren fra Digitaliseringsstyrelsen vedhæftet en hændelseslog over de hændelser, der var på klagerens MitID den 5. juli 2023.

Sparekassen har fremlagt en udskrift af sparekassens sagslog af 15. august 2023, hvoraf fremgår, at den havde meddelt klageren, at den ikke kunne bruge hændelsesloggen fra Digitaliseringsstyrelsen. Loggen var fra den 5. juli 2023, og misbruget skete den 3. juli 2023. Sparekassen skulle bruge information om, hvilket MitID og enhed, der var anvendt til at godkende betalingerne, og sparekassen havde anmodet om en GDPR-rapport og ikke en log over hændelser af 5. juli 2023, da dette ikke engang var datoen, hvor svindlen foregik.  

Den 31. august 2023 meddelte sparekassen klageren, at den ville godtgøre klagerens tab med fradrag af 8.000 DKK.

Parternes påstande

Den 27. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal godtgøre ham 8.000 DKK.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han har været udsat for misbrug af sit betalingskort. Sparekassen modtog en GDPR-rapport, som den anmodede om, men meddelte ham, at den alligevel ikke kunne bruge den.

Han har ikke misbrugt sit betalingskort. Misbruget skete den 3. juli 2023 til selskaber i udlandet.

Han har ikke udleveret sine oplysninger til nogen. Han har ikke købt eller solgt noget. Han har ikke godkendt noget. Han har ikke givet nogen adgang til sit MitID. Han har ikke foretaget betalingerne.

Han vil have sine penge og vil ikke behandles som en kriminel.

Sparekassen Danmark har anført, at betalingsloven fastsætter grænser for sparekassens forpligtelser til at godtgøre kunder for visse betalinger. Som udgangspunkt hæfter sparekassen for tab som følge af uautoriserede betalinger, dvs. betalinger, som betaleren ikke har godkendt. En betalingstransaktion er autoriseret, hvis betaleren har givet samtykke til at gennemføre transaktionen. ”Autorisere” forstås som at ”godkende”. Sparekassen er som betalingsudbyder forpligtet til at gennemføre en autoriseret betalingstransaktion.

Klageren har autoriseret betalingen ved at swipe i sin MitID. Alternativt har klageren godkendt oprettelsen af MitID på tredjemands enhed. Det er ikke muligt, at godkendelse kan ske uden klagerens medvirken.

Betalingerne er korrekt registeret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Klagerens MitID er en personlig sikkerhedsforanstaltning, og udgør en stærk kundeautentifikation. Som udbyder af betalingstjenester hæfter sparekassen for tab som følge af andres uberettigede anvendelse af en betalingstjeneste. Har betaleren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hæfter betaleren for 8.000 DKK af tabet, jf. betalingsloven § 100, stk. 4.

Forud for godkendelsen af betalingstransaktionen blev klageren præsenteret for en tekst, hvoraf den registrerede betalingsmodtager og det omtvistede beløb fremgik. Disse oplysninger burde klageren have reageret på. I stedet godkendte klageren betalingen. Klageren har således ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse. Klageren skal derfor hæfte for 8.000 DKK af tabet for den uberettigede anvendelse af sit kort.

Det er fast praksis hos Ankenævnet, at en manglende reaktion på tekst og beløb forud for et swipe i MitID, anses for groft uforsvarlig adfærd. Se hertil bl.a. Ankenævnets sag 7/2023, hvor Ankenævnet fandt, at en klager havde muliggjort den uberettigede anvendelse, da klageren burde have reageret på teksten i MitID, hvorfor den pågældende klager hæftede med op til 8.000 DKK.

Uanset om det er klageren selv, der har swipet godkend til transaktionerne, eller det er svindleren, der har godkendt det, så hæfter klageren med 8.000 DKK.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Danmark, hvor han havde en konto med et tilknyttet betalingskort -079. Klageren havde herudover MitID.

Den 3. juli 2023 blev der med klagerens betalingskort foretaget tre betalinger på hver 370 GBP (britiske pund), 56,50 DKK og 24.807,42 MXN (mexicanske pesos), svarende til i alt 13.457,98 DKK, til tre udenlandske betalingsmodtagere A, B og C, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en e-mail fra Nets af 12. juli 2023, hvoraf fremgår, at alle tre betalinger blev godkendt med MitID, og at betalingerne blev gennemført fra IP-adresser, der var registreret i Belgien, Marokko og Danmark. Sparekassen har anført, at klageren enten selv har swipet godkend i sin MitID, eller at han har medvirket til, at der kunne ske aktivering af MitID på tredjemands enhed, hvorefter tredjemand godkendte betalingerne.

Klageren har anført, at han ikke er blevet kontaktet af nogen forud for svindlen, at han ikke har givet sine oplysninger til tredjemand, og at han ikke har foretaget betalingerne.

Sparekassen har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionerne skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.