Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.

Sagsnummer:115/2024
Dato:14-11-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Morten Winther Christensen, Jimmy Bak, Tina Thygesen og Jørn Ravn.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
Indklagede:Sparekassen Sjælland-Fyn
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Sjælland-Fyn, hvor han blandt andet havde en konto med et tilknyttet betalingskort -152.

Den 21. december 2023 blev der gennemført en kortbetaling på 1.359 EUR svarende til 10.235,96 DKK med klagerens betalingskort -152 til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en udskrift af klagerens MitID-log og har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -305, som var installeret på klagerens iPhone 7 den 7. juni 2023. Sparekassen har fremlagt en e-mail og udskrift fra Nets med teksten, der blev sendt til MitID -305 i forbindelse med godkendelsen betalingen. Af teksten fremgik:

”Betal 1359,00 EUR til [betalingsmodtager M] fra kort [-152]”

Klageren har oplyst, at han modtog en meddelelse, der fremstod som værende fra en leverandør af e-maildomæner S, som klageren anvendte. Af meddelelsen fremgik, at han skulle betale en regning for domænet til sin e-mail på 13,29 DKK. Da han var ved at godkende betalingen, blev beløbet i samme sekund ændret til 1.359 EUR og til beløbsmodtageren, beløbsmodtager M. Han kontaktede leverandør S, som meddelte ham, at den ikke havde noget med forholdet at gøre, og at klageren var blevet svindlet. Han spærrede derefter straks sit betalingskort.  

Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 27. december 2023. Af denne fremgår blandt andet:

”…

Havde du kortet på købstidspunktet?

Ja, og det er kun mig, der har haft adgang til mit kort

Hvor opbevarede du dit kort?

I hjemmet

Vælg en indsigelsesårsag for hver transaktion og beskriv, hvorfor du gør indsigelse mod beløbet.

Jeg har foretaget et køb hos denne forretning, men der er trukket et andet beløb eller mere end jeg har godkendt.

Beløbet eller valutaen er anderledes end det jeg godkendte.

Den transaktion, du gør indsigelse mod, er trukket i en anden valuta end den, du godkendte ved betaling.

Her har du mulighed for at give yderligere oplysninger til din indsigelse eller give oplysninger, hvis du ønsker at gøre indsigelse i mod transaktioner, som du ikke kunne vælge før

Jeg er blevet snydt og bedraget af to omgange. 1. Først sender de en faktura på 13,29kr, som jeg betaler i god tro. 2. Da jeg trykker godkend på betalingen å 13,29 kr, ændres beløbet i selv samme sekund sig til 1359 EUR.

…”

Den 11. januar 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.235,96 DKK til klagerens konto.

Den 23. januar 2024 gjorde klageren indsigelse mod sparekassens afgørelse.

Den 2. februar 2024 fastholdt sparekassen sin afgørelse af 11. januar 2024.

Klageren har fremlagt skærmbilledet, hvoraf den omtalte betaling fremgår. Af skærmbilledet fremgår, at beløbet er i kroner og ikke i euro.

Parternes påstande

Den 15. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Sjælland-Fyn skal godtgøre ham 8.000 DKK.

Sparekassen Sjælland-Fyn har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at betalingen skyldes tredjemands uberettigede anvendelse af hans betalingstjeneste.

Forbrugere af Sparekassen Sjælland-Fyns digitale løsninger og betalingstjenester har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i samfundet.

Han har ikke udvist groft uforsvarlig adfærd ved at blive snydt af en professionel svindler. De professionelle og organiserede svindlere har haft held med at manipulere med sparekassens betalingssystem, Nets og MitID.

Havde han haft forudsætningerne for at gennemskue svindlen, ville han aldrig have godkendt betalingen på 13,29 DKK. Han godkendte kun et beløb på 13,29 DKK. Idet han godkendte beløbet, ændrede det sig til 1.359 EUR. Det er ikke korrekt, når sparekassen gør gældende, at betalingsmodtageren og beløbet, der blev godkendt, fremgik klart og tydeligt af teksten, der blev vist i hans MitID.

Der må være et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor kunder oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt, som det er i hans tilfælde.

Sparekassen har ikke godtgjort, at betingelserne for, at han hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Sparekassen er nærmest til at bære risikoen for, at det betalingssystem, han anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, bør han hæfte for 375 DKK af tabet på 10.235,96 DKK, jf. betalingslovens § 100, stk. 3.

Han anerkender, at det er en svær afgørelse, da han ikke har dokumentation for sin påstand. Det må dog ikke være første gang, en påstand tilsvarende hans er fremlagt for Ankenævnet. Det bør derfor undersøges, om der er et hul i Nets’ betalingssystem, som professionelle og organiserede kriminelle har fundet ud af at udnytte.

Sparekassen Sjælland-Fyn har anført, at klageren via phishing har foretaget og godkendt betalingen selv, hvorfor forholdet er omfattet af betalingslovens § 100, stk. 4 nr. 3. Det gælder uanset hvor godt gennemført, misledende og foruroligende phishingoplevelsen har været for klageren.

Betalingen blev godkendt i klagers MitID -305, der var installeret på hans mobiltelefon, hvormed betalingen blev godkendt med stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Betalingen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Både betalingsmodtageren og beløbet, der blev godkendt, fremgik klart og tydeligt af teksten, der blev vist i klagerens MitID. Klageren godkendte betalingen, men burde have læst teksten i forbindelse med godkendelsen og undladt at godkende betalingen.

Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, og bør derved hæfte med 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3 og ikke kun med 375 DKK, jf. betalingslovens § 100, stk. 3.

De af klageren fremlagte billeder stammer fra svindlernes hjemmeside og er derfor ikke billeder, som stammer fra klagerens MitID. Billederne kan ikke anvendes som dokumentation.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Sjælland-Fyn, hvor han blandt andet havde en konto med et tilknyttet betalingskort -152.

Den 21. december 2023 blev der gennemført en kortbetaling på 1.359 EUR svarende til 10.235,96 DKK med klagerens betalingskort -152 til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en udskrift af klagerens MitID-log og har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -305, som var installeret på klagerens iPhone 7 den 7. juni 2023. Sparekassen har fremlagt en e-mail og udskrift fra Nets med teksten, der blev sendt til MitID -305 i forbindelse med godkendelsen betalingen. Af teksten fremgik: ”Betal 1359,00 EUR til [betalingsmodtager M] fra kort [-152]”.

Klageren har oplyst, at han på et ikke nærmere oplyst tidspunkt modtog en meddelelse, der fremstod som at være fra leverandør af e-maildomæner S, som klageren anvendte. Af meddelelsen fremgik, at han skulle betale en regning på 13,29 DKK for domænet til sin e-mail. Da han var ved at godkende betalingen, blev beløbet i samme sekund ændret til 1.359 EUR og til beløbsmodtageren, beløbsmodtager M. Han kontaktede leverandør S, som meddelte ham, at den ikke havde noget med forholdet at gøre, og at klageren var blevet svindlet. Han spærrede derefter straks sit betalingskort.  

Den 11. januar 2024 godtgjorde sparekassen klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 2.235,96 DKK til klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Morten Winther Christensen og Jimmy Bak – udtaler:

Ankenævnet lægger som anført af sparekassen til grund, at beløbet, som fremgår af de af klageren fremlagte skærmbilleder, stammer fra svindlernes hjemmeside, som svindleren har anvendt til at phishe klagerens kortoplysninger fra og derfor ikke stammer fra MitID.

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.359 EUR i sin MitID.

Vi finder, at sparekassen har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 1.359 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Jørn Ravn – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at sparekassen er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, sparekassen skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.