Indsigelse mod at hæfte for korttransaktion godkendt i MitID.
| Sagsnummer: | 538/2023 |
| Dato: | 19-03-2024 |
| Ankenævn: | Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Elizabeth Bonde. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for korttransaktion godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for en korttransaktion godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilhørende Visa/Dankort -850. Banken har oplyst, at klageren aktiverede betalingskortet den 3. august 2023.
Den 5. august 2023 blev klagerens Visa/Dankort -850 anvendt til betaling til en udenlandsk betalingsmodtager, P, på 1.449 EUR svarende til 10.779,17 DKK, som klageren ikke kan vedkende sig.
Klageren har anført, at hun i perioden mellem den 4. til 5. august 2023 alene anvendte sit MitID til at tilknytte sit betalingskort til sit teleselskab, teleudbyder T, og til at tilgå netbank. Hun har på intet tidspunkt modtaget en e-mail, SMS eller andet, hvor hun skulle godkende noget med MitID.
Banken har fremlagt en udskrift fra klagerens MitID-portal, hvoraf blandt andet fremgår, at klageren havde et MitID-identifikationsmiddel -523, som blev oprettet 31. oktober 2022. Banken har anført, at betalingen blev gennemført ved godkendelse med klagerens MitID -523, og at følgende tekst blev sendt til klagerens MitID i forbindelse med godkendelse af kortbetalingen:
”Betal 1449,00 EUR til [P] fra kort xxx[-850]”
Ved tro og love-erklæring af 8. august 2023 gjorde klageren indsigelse over for banken mod kortbetalingen. Af indsigelsesblanketten fremgår blandt andet:
”…
Ikke-godkendte transaktioner / Disputed transactions
|
Købsdato… |
Forretningsnavn… |
Indsigelsesbeløb og valuta… |
Indsigelsesbeløb i danske kr. |
|
05-08-2023 |
[P] |
1.449,00 EUR |
10.799,17 DKK |
…
Jeg, [klageren], attesterer herved, at jeg ikke har godkendt eller deltaget i ovennævnte transaktion.
…”
Den 11. august 2023 meddelte banken klageren, at den ville godtgøre hendes tab fratrukket 8.000 DKK, hvorfor banken godtgjorde klageren 2.779,17 DKK.
Parternes påstande
Den 4. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre hende 8.000 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun den 5. august 2023 blev hacket eller udsat for phishing. Hun har været udsat for netsvindel. Hun har kontaktet betalingsmodtageren, som har meddelt hende, at de vil samarbejde med politiet, men at den ikke må udlevere personoplysninger til hende.
Hun har på intet tidspunkt fået en e-mail, SMS eller andet som skulle godkendes med MitID. Svindleren har på én eller anden måde logget sig på hendes MitID og derved godkendt noget uden hendes viden. Hun vil derfor have det fulde beløb refunderet.
Hun har ikke handlet groft uforsvarligt, hvis hun alene har foretaget en ”uforvarende godkendelse”, som banken gør gældende.
Svindlen kan kun være sket i det øjeblik, hun aktiverede MitID eller tilgik sin teleudbyder T’s hjemmeside, hvis det er muligt for hackere at tilgå hendes MitID på dette tidspunkt, så er sikkerheden ikke 100 % i orden.
Bankens afgørelse er uretfærdig.
Danske Bank har til støtte for frifindelsespåstanden anført, at kortbetalingen, som klageren har gjort indsigelse mod, er korrekt registreret og bogført.
Kortbetalingen er autoriseret med klagerens MitID og dermed godkendt med stærk kundeautentifikation. MitID var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Klageren autoriserede uforvarende selv betalingen, idet klageren formentlig ikke var klar over, at hun godkendte betalingen ved at swipe i MitID.
Klageren har sandsynligvis været udsat for phishing, og må have videregivet sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen.
Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var P, og at beløbet på 1.499,00 EUR ville blive trukket på hendes betalingskort -850. Det må have været klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.
Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen.
Klageren har ved groft uforsvarlig adfærd muliggjort betalingen, hvorfor hun hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.
Banken havde ikke havde mulighed for at stoppe korttransaktionen, da den ikke-vedkendte transaktion blev godkendt med MitID, hvorfor den ikke kunne tilbagekaldes i henhold til afsnit 3.1 i bankens regler for Visa/Dankort og betalingsloven § 111, stk. 1.
Banken har ikke i øvrigt handlet ansvarspådragende.
Banken har til støtte for afvisningspåstanden anført, at klagerens oplysning om, at hun ikke har noget kendskab til betalingen, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtageren og beløbet i MitID, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilhørende Vi-sa/Dankort -850, som klageren ifølge banken aktiverede den 3. august 2023.
Den 5. august 2023 blev klagerens Visa/Dankort -850 anvendt til betaling til en udenlandsk betalingsmodtager, P, på 1.449 EUR svarende til 10.779,17 DKK, som klageren ikke kan vedkende sig.
Klageren har anført, at hun i perioden mellem den 4. til 5. august 2023 alene anvendte sit MitID til at tilknytte sit betalingskort til sit teleselskab, teleudbyder T, og til at tilgå netbank. Hun har på intet tidspunkt modtaget en e-mail, SMS eller andet, hvor hun skulle godkende noget med MitID.
Banken har anført, at betalingen er autoriseret med klagerens MitID og dermed godkendt med stærk kundeautentifikation. MitID var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. Klageren autoriserede selv betalingen, omend uforvarende, idet klageren formentlig ikke var klar over, at hun godkendte betalingen ved at swipe i MitID.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder endvidere, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.