Indsigelse mod at hæfte for op til 8.000 kr. af kontooverførsel. Aktivering/indrullering af MitID-app på svindlers enhed.

Sagsnummer:707/2023
Dato:19-08-2024
Ankenævn:Henrik Waaben, Nanna Vetter Viberg Nielsen, Rolf Høymann Olsen og Poul Erik Jensen
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for op til 8.000 kr. af kontooverførsel. Aktivering/indrullering af MitID-app på svindlers enhed.
Indklagede:Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af kontooverførsel.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde en konto, et Visa/dankort -2968 samt netbankadgang.

Den 3. oktober 2023 kl. 20.31 blev der foretaget en kontooverførsel fra klagerens konto i banken på 5.000 kr. til tredjemands konto, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun havde en vare til salg, som hun skulle sende til en køber via DAO. Klageren har anført, at hun modtog en SMS fra DAO med et link til DAO’s hjemmeside, som hun åbnede og trykkede på "support", hvorefter en chatsupport åbnede. Chatsupporten skrev, at hun skulle indtaste sine kortoplysninger og godkende med MitID for at få pengene overført til sin konto, hvilket hun gjorde. Hun indtastede endvidere en kode, som hun modtog pr. SMS. Klageren har fremlagt sin SMS-korrespondance med køberen.

Banken har oplyst, at betalingen blev godkendt i klagerens MitID-app med serienummer -8915, som var installeret den 3. oktober 2023, og at betalingen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Banken har endvidere oplyst, at klagerens Visa/dankort blev spærret af Nets den 3. oktober 2023 kl. 21.28 på grund af mistanke om misbrug.

Banken har fremlagt en udskrift fra klagerens MitID-log. Det fremgår heraf, at der den 3. oktober 2023 på klagerens MitID var registreret en MitID-app -2404 (aktiveret den 30. januar 2023 og spærret den 4. oktober 2023 kl. 12.59) og en MitID-app -8915 (aktiveret den 3. oktober 2023 kl. 20.22 og spærret den 3. oktober 2023 kl. 20.52).

Banken har fremlagt en redegørelse om forløbet. Det fremgår heraf og af udskriften af klagerens MitID-log, at der foregik følgende aktiviteter den 3. oktober 2023:

Tid

Handling

Afsendt advisering/notifikation

Enhed anvendt/ Anvendt MitlD- identifikationsmiddel / Godkendelsestekst i MitlD app

19.15.38

Givet adgang til, at der kan logges på MitlD.dk

 

Derved vil fremmede kunne få adgang til at bede om at foretage ændringer.

 

Der blev anmodet om oprettelse af et nyt MitlD identifikationsmiddel, og der blev sendt den besked, som fremgår af kolonnen til højre

Du har bedt om adgang til at ændre oplysninger på Mit/D.dk og kan logge på om 1 time.

 

Har du ikke bedt om adgang? Ring til MitlD support + 45 33980010.

A-xxxx-xxxx-2404/ Godkende følgende? "Log på hos Mit/D.dk for at se eller ændre i din MitlD profil”

20.16.05

(autogenereret notifikation)

Du har nu adgang til at logge påMit/D.dk og ændre oplysninger i 24 timer.

 

Har du ikke bedt om adgang? Ring til MitlD support + 45 33980010.

 

20.19.47

lndlogning på MitlD

 

Derved vil fremmede kunne få adgang til at bede om at foretage ændringer.

 

Der blev anmodet om oprettelse af et nyt MitlD

Identifikationsmiddel.

 

A-xxxx-xxxx-2404/

Godkende følgende?

 

"Log på hos MitlD.dk for at se eller ændre i din MitlD profil"

20.21.33

Der afsendes sms kode til Klagers registrerede telefonnummer ved MitlD (telefonnummer […]).

Temporary PIN code for MitID app: xxxxxxxx.

 

IMPORTANT: Never

share this code with others. Not even with someone who claims to come from the bank or support.

 

20.22.18

Pinkode indtastes.

 

 

20.22.24

Nyt MitlD aktiveret MitlD- identifikations-middel med se-rienummer

A-xxxx-xxxx-8915 blev aktivt

 

 

Klageren gjorde indsigelse mod transaktionen over for banken, der afviste indsigelsen og meddelte, at klageren hæftede for op til 8.000 kr.

Parternes påstande

Den 21. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal dække 4.625 kr. af hendes tab.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun ikke har udvist groft uforsvarlig adfærd. Hun var gennem hele forløbet i god tro.

Hun havde en vare til salg på Marketplace og blev kontaktet af en interesseret køber, som spurgte, om hun ville sende varen via DAO eller GLS. Køberen ville tage sig af omkostningerne. Hun modtog en SMS fra DAO med et link til DAO’s hjemmeside, som hun åbnede. Hun tjekkede, at det var den originale hjemmeside. Man kunne tilgå alle sædvanlige funktioner. Hun trykkede på "support", hvorefter en chatsupport åbnede. Supporten foregik på dansk og svarede konkret på hendes spørgsmål om at få penge ud via hjemmesiden ved hjælp af MitID. Chatsupporten overbeviste hende om, at det var en ny funktion, som skulle lette transaktionerne for kunderne. Chatsupporten skrev, at hun blot skulle indtaste sine kortoplysninger og godkende med MitID for at få pengene overført til sin konto. Så det gjorde hun.

MitID-funktionen på hjemmesiden benyttede sig af en QR-kode, som hun scannede med sit MitID på telefonen. Hun var overbevist om, at siden og MitID-funktionen var reel. Hun stillede spørgsmål til chatsupporten om scanning af QR-koden, da den ikke gik igennem første gang. Chatsupporten skrev, at hun skulle vente en time af sikkerhedsmæssige årsager, før hun kunne få pengene udbetalt. Hun gik efter en time ind på hjemmesiden, hvor hun på MitID-funktionen igen loggede ind og scannede QR-koden. Da hun scannede QR-koden, fremgik det både af MitID-funktionen og på hendes MitID-app, at hun fik 342 kr. indbetalt på sin konto, hvilket hun således "swipede" på. Hun modtog i den forbindelse en kode pr. SMS, som hun skulle skrive ind i MitID-funktionen, hvilket hun også gjorde i den tro, at hun tastede koden ind til MitID og ikke en tredjemand.

Dernæst fik hun kl. 20.22 besked om, at hendes nye MitID app var aktiveret og tænkte blot, at dette skulle gøres for at få pengene ud fra DAO, da chatsupporten havde overbevist hende om, at det alene var af sikkerhedsmæssige årsager.

Otte minutter efter blev der overført 5.000 kr. fra hendes konto til en anden konto i et andet pengeinstitut, hvilket hun fik besked om fra Nets, og at Nets derefter havde spærret hendes kort. Hun tog straks kl. 20.41 kontakt til MitID og kom igennem kl. 20.50, hvor hun fik sit MitID spærret.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at betaleren efter betalingslovens § 100, stk. 4, hæfter med op til 8.000 kr. af tabet, blandt andet hvis en betaler ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Den ikke vedkendte kontooverførsel blev godkendt med en MitlD­app (3-D Secure), hvis oprettelse blev godkendt af klageren. Ved godkendelsen af den nye MitID identifikationsmiddel udviste klageren groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionen. Banken var derfor berettiget til at vurdere, at klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren har anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, ved brug af en eksisterende MitlD­app til oprettelse og aktivering af en ny MitlD­app den 3. oktober 2023. Et MitID identifikationsmiddel med et specifikt serienummer kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til. En sådan fysisk swipe-bevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, og kan ikke fjerngennemføres.  Da pålogning skete på og godkendelsesanmodningen vedrørende den nye MitlD­app blev sendt til en enhed, hvor klagerens MitlD­app -2404 var installeret, kan det kun være klageren selv, der foretog en fysisk swipe-bevægelse i forbindelse med godkendelse af oprettelse af den nye MitlD­app.

Inden oprettelsen af den nye MitlD­app -8915 blev der sendt advarselsnotifikations-beskeder herom til klagerens registrerede telefonnummer hos MitlD, og der skulle gå minimum en time inden endelig godkendelse/oprettelse kunne foretages. Klageren erkender selv i sin beskrivelse af hændelsesforløbet at have set beskederne fra MitlD angående ændringer og aktivering af nyt MitlD uden at have udvist agtpågivenhed.

Der blev sendt en unik SMS-pinkode til klagerens registrerede telefonnummer hos MitlD, og der blev enten foretaget indtastning eller videregivelse heraf. Det fremgik meget præcist og tydeligt af den fremsendte SMS indeholdende pinkode: "/MPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support."

Klageren opgav/videregav selv sine kortoplysninger tilhørende Visa/dankort -2968, hvorefter der blev forsøgt misbrug af kortet, men Nets’ overvågning stoppede transaktionerne grundet mistanke om misbrug og spærrede automatisk kortet.

Klageren har ved videregivelse af sine kortoplysninger samt oprettelsen af den nye MitlD-app -8915 muliggjort gennemførsel af den kontooverførsel, som klageren har gjort indsigelse imod, samt forsøg på misbrug af Visa/dankort med -2968.

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at stillingtagen til klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde en konto, et Visa/dankort -2968 samt netbankadgang.

Den 3. oktober 2023 kl. 20.31 blev der foretaget en kontooverførsel fra klagerens konto i banken på 5.000 kr. til tredjemands konto, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren oplyst, at hun havde en vare til salg, som hun skulle sende til en køber via DAO. Klageren har anført, at hun modtog en SMS fra DAO med et link til DAO’s hjemmeside, som hun åbnede og trykkede på "support", hvorefter en chatsupport åbnede. Chatsupporten skrev, at hun skulle indtaste sine kortoplysninger og godkende med MitID for at få pengene overført til sin konto, hvilket hun gjorde. Hun indtastede endvidere en kode, som hun modtog pr. SMS.

Banken har anført, at klageren udleverede en unik SMS-pinkode og selv gav adgang til at ændre i sin MitID. Klageren har udvist groft uforsvarlig adfærd, hvorfor hun selv hæfter med op til 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet lægger til grund, at betalingstransaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

To medlemmer – Nanna Vetter Viberg Nielsen, der i medfør af Ankenævnets vedtægter § 16, stk. 1, er tillagt to stemmer, og Henrik Waaben – udtaler:

Vi finder, at det må lægges til grund, at klageren har videregivet sine MitID-oplysninger og SMS-koden til tredjemand, og at klageren den 3. oktober 2023 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 4.625 kr. til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.