Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishingmail.

Sagsnummer: 700/2023
Dato: 19-08-2024
Ankenævn: Vibeke Rønne, Bjarke L. Svejstrup, Mette Lindekvist Højsgaard, Morten Bruun Pedersen og Ann-Mari Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishingmail.
Indklagede: Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for 8.000 kr. af korttransaktion i forbindelse med modtagelse af phishingmail.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor han havde et betalingskort -1574.

Den 19. oktober 2023 blev der foretaget en kortbetaling på 22.069,00 kr. med klagerens kort til en betalingsmodtager, S, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den 19. oktober 2023 modtog en mail fra der så ud til at være fra PostNord vedrørende told og moms på 32 kr. Han tilgik den falske side og godkendte betalingen på 32 kr. med MitID. Klageren fik spærret sit kort inden for en time efter godkendelsen. Betalingen blev bogført på klagerens konto den 24. oktober 2023.  

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -3654, som var aktiveret på klagerens telefon den 9. oktober 2021. Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:

”Betal 22069,00 DKK til [S] fra kort xx1574”

Banken har oplyst, at transaktionen var korrekt registreret og bogført.

Klageren gjorde indsigelse mod betalingen og politianmeldte sagen.

Banken godtgjorde klagerens tab på 22.069 kr. fratrukket 8.000 kr., svarende til 14.069 kr.

Parternes påstande

Den 20. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal dække de resterende 8.000 kr.

Nykredit Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at beløbet først blev trukket fem dage efter, at kortet var blevet spærret.

Svindlen kunne være undgået, hvis kontoen, der var knyttet til det berørte kreditkort, også var blevet spærret samtidig med kortet.

Han har været i kontakt med MitID, som har oplyst ham, at de ikke har registeret beløbet.

Han har ikke set et beløb på 22.069 kr., idet han ikke ville have godkendt transaktionen, hvis et andet beløb en 32 kr. var blevet præsenteret ved godkendelsen.

Nykredit Bank har til støtte for frifindelsespåstanden anført, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl som beskrevet i betalingslovens § 98, stk. 1.

Klageren har selv har godkendt betalingen i sin MitID-app. Betalingstransaktionen har været underlagt stærk kundeautentifikation. Af MitID-appen fremgik teksten ”Betal 22069,00 DKK til [S] fra kort xx1574”, hvorefter klageren har swipet ”godkend” til betalingstransaktionen. Klageren har således ved groft uforsvarlig adfærd muliggjort misbruget som beskrevet i betalingslovens § 100, stk. 4, nr. 3.

Det er muligt, at en svindler kan stjæle MitID oplysninger med henblik på senere godkendelse af betalingstransaktioner. I de tilfælde vil svindleren vildlede en person til at godkende en ny MitID app, hvorved svindleren får mulighed for at godkende fremtidige transaktioner uden ejerens samtykke. Dette vil dog tydeligt fremgå af de oplysninger som kan indhentes fra MitID-loggen. I denne sag er der ingen oplysninger som støtter denne påstand, derimod fremstår det som et "klassisk" eksempel på phishing. Der er alene tale om almindelig aktivitet og et sædvanligt godkendelses-flow med godkendelse fra klagerens sædvanlige MitID-enhed.

Det kan således lægges til grund, at der er tale om et tilfælde af phishing, hvor klageren er bragt i vildfarelse med falske oplysninger på mail, men korrekte oplysninger i MitID-appen.

Til støtte for afvisningspåstanden har banken anført, at såfremt Ankenævnet ikke finder det bevismæssigt godtgjort, at klageren selv godkendte overførslen ved at swipe i MitID-appen, vil en yderligere afklaring af sagen forudsætte en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Nykredit Bank, hvor han havde et betalingskort -1574.

Den 19. oktober 2023 blev der foretaget en kortbetaling på 22.069,00 kr. med klagerens kort til en betalingsmodtager, S, som klageren ikke kan vedkende sig.

Klageren har oplyst, at baggrunden for betalingen var, at han den 19. oktober 2023 modtog en mail, der så ud til at være fra PostNord vedrørende told og moms på 32 kr. Han tilgik den falske side og godkendte betalingen på 32 kr. med MitID. Betalingen blev bogført på klagerens konto den 24. oktober 2023. 

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Banken har oplyst, at betalingen blev godkendt med MitID.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter at transaktionen var godkendt, uanset tidspunktet for den efterfølgende spærring af kortet og debitering af beløbene på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer - Vibeke Rønne, Bjarke L. Svejstrup og Mette Lindekvist Højsgaard - udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 22.069 kr. i sin MitID-app.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 22.069 kr. og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer - Morten Bruun Pedersen og Ann-Mari Agerlin - udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbrugere at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i sagen.