| Sagsnummer: | 134/2024 |
| Dato: | 17-01-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Inge Kramer, Jimmy Bak, Tina Thygesen og Kim Korup Eriksen. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Arbejdernes Landsbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Arbejdernes Landsbank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -9701.
Klageren har oplyst, at han den 30. september 2023 opdaterede en række abonnementer, der var tilknyttet hans betalingskort. Han havde netop modtaget et nyt kort, da banken mente, at hans oplysninger var i fare. Banken havde derfor anbefalet ham at spærre sit gamle kort. Han modtog i den forbindelse flere e-mails fra virksomheder, hvor han var kunde. Han modtog blandt andet en e-mail, der fremstod som værende fra Spotify. Af e-mailen fremgik, at klageren skulle opdatere sine betalingsoplysninger. Han fulgte linket, der endte med, at han skulle godkende købet af et Spotify-abonnement.
Han påbegyndte godkendelsesprocessen med MitID-appen, men processen blev ikke afsluttet. Han modtog ikke, som han plejer, en bekræftelse på, at købet var godkendt. Han afbrød og lukkede derefter sin MitID-app. Efterfølgende opdagede han, at e-mailen, der fremstod som værende fra Spotify, var fremsendt til ham på en anden e-mailadresse, end den e-mailadresse som Spotify normalt sender til.
Den 30. september 2023 blev der gennemført en kortbetaling på 9.024,27 DKK med klagerens betalingskort -9701 til en udenlandsk betalingsmodtager, C, som klageren ikke kan vedkende sig.
Banken har fremlagt MitID-log, hvoraf fremgår, at kortbetalingen blev godkendt i klagerens MitID -8391, som var installeret på klagerens mobiltelefon den 20. marts 2022. Banken har endvidere fremlagt en udskrift fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af teksten fremgik:
”Betal 9024,27 DKK [betalingsmodtager C] fra kort xx9701”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren har anført, at han hverken har udleveret sine MitID-oplysninger eller givet andre adgang til sin telefon.
Klageren gjorde ved tro og love-erklæringer af 3. oktober 2023 og 3. november 2023 indsigelse mod betalingen på 9.024,27 DKK samt to andre transaktioner på 6,86 EUR svarende til 51,69 DKK og 26,64 EUR svarende til 200,73 DKK. Af erklæringerne fremgår blandt andet:
”Jeg har hverken deltaget i eller godkendt ovenstående transaktion(er). …”
Banken har oplyst, at transaktionerne på 6,86 EUR svarende til 51,69 DKK og 26,64 EUR svarende til 200,73 DKK blev gennemført som fjernsalg uden brug af stærk kundeautentifikation, hvorfor banken har godtgjort klageren fuldt ud for disse to transaktioner.
Den 12. december 2023 godtgjorde banken derfor klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.276,69 DKK til klagerens konto.
Parternes påstande
Den 24. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal godtgøre ham 8.000 DKK.
Arbejdernes Landsbank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han blandt andet har opdateret et Spotify-abonnement. Det var nødvendigt, da han på opfordring fra banken havde spærret sit gamle betalingskort.
Han modtog flere e-mails fra virksomheder, hvor han var kunde. Han modtog blandt andet en e-mail, der fremstod som værende fra Spotify. Af e-mailen fremgik, at han skulle opdatere sine betalingsoplysninger. Han fulgte linket, der endte med, at han skulle godkende købet af et Spotify-abonnement.
Han påbegyndte godkendelsesprocessen med MitID-appen, men processen blev ikke afsluttet. Han afbrød og lukkede derefter sin MitID-app, da han antog, at der var en netværksfejl eller et ustabilt wi-fi. Han tænkte ikke yderligere over dette.
Han er enig i bankens sagsfremstilling bortset fra, at han ikke i sin MitID har godkendt et beløb på 9.024,27 DKK.
Han anerkender, at han har godkendt en transaktion i MitID, men han troede, at der var tale om en reel transaktion, og på intet tidspunkt har beløbet på 9.024,27 DKK været tydeligt. Det har banken ikke fremlagt konkrete beviser på.
Han skal derfor ikke ifølge betalingslovens § 100 betale selvrisikoen på 8.000 DKK.
Banken henviser til § 100, stk. 4, 2. pkt., og påstår, at han forsætligt har udleveret sin personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse.
Han har hverken udleveret sine MitID-oplysninger eller givet andre adgang til sin telefon, men i god tro fulgt et link og godkendt købet af et Spotify-abonnement.
Han fik først efterfølgende mistanke om, at e-mailen, der fremstod som værende fra Spotify, kunne være falsk. Han har handlet uforsætligt, da han aldrig på sin telefon er blevet præsenteret for et beløb på 9.024,27 DKK, men nærmere et beløb på 109 DKK.
Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at det følger af betalingslovens § 98, stk. 1, at hvor en betaler nægter at have autoriseret eller iværksat en betalingstransaktion, har udbyderen af betalingstjenesten bevisbyrden for, at betalingstransaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl.
Ved brug af et betalingsinstrument har udbyderen desuden bevisbyrden for, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med betalingstransaktionen.
Nets har oplyst, at betalingen er korrekt registreret og bogført, og at den ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Banken kan samtidig under henvisning til ovenstående sagsfremstilling konstatere, at betalingen er gennemført med MitID, der er en personlig sikkerhedsforanstaltning.
Klageren var den 13. november 2023 i telefonisk kontakt med banken, hvortil han oplyste, at han ikke kunne afvise, at han havde godkendt noget i sin MitID-app uden at have læst, hvad der stod.
Bevisbyrden i betalingslovens § 98, stk. 1, er derfor opfyldt.
Det kan på baggrund af det ovenfor beskrevne hændelsesforløb lægges til grund, at klageren selv godkendte transaktionen i sin MitID-app med den ordlyd, som fremgår af udskriften fra Nets.
Da ingen andre har haft adgang til telefonen, er det således ikke sandsynligt, at andre end klageren selv godkendte betalingen.
Klageren skal derfor hæfte med en egen andel på 8.000 DKK, jf. betalingslovens 100, stk. 4, da klageren muliggjorde misbruget ved groft uforsvarlig adfærd.
Det må således anses som groft uforsvarlig adfærd, at klageren indtastede sine kortoplysninger og godkendte betalingen via MitID-nøgleappen på trods af den tydelige information om, at klageren var i gang med at godkende en betaling på 9.024,27 DKK.
Klageren burde således have reageret på teksten i MitID-appen, hvor klageren fik oplysninger om beløbet på 9.024,27 DKK og beløbsmodtager.
Klageren befandt sig i øvrigt ikke i en presset situation ved afgivelse af sine kortoplysninger og godkendelse af betalingen.
Banken har til støtte for afvisningspåstanden anført, at sagen ikke er egnet til behandling i Ankenævnet, jf. Ankenævnets vedtægter pkt. 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Arbejdernes Landsbank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -9701.
Klageren har oplyst, at han den 30. september 2023 modtog en e-mail, der fremstod som værende fra Spotify. Af e-mailen fremgik, at klageren skulle opdatere sine betalingsoplysninger. Han fulgte linket, der endte med, at han skulle godkende købet af et Spotify-abonnement.
Den 30. september 2023 blev der gennemført en kortbetaling på 9.024,27 DKK med klagerens betalingskort -9701 til en udenlandsk betalingsmodtager, C, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen den 30. september 2023 blev godkendt med stærk kundeautentifikation i klagerens MitID -8391, som var installeret på klagerens mobiltelefon den 20. marts 2022, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 9024,27 DKK [betalingsmodtager C] fra kort xx9701”.
Klageren har anført, at han er enig i bankens sagsfremstilling bortset fra, at han ikke i sin MitID har godkendt et beløb på 9.024,27 DKK. Han bestrider ikke, at han har godkendt en transaktion via MitID, men han troede, at der var tale om en reel transaktion, og han er ikke blevet præsenteret for et beløb på 9.024,27 DKK, men nærmere et beløb på 109 DKK. Han har derfor ikke forsætligt godkendt transaktionen.
Den 12. december 2023 godtgjorde banken klagerens tab med fradrag af 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Inge Kramer og Jimmy Bak – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 9.024,27 DKK i sin MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 9.024,27 DKK og beløbsmodtageren, C, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tine Thygesen og Kim Korup Eriksen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.