Indsigelse mod at hæfte for korttransaktioner godkendt i MitID

Sagsnummer:392/2023
Dato:18-01-2024
Ankenævn:Henrik Waaben, Christina Bryanth Konge, Nanna Vetter Viberg Nielsen, Morten Bruun Pedersen og Anna Marie Schou Ringive
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for korttransaktioner godkendt i MitID
Indklagede:Møns Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Møns Bank, hvor han blandt andet havde et Visa/Dankort -250 med en tilknyttet konto -879.

Den 1. juni 2023 blev der med klagerens Visa/Dankort gennemført en kortbetaling på 2.405 EUR svarende til i alt 18.093,35 DKK til en udenlandsk betalingsmodtager D.

Banken har anført, at der i forbindelse med betalingen blev sendt en godkendelsestekst til klagerens MitID -3405. Banken har fremlagt en udskrift fra Nets, hvoraf der fremgår, at godkendelsesteksten var: 

”Betal 2405,00 EUR til [betalingsmodtager D] fra kort [xxx-250].”

Den 3. juni 2023 spærrede klageren sit Visa/Dankort.  

Den 8. juni 2023 gjorde klageren indsigelse mod betalingerne i en tro og love-erklæring. Af tro og love-erklæringen fremgik blandt andet:

”…

Undertegnede erklærer på Tro og Love, at jeg har modtaget et link, som jeg tror er fra Nemid, hvor jeg skal opdatere mine kortoplysninger.

Men jeg har absolut ikke nogen som helst erindring om at jeg skulle have swipet i Mitid app’en.

Idet transaktionen er godkendt med personligt Mitid, vil der være en selvrisiko på kr. 8.000,-

Når Tro og Love erklæringen er returneret i underskrevet stand, indsættes kr. 10.093,35 på konto [-879]

…”

Banken har oplyst, at klageren underskrev tro og love-erklæringen elektronisk.

Samme dag spærrede Nets klagerens Visa/Dankort.

Den 9. juni 2023 godtgjorte banken klageren 10.093,35 DKK.

Den 20. juni 2023 gjorde klageren på ny indsigelse overfor banken mod betalingerne. Af klagerens indsigelse fremgår:

”…

Jeg blev d 01062023 fuppet til at opdatere mine kortoplysninger på en falsk mail fra mitid, hvilket jeg gjorde og det betød at min konto blev lænset for 18093,35 kr hvilket var ca 4500,- kr mere end der stod på den? Jeg erkender at have godkendt opdateringen med mitid, men jeg har ikke godkendt at der kunne hæves et bestemt beløb på min konto og jeg kan ikke forstå at der kan hæves et større beløb end det der står på kontoen? Jeg mener derfor at jeg har krav på at få alle pengene, minus 375,- kr tilbage.

...”

Den 21. juni 2023 fastholdt banken sin afvisning af 8. juni 2023.

Banken har fremlagt en udskrift af MitID-portalen for klagerens MitID, hvoraf det blandt andet fremgår, at klageren havde et aktivt MitID identifikationsmiddel -3405, som blev installeret den 29. juli 2022.

Banken har fremlagt sine brugerregler for Visa/Dankort af september 2022. Af disse fremgår blandt andet:

”…

3.4 Handel på internettet og brug af kortnummer, udløbsdato og kontrolcifre

Du vil også kunne bruge MitID som personlig sikkerhedsforanstaltning, når du skal godkende en betaling på nettet.

Når du benytter kortet til køb ved post- og telefonordre, skal du oplyse kortnummer, kortets udløbsdato, kontrolcifre samt eventuelt navn og adresse. Ved postordrekøb skal du desuden underskrive bestillingssedlen.

Du må aldrig oplyse din kode eller tilsvarende personlige sikkerhedsforanstaltning i forbindelse med køb via internettet eller i forbindelse med post- eller telefonordrekøb m.v.

4.2 Personlig sikkerhedsforanstaltning- egentlige forretninger og pengeautomater

Du må ikke oplyse din pinkode eller anden personlig sikkerhedsforanstaltning til andre eller på anden måde lade andre få kendskab til sikkerhedsforanstaltningen. Når du bruger din personlige sikkerhedsforanstaltning, skal du sikre dig, at andre ikke kan aflure den.

Hvis du har mistanke om, at andre har fået adgang til din personlige sikkerhedsforanstaltning, skal du med det samme kontakte Møns Bank.

…”

Parternes påstande

Den 7. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Møns Bank skal godtgøre ham 7.625 DKK.

Møns Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han har krav på at få tilbagebetalt 8.000 DKK med fradrag af 375 DKK, da han ikke har godkendt, at beløbet kunne hæves på hans konto.

Han er blevet udsat for svindel, idet han fik en e-mail, der fremstod at være fra MitID, hvori han blev anmodet om at opdatere sine kortoplysninger. Han forstår ikke, at svindlerne kunne hæve et højere beløb på hans konto, end det der var indestående på kontoen. Han forstår heller ikke, hvordan svindlerne kunne hæve beløbet tre dage efter, han havde spærret sit Visa/Dankort.

Han kunne aldrig finde på at trykke på et link, og han advarede altid alle omkring sig om ikke at trykke på links i e-mails.

Han var ikke blevet oplyst om, at han kunne have nægtet at godkende selvrisikoen på 8.000 DKK.

Møns Bank har anført, at den er berettiget til at opkræve 8.000 DKK af klageren.

Klagerens personlige sikkerhedsforanstaltning, MitID, har været anvendt i forbindelse med gennemførslen af betalingen på 2.405 EUR. Der er ikke oprettet et nyt MitID, og godkendelsen er sket med klagerens MitID fra 29. juli 2022. Klageren har derfor handlet groft uforsvarligt og skal hæfte for op til 8.000 DKK, jf. betalingslovens § 100, stk. 4.  

Kontoen kunne gå i overtræk, da klageren havde et Visa/Dankort. Dette var årsagen til, at der kunne hæves et større beløb, end der var indestående på kontoen.

Beløbet blev trukket flere dage efter hans spærring, da der normalt går tre hverdage før en udenlandsk transaktion bliver trukket på kortet. Det var Grundlovsdag om mandagen, og derfor blev beløbet først trukket tirsdag den 6. juni 2023.

Klageren har i tro og love-erklæringen af 8. juni 2023 ved sin elektroniske underskrift anerkendt, at han kunne godkende betalingen af 8.000 DKK.

Ankenævnets bemærkninger

Den 1. juni 2023 blev der med klagerens Visa/Dankort -250 gennemført en kortbetaling på 2.405 EUR svarende til i alt 18.093,35 DKK til en udenlandsk betalingsmodtager D.

Banken har anført, at der i forbindelse med betalingen blev sendt en godkendelses-tekst til klagerens MitID -3405. Banken har fremlagt en udskrift fra Nets, hvoraf beløbet, betalingsmodtageren og kortet fremgår.

Den 9. juni 2023 godtgjorde banken klageren 10.093,35 DKK.

Klageren har oplyst, at han er blevet udsat for svindel, idet han fik en e-mail, der fremstod at være fra MitID, hvori han blev anmodet om at opdatere sine kortoplysninger. Klageren har anført, at han har krav på at få 8.000 DKK med fradrag af 375 DKK tilbagebetalt, da han ikke har godkendt, at beløbet kunne hæves på hans konto.

Ankenævnet lægger til grund, at betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingsloven § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder endvidere, at godkendelse af betalingerne i klagerens MitID skete ved anvendelse af personlige sikkerhedsforanstaltninger, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet finder ikke, at banken har handlet ansvarspådragende ved, at den ikke har stoppet betalingerne, da det ikke var muligt for banken at stoppe eller tilbagekalde transaktionerne, idet en betalingsordre ikke kan tilbagekaldes, efter den er modtaget af betalerens udbyder.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Henrik Waaben, Christina Bryanth Konge og Nanna Vetter Viberg Nielsen – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen med sit MitID. Vi finder det således godtgjort, at teksten i den besked, som klageren modtog i MitID-appen indeholder de oplysninger, som fremgår af den af banken fremlagte udskrift fra Nets, og at klageren således modtog oplysning om beløb og betalingsmodtager.

Vi finder herefter, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID-appen, hvor han fik oplysninger om beløbet på 2.405 EUR og beløbsmodtageren, hvorfor klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Anna Marie Schou Ringive – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, hvor forbrugeren oplever, at beløbet ændrer sig efter, at transaktionen er godkendt, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, hvor beløbet først ændres efter, at transaktionen er godkendt.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.