Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse vedrørende kortbetaling. Aktivering af nyt MitID på svindlerens enhed

Sagsnummer: 246/2023
Dato: 22-12-2023
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Karin Sønderbæk, Morten Bruun Pedersen og Finn Borgquist
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse vedrørende kortbetaling. Aktivering af nyt MitID på svindlerens enhed
Indklagede: Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse vedrørende kortbetaling. Aktivering af nyt MitID på svindlerens enhed.

Sagens omstændigheder

Klageren var kunde i Ringkøbing Landbobank, hvor hun havde en konto med et tilknyttet betalingskort -067.

Den 20. februar 2023 kl. 17:38 blev klagerens betalingskort anvendt til en betaling på 900 USD, svarende til 6.315,05 DKK, som klageren ikke kan vedkende sig. Af en udskrift fra Nets fremgår, at korttransaktionen blev gennemført med MitID.

Om baggrunden for transaktionen har klageren oplyst, at hun havde en vare til salg via Trendsales. Hun blev kontaktet af en person T, der foregav at ville købe varen, og som meddelte klageren, at person T skulle bruge hendes telefonnummer for at gennemføre købet. Klageren modtog herefter en SMS, der forestillede at være fra Trendsales, hvoraf fremgik, at en person T havde købt hendes vare, og at hun skulle følge et link for at modtage betalingen. Ved at følge linket så klageren, at der var et billede af den vare, som angiveligt var solgt, samt en tekst, der angav, at klageren skulle oplyse sine kortoplysninger for at modtage betalingen. Klageren ville herefter modtage et nummer, som hun skulle anføre på pakken med varen, når hun sendte denne via posten.

Klageren har oplyst, at hun indtastede sine kortoplysninger, men at det ikke virkede. Da hun prøvede anden gang, fik hun en meddelelse om, at hun skulle logge ind med MitID. Klageren har oplyst, at der i anmodningen i MitID ikke fremgik et beløb. Klageren har endvidere oplyst, at det af linket fremgik, at Trendsales var i gang med et verificere hendes kort, hvilket ville tage en time. Efter en time forsøgte klageren igen at tilgå linket, men på dette tidspunkt virkede linket ikke længere. Når hun trykkede på linket, fremgik det, at der var sket en fejl. Klageren har oplyst, at hun kl. 17.40 samme dag modtog en besked fra banken, hvoraf fremgik, at der kl. 17:38 var reserveret 900 USD til Mobilepay, hvilket klageren ikke havde accepteret.

Klageren har oplyst, at hun indså, at person T havde anvendt hendes mobiltelefonnummer og kortoplysninger til at foretage transaktionen, hvorfor hun gik ind på sin netbank og spærrede sit kort. Klageren har oplyst, at hun konstaterede, at nogen havde flyttet 10.000 DKK fra hendes opsparingskonto til hendes NemKonto, og at banken allerede havde spærret hendes MasterCard. Klageren har oplyst, at hun tilbageførte beløbet på 10.000 DKK. Hun tilgik herefter sit MitID, hvor hun konstaterede, at der var givet tilladelse til ændringer i MitID. Hun spærrede herefter sit MitID. Klageren har oplyst, at hun dagen efter kontaktede banken og gjorde indsigelse mod betalingen på 900 USD.

Banken afviste klagerens indsigelse med begrundelsen, at hun ved groft uforsvarlig adfærd havde muliggjort den uberettigede anvendelse, hvorfor klageren selv hæftede for 8.000 DKK.

Banken har fremlagt en udskrift af MitID-portalen, hvoraf klagerens MitID-identifikationer er registreret. Heraf fremgår, at klageren inden den 20. februar 2023 havde to aktive MitID-identifikationsmidler:

Serienummer

Enhedstype

Oprettet

[-0608]

iPhone X

21-03-2022

[-2504]

iPhone 14,5

24-04-2022

Af udskriften fremgår herudover, at der den 20. februar 2023, kl. 17:31 blev oprettet endnu et MitID-identifikationsmiddel med serienummer -2197 på en iPhone 12 enhed.

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår, at der den 20. februar 2023 blev foretaget to login på MitID ved brug af MitID-identifikationsmiddel   -2504, og at aktiveringen af MitID-identifikationsmiddel -2197 den 20. februar 2023 blev godkendt.

Banken har oplyst, at der inden godkendelse blev afsendt en notifikations-SMS til klagerens registrerede telefonnummer ved MitID fra MitID med følgende ordlyd:

”Du har bedt om adgang til at ændre oplysninger på MitID.dk og kan logge på om 1 time.

Har du ikke bedt om adgang? Ring til MitID support +4533980010.”

Efter godkendelsen blev der sendt endnu en notifikations-SMS fra MitID med følgende indhold til klagerens telefonnummer:

”Du har nu adgang til at logge på MitID.dk og ændre oplysninger i 24 timer.

Har du ikke bedt om adgang? Ring til MitID support +4533980010.”

Banken har oplyst, at et MitID-identifikationsmiddel med et specifikt serienummer kun kan være installeret på én enhed, ligesom der ved en godkendelsesprocedure altid skal foretages en fysisk swipe-bevægelse på den enhed, som godkendelsesanmodningen er sendt til.

 

Banken har fremlagt transaktionsoplysninger og en e-mail fra Nets, hvoraf fremgår, at klagerens betalingskort -670 den 20. februar 2023, kl. 17:38 blev anvendt til at foretage betalingen på 900 USD. Banken har anført, at klagerens MitID-identifikationsmiddel -2197 blev anvendt til at godkende betalingen.

Klageren har fremlagt en artikel af 2. juni 2023 med titlen ”Opdatering af MitID app skal mindske svindel og gøre det nemmere at bruge MitID på mobilen” fra Digitaliseringsstyrelsen, hvoraf det blandt andet fremgår, at MitID udkom med en opdatering af MitID, der ville mindske risikoen for svindel og gøre det nemmere at godkende med MitID fra sin mobiltelefon.

Parternes påstande

Den 14. april 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal betale hende 6.315,05 DKK.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun ikke har handlet groft uforsvarligt.

Der er mange, der har været udsat for det samme som hende, og det bør ikke være hende, der hæfter for det.

MitID er alt for usikkert, hvorfor brugeren af dette ikke bør hæfte for misbrug heraf. MitID har indført et nyt system, hvor man skal anvende en QR-kode for at foretage en transaktion. MitID har med det nye tiltag erkendt, at det ikke har været tilstrækkeligt sikkert, og at der er et problem, da mange har fået misbrugt deres betalingstjenester.

Hun er blevet udsat for svindel i et godkendelsessystem, som ikke var sikkert nok, og som man nu forsøger at ændre. Digitaliseringsstyrelsen har vurderet, at godkendelsessystemet ikke har været sikkert nok.

Hun har handlet i god tro. Hun kontaktede straks banken og lukkede sine kort, da hun blev mistænksom på misbruget.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført, at idet klageren har udleveret sit mobiltelefonnummer, betalingsoplysninger og godkendt et nyt MitID-identifikationsmiddel, har klageren udvist en adfærd, som kan betegnes som groft uforsvarlig, hvorfor hun hæfter med 8.000 DKK. 

Godkendelsesanmodningen vedrørende installeringen af et nyt MitID-identifikationsmiddel blev sendt til en enhed, hvor klagerens MitID-identifikationsmiddel med serienummeret -2504 var installeret. Det er kun klageren selv, der kan foretage en fysisk swipe-bevægelse i forbindelse med godkendelsen af installeringen af et nyt MitID-identifikationsmiddel. En sådan fysisk swipe-bevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, ligesom en fysisk swipe-bevægelse/godkendelsesanmodning ikke kan fjerngennemføres.

Både inden og efter installeringen af et nyt MitID-identifikationsmiddel blev der sendt notifikations-SMS herom til klagerens registrerede telefonnummer.

Klageren muliggjorde ved oprettelsen af et nyt MitID-identifikationsmiddel den transaktion, som klageren har gjort indsigelse mod.

Banken har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise at behandle klagen, idet en afgørelse forudsætter yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkøbing Landbobank, hvor hun havde en konto med et tilknyttet betalingskort -670.

Den 20. februar 2023 kl. 17:38 blev klagerens betalingskort anvendt til en betaling på 900 USD, svarende til 6.315,05 DKK, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift af MitID-portalen over klagerens MitID-identifikationsmidler, hvoraf fremgår, at klageren inden den 20. februar 2023 havde to aktive MitID-identifikationsmidler -0608 og -2504. Det fremgår herudover af klagerens MitID-log, at det den 20. februar 2023, kl. 17:31 med MitID-identifikationsmiddel med serienummer -2504 blev godkendt, at der blev oprettet endnu et MitID-identifikationsmiddel med serienummer -2197 på en iPhone 12 enhed.

Banken har fremlagt transaktionsoplysninger og en e-mail fra Nets, hvoraf fremgår, at klagerens betalingskort -670 den 20. februar 2023, kl. 17:38 blev anvendt til at gennemføre betalingen på 900 USD. Banken har anført, at betalingen blev godkendt med klagerens MitID-identifikationsmiddel -2197.

Ankenævnet lægger til grund, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket heller ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Bo Østergaard, Jonas Thestrup Nielsen og Karin Sønderbæk – udtaler:

Vi finder det godtgjort, at klageren uforvarende har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 20. februar 2023 har godkendt aktiveringen af MitID-identifikationsmidlet på tredjemands enhed i sin MitID, hvorved en svindler har kunnet foretage den omtvistede betaling.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Finn Borgquist – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3. 

Vi stemmer derfor for, at banken skal tilbageføre 5.940,05 DKK til klageren. 

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.