Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 362/2024 |
| Dato: | 31-01-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Karin Sønderbæk, Rolf Høymann Olsen og Martin Hare Hansen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort -5687.
Den 14. marts 2024 blev der gennemført en kortbetaling på 2.279,96 USD svarende til 15.569,88 DKK med klagerens betalingskort til en betalingsmodtager, H, som klageren ikke kan vedkende sig. Samme dag blev der gennemført en kortbetaling på 1,99 USD svarende til 13,64 DKK med klagerens betalingskort til en betalingsmodtager, S, som klageren ikke kan vedkende sig.
Betalingerne blev bogført på klagerens konto den 18. marts 2024. Den samme dag kontaktede klageren banken og fik spærret sit kort. Den 26. marts 2024 gjorde klageren indsigelse mod betalingerne over for banken. I forbindelse med indsigelsen oplyste klageren:
”Jeg havde bestilt nyt Visa kort, som var sendt med posten. Jeg modtog kortet med posten og aktiverede det via mobilbank.
Jeg plejer bruge Visa kort i mobile pay og så vidt jeg kan huske var en reminder i mobile pay for opdatering af oplysninger.
Jeg modtog også en SMS med link den 6. marts 2024 mhp opdatering af oplysningerne af min mobile pay. Jeg har ikke givet andre adgang til min mobil via en fjernadgang. For at tilføje det nye Visa kort har jeg nok brugt mit ID ved opdatering af oplysninger i mobile pay. … Jeg vedlægger hermed den nævnte SMS.”
Banken godtgjorde klageren 7.583,52 DKK, svarende til den ikke-vedkendte betaling på 15.569,88 DKK til H fratrukket 8.000 DKK og tillagt et beløb på 13,64 DKK for den ikke vedkendte betaling på 13,64 DKK til S. Sagen angår herefter spørgsmål om hæftelse med 8.000 DKK for transaktionen til H på 2.279,96 USD svarende til 15.569,88 DKK.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -0812. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf det blandt andet fremgår, at MitID -0812 blev aktiveret 26. maj 2022. Banken har endvidere fremlagt en udskrift fra sit system med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 2279,96 USD til [H] fra kort xx5687.”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Parternes påstande
Den 4. juli 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham det fulde beløb.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han straks, da han opdagede transaktionen på 2.279,96 USD den 18. marts 2024, kontaktede banken, informerede om episoden og fik spærret sit kort.
Han indgav rettidig indsigelse.
Han er en meget opmærksom og forsigtig person og checker altid alle detaljer med beløb, bestilling og modtager inden godkendelse. Han er helt sikker på, at han ikke har set og godkendt det nævnte beløb på 15.569,88 DKK.
Han har ageret korrekt og rettidigt og hæfter ikke for 8.000 DKK.
Banken henviste i øvrigt til en MitID, men ved check i MitID-konto kan han ikke se at denne MitID tilhører ham.
Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført.
Korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation. MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. På den baggrund må det lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.
Klageren har sandsynligvis været udsat for phishing og må i den forbindelse selv have videregivet sine kortoplysninger til tredjemand, hvilket muliggjorde betalingen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var H, og at beløbet på 15.569,88 DKK ville blive trukket på klagerens betalingskort.
Det måtte være klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til en ukendt betalingsmodtager.
Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 DKK i henhold til betalingslovens § 100, stk. 4. Klageren er derfor alene berettiget til en godtgørelse på 7.583,52 DKK, svarende til det ikke-vedkendte beløb på 15.569,88 DKK fratrukket 8.000 DKK og tillagt det ikke vedkendte beløb på 13,64 DKK.
Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort -5687.
Den 14. marts 2024 blev der gennemført en kortbetaling på 2.279,96 USD svarende til 15.569,88 DKK med klagerens betalingskort til en betalingsmodtager, H, som klageren ikke kan vedkende sig. Samme dag blev der gennemført en kortbetaling på 1,99 USD svarende til 13,64 DKK med klagerens betalingskort til en betalingsmodtager, S, som klageren ikke kan vedkende sig
Klageren har oplyst, at han den 6. marts 2024 havde modtaget en sms med et link vedrørende opdatering af oplysninger i MobilePay, og at han nok brugte MitID ved opdatering af oplysninger i MobilePay.
Banken har anført, at klageren selv godkendte betalingen i sin MitID-app, hvor beløb, beløbsmodtager og valuta fremgik ved godkendelsen.
Banken har dækket klagerens tab med 7.583,52 DKK, svarende til den ikke-vedkendte betaling på 15.569,88 DKK til H fratrukket 8.000 DKK og tillagt et beløb på 13,64 DKK for den ikke vedkendte betaling på 13,64 DKK til S. Sagen angår herefter spørgsmål om hæftelse med 8.000 DKK for transaktionen til H på 2.279,96 USD svarende til 15.569,88 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).
Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og
Karin Sønderbæk – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 2.279,96 USD med sit MitID.
Vi finder herefter, at Danske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 2.279,96 USD og beløbsmodtageren, H, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Martin Hare Hansen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Vi finder ikke, at Danske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at Danske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at Danske Bank skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.