Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.

Sagsnummer: 725/2023
Dato: 06-11-2024
Ankenævn: Bo Østergaard, Christina Bryanth Konge, Janni Visted Hansen, Rolf Høymann Olsen og Anna Marie Schou Ringive.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Klageren har oplyst, at han drev en enkeltmandsvirksomhed, E, som bibeskæftigelse.

Klageren har endvidere oplyst, at han den 15. november 2022 modtog en mail, der fremstod som den kom fra Simply.com. Af mailen fremgik:

”[domænenavn]

Du risikerer at miste dette domæneKære

Kære hr./frue,

Dit domænenavn blev udløbet for 3 dage siden og ikke fornyet. Vi bemærkede en afvisning af din konto, da vi forsøgte at opkræve omkostningerne ved den endelige fornyelse af dine tjenester.

Domæne: [domænenavn]

HURTIG FORNYELSE

Klageren har oplyst, at han krydstjekkede og så, at hans konto med domænet allerede var lukket, og trykkede på linket i mailen, der ledte ham til en betalingsside med et beløb, der viste 206,96 DKK.

Klageren har fremlagt et print af det betalingsvindue, som mailen linkede til, hvor der skulle angives kortoplysninger i form af kortnummer, udløbsdato og CVR-nummer, hvorefter man kunne klikke på en bjælke med teksten ”Fuldfør betaling”.

Klageren har oplyst, at da han ikke havde anvendt MitID-appen før, måtte han først installere MitID-appen på sin telefon. Da han startede med at oprette MitID-appen, skete der en masse pålogninger, og han fik tilsendt flere aktiveringskoder til oprettelse af MitID. I forbindelse med ”bombarderingen med aktiveringskoder”, blev klageren lokket til at foretage sig en handling, han ikke selv havde startet, ”da beløbet fra 206,96 kr. ændrede sig til 2.006,96 Euro i et splitsekund”.

Den 15. november 2022 blev der foretaget en betaling på 2.060,99 EUR med klagerens betalingskort til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift af klagerens MitID-portal, hvoraf fremgår, at klageren den 15. november 2022 kl. 19:55 installerede MitID med identifikationsnummer -7624 på en Android enhed. Det fremgår endvidere, at det var den eneste aktive MitID-app, der var oprettet på dette tidspunkt.

Banken har oplyst, at kortbetalingen den 15. november 2022 kl. 20:03 blev godkendt med stærk kundeautentifikation i klagerens MitID-app med identifikationsnummer -7624.

Banken har endvidere oplyst, at det fremgik af Nets autentifikationsportal i forbindelse med bankens behandling af klagerens indsigelse, at klageren fik præsenteret følgende tekst i sin MitID-app umiddelbart inden godkendelse af betalingen:

”Betal 2060,99 EUR til [F] fra kort xx7110”

Teksten er på grund af den medgåede tid ikke længere gemt hos Nets.

Transaktionen blev bogført på klagerens konto den 18. november 2022 med 15.564,07 DKK.

Ved en tro- og loveerklæring af 27. november 2022 gjorde klageren over for banken indsigelse mod betalingen på 2.060,99 EUR svarende til 15.564,07 DKK. Klageren oplyste, at han spærrede kortet den 15. november 2022 kl. 20:45 hos bankens hotline og oplyste følgende om hændelsesforløbet:

”Den 15 nov. Modtog jeg på mail vi mit domænenavn udbyder Simply.com i mit interne mailsystem, om at jeg skulle forny mit abonnement da mit domæne [navn] var udløbet. Det var en tro kopi af Simply’s normale mails om domænefornyelse. Der var til mailen knyttet et link, der ledte til betalingssiden (se medsendte dokumenter).

Efter at man trykkede på linket, fremkom en betalingsside med opfordring at betale via Mitid-App. Da jeg ikke havde MItid på min telefon, installerede jeg først Mitid på telefonen og prøvede at betale via det, det lykkedes ikke første gang, og betalingsopfordringen på hjemmesiden – viste timeout for godkendelsen og startede på ny. Det skete flere gange, hvorefter jeg blev mistænksom og ringede omgående til Jyske Bank for at spærre mit VISA/Dankort. Efter aftale med medarbejderen hos Jyske Banks hotline blev mit kort spærret, kortet blev spæret direkte og medarbejderen sagte at der ikke var trukket noget endnu, men at jeg skulle holde øje med min kontostand og gøre indsigelse, hvis der var foretaget hævninger jeg ikke kendte til. Spærringen blev foretaget om aftenen d 15 nov 2022.

Jeg kontaktede også min internetudbyder Simply.com næste dag, og de bekræftede at mailen jeg havde fået var en Phishing mail, og de sendte efterfølgende en advarsel til alle kunder.

Den 18.11 var der desværre blevet hævet 2060,99 fra [F], med angivet hævedato den 16.11.2022. Der er ikke siden hævet penge fra min konto.

Billeder fra mailen og hjemmesiden med betalingsside er vedlagt i vedlagte dokument.”

Banken godtgjorde klageren 7.564,07 DKK svarende til klageren tab fratrukket 8.000 DKK.

Klageren gjorde over for banken indsigelse mod bankens afgørelse, og banken fastholdt, at klageren selv hæftede for 8.000 DKK.

Den 1. december 2023 indbragte klageren sagen for Ankenævnet.

I klagen til Ankenævnet anførte klageren blandt andet:

”…

Den 15.11.22 er der via phishing foretaget en utilsigtet hævning på mit kreditkort på 2006,96 Euro (15.564,07 kr.[)]. Jeg modtog en e-mail der angav at være fra Simply.com, som er min domænenavnudbyder. Af e-mailen fremgik, at jeg skulle forny mit abonnement, da domænet ellers ville udløbe. Jeg krydstjekkede og så, at min konto med mit domæne allerede var lukket. Det anså jeg som en trussel imod mit domæne og hjemmeside, så jeg trykkede på linket i mailen, der ledte til betalingssiden med et beløb, der viste 206,96 kr. Siden var en tro kopi af de normale betalingssider hos Simply.com, og passede med det beløb jeg normalt betaler for et domæne.

Jeg havde ikke anvendt Mit ID Appen før, så først måtte jeg installere Mit ID app på min tlf, Bilag 2 og fra kl 19.54.21, hvor jeg starter med at oprette min NemID App til svindlen gennemføres kl 20.03 er der 15 logs nogle - fejler - iht aktivitetslisten på Mit ID profil Kl. 20.03.21 fejler min App autorisering og jeg skynder mig at prøve igen, hvilket så lykkes kl. 20.03.33 og i disse millisekunder sker phishingen. Bombarderingen med aktiverings koder til installering af NEM ID app´ en, blev sendt på kort tid og sammenfaldende, blev jeg blev lokket til at foretage mig en handling, jeg ikke selv havde startet, da beløbet fra 206, 96 kr ændrede sig til 2006,96 Euro i et splitsekund.

…”

Parternes påstande

Den 1. december 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal betale 7.625 DKK og alene opkræve en selvrisiko på 375 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han har været offer for avanceret svindel.

Han har opfyldt sin tabsbegrænsningspligt, da phishingen skete kl. 20.03, og kortet omgående blev spærret den 15. november 2022, da han fik mistanke om misbrug. Der var ventetid på telefonen til at gennemføre spærringen, og han kunne ikke handle hurtigere, end han gjorde.

Det var hans første brug af MitID-appen, og han fik først tildelt adgang til MitID-app App på sin telefon kl. 19:56 og fik sendt ny pinkode kl. 19:59. MitID-app autentificeringen til anvendelse for første gang lykkedes kl. 19:58. Han ændrede pinkode kl. 19:59, godkendelsesprocessen startede kl. 20:02:53. Autentificeringen fejlede kl. 20:03:21, og den lykkedes kl. 20:02:33. Beløbet ændrede sig pludseligt fra 206,96 DKK til 2006,96 EUR under processen i det splitsekund, hvor han stod imellem app autentificeringen, der mislykkedes, hvorfor han genindtastede pinkode til dette, for at blive godkendt på appen. Han havde lige gennemgået en ti trins installering af MitID-app, var forvirret, og det var svært at holde overblikket. Phishingen foregik også mellem kl. 20:03:21 og kl. 20:03:33.

Hans modersmål er tysk, og desuden er han ordblind, så han havde ingen forudsætninger for at opdage, at der var stavefejl i mailen, som han troede var fra Simply.com

Bankens indsigelsesafdeling har i et brev af 5. december 2022 til ham formuleret sig med både flere stavefejl og mange kommafejl, så det af banken anførte om, at han burde have været opmærksom på nogle få stavefejl i phishingmailen, når bankens egen indsigelsesafdeling ikke selv kan svare på korrekt dansk, bestrides.

Banken har anført, at da mailen kom den 15. november 2022 kl. 9.38 om morgenen, burde han have kontaktet Simply.com pr. telefon. På daværende tidspunkt var han imidlertid på arbejde og tjekkede ikke mails vedrørende sin bibeskæftigelse i arbejdstiden, og han kunne først sent den pågældende aften beskæftige sig med sine private gøremål og læse mailen fra Simply.com.

Han havde ingen forudsætninger for at gennemskue svindlen og har ikke opført sig uansvarligt. Mailen fremstod som om, at den kom fra hans domæneudbyder, og beløbet på betalingssiden passede med det normale beløb for domænenavn på 206,96 DKK, og han havde tillid til Simply.com, da betalingssiden så rigtig ud.

Han er meget påpasselig på nettet. Han handler ikke meget online, og er ikke på Facebook, Messenger og Instagram. Indtil hændelsen den 15. november 2022 anvendte han udelukkende MitID med nøgleviser på sin computer, da han ikke var tryg ved at anvende MitID-appen på sin telefon, men hellere ville sidde ved sin store computerskærm med bedre overblik. Han var således helt uerfaren i at anvende MitID-appen. Da han havde forstået, at man pr 1. november 2022 ikke kunne anvende nøglekodeviser til udenlandske betalinger, så han sig nødsaget til at installere MitID-app på sin telefon den pågældende aften.

Installeringen foregik via ti trin, der skulle udføres for at få MitID-app samtidig med, at man fire gange skulle indtaste personlige pinkoder. Han var helt uerfaren i at bruge MitID-app på telefonen, og dette udnyttede de kriminelle phishingsvindlere, så han fik godkendt en anmodning, som han ikke selv havde startet.

Under hændelsen var han virkelig presset, da han anså det som en trussel, at hans domænekonto var lukket. Han havde blandt andet flere mislykkede forsøg på scanning af sit pas for oprettelse af MitID-app kombineret med dårlig mobildækning, hvorfor han var nødt til at gå rundt i huset og op på første sal for at fange forbindelse, således at nogle SMS’er i forbindelse med oprettelsen af appen kom næsten oveni hinanden.

Han var i situationen slet ikke fortrolig og ikke tryg ved brugen af MitID-app, da han var nybegynder. Dette bekræftes, når man ser de mange aktiviteter på loghændelsesforløbet på hans MitID-profil fra kl. 19:54 og fremefter.

Der var tale om simpel uagtsomhed men ikke groft uforsvarlig adfærd, da han blev udsat for avanceret svindel i de første minutter og første gang han benyttede MitID-appen. Den store stressfaktor han oplevede i det korte intense tidsrum på under fem minutter, hvor han installerede MitID-appen, og phishingen foregik, sammenholdt med den trussel, han følte, da hans firmakonto på hostingsiden Simply.com var lukket ned, var lige præcis det svindlerne udnyttede til at begå den kriminalitet, som han ikke havde en forudsætning for at gennemskue.

Det undrer ham, at der ikke er udviklet en sikkerhed, så nybegyndere på MitID-appen ikke i de første minutter af brugen af denne app kan snydes af udspekulerede svindlere. Der burde være en tidslås på en time eller mere, så man ikke kunne forhaste sig ved den første brug, inden man havde lært systemet at kende.

Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at transaktionen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl. Klageren autoriserede transaktionen med sit MitID -7624, og transaktionen blev dermed godkendt med stærk kundeautentifikation.

Klageren har ifølge ham selv fulgt et link i en falsk mail, hvori han fik oplyst, at hans domæne var udløbet, og at han skulle forny det ved at godkende en betaling. Yderligere indtastede han sine kortoplysninger og godkendte betalingstransaktionen i sin egen MitID-app.

Det fremgik af godkendelsesteksten i klagerens MitID, at betalingsmodtageren var F, og at beløbet på 2.060,99 EUR ville blive trukket på hans betalingskort. Det måtte derfor være klart for klageren, at han var ved at foretage en betaling på 2.060,99 EUR til en anden betalingsmodtager.

Mailen var uklart formuleret på dårligt dansk. Den indeholdt blandt andet udtryk som ”Dit domænenavn blev udløbet for 3 dage siden og ikke fornyet” og ”Vi bemærkede en afvisning af din konto”, hvorfor klageren burde have undersøgt sagen nærmere, før han fulgte linket og godkendte betalingen.

Klagerens oplysninger om, at han var nødt til at installere MitID for at gennemføre betalingen som følge af, at der var tale om en udenlandsk betaling, burde også have givet klageren anledning til at standse op og undersøge forholdet nærmere, når betalingen var tiltænkt at skulle ske til en dansk modtager

Klageren muliggjorde betalingen ved groft uforsvarlig adfærd, hvorfor han hæfter med 8.000 DKK, jf. betalingslovens § 100, stk. 4. Det forhold, at klagerens modersmål ikke er dansk, samt at han er ordblind, medfører ikke, at klageren er fritaget for at hæfte med 8.000 DKK af betalingen.

Hvis Klageren ikke kunne gennemskue ”proceduren” i forbindelse med oprettelse af MitID- appen, kunne han have undladt oprettelsen på dette tidspunkt og i stedet have kontaktet MitID-supporten den følgende dag.

Banken er ikke ansvarlig for, at oprettelsen af MitID-appen ifølge klagerens oplysninger blev besværliggjort som følge af, at hans internetforbindelse tilsyneladende er ustabil. Dette er alene et forhold, som klageren selv ”hæfter” for.

Det følger af betalingslovens § 111, at en betalingsordre ikke kan tilbagekaldes efter, at den er modtaget af banken. Betalingen blev modtaget af banken på det tidspunkt, hvor den blev godkendt med klagerens kortoplysninger og i hans MitID-app den 15. november 2022 kl. 20:03. Fra dette tidspunkt var banken ikke berettiget til at tilbageføre betalingen. Det gælder uanset, at betalingen først blev trukket fra klagerens konto på et senere tidspunkt og dermed efter, at kortet blev spærret.

Banken har til støtte for afvisningspåstanden anført, at der foreligger en sådan usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet og i MitID-appen, at en afgørelse af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring. Dette kan ikke ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Visa/dankort.

Den 15. november 2022 blev der foretaget en betaling på 2.060,99 EUR med klagerens betalingskort til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren har oplyst, at han fulgte et link i en falsk mail, hvori han fik oplyst, at hans domæne var udløbet, og at han skulle forny det ved at godkende en betaling. Han krydstjekkede og så, at hans konto med domænet allerede var lukket, og trykkede på linket i mailen, der ledte ham til en betalingsside med et beløb, der viste 206,96 DKK.

Klageren har fremlagt et print af det betalingsvindue, som mailen linkede til, hvor der skulle angives kortoplysninger i form af kortnummer, udløbsdato og CVR-nummer, hvorefter man kunne klikke på en bjælke med teksten ”Fuldfør betaling”.

Klageren har oplyst, at da han ikke havde anvendt MitID-appen før, måtte han først installere MitID-appen på sin telefon. Da han startede med at oprette MitID-appen, skete der en masse pålogninger, og han fik tilsendt flere aktiveringskoder til oprettelse af MitID. I forbindelse med ”bombarderingen med aktiveringskoder”, blev klageren lokket til at foretage sig en handling, han ikke selv havde startet, ”da beløbet fra 206,96 kr. ændrede sig til 2.006,96 Euro i et splitsekund”.

Banken har anført, at klageren selv godkendte betalingen i sin MitID-app -7624, hvoraf beløb, beløbsmodtager og valuta fremgik ved godkendelsen.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Bo Østergaard, Christina Bryanth Konge og Janni Visted Hansen – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 2.060,99 EUR med sit MitID.

Vi finder herefter, at Jyske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 2.060,99 EUR og beløbsmodtageren, F, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Anna Marie Schou Ringive – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Vi finder ikke, at Jyske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at Jyske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, Jyske Bank skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.