Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID-app.

Sagsnummer: 144/2024
Dato: 21-10-2024
Ankenævn: Vibeke Rønne, Janni Visted Hansen, Karin Sønderbæk, Rolf Høymann Olsen og Ann-Mari Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID-app.
Indklagede: Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID-app.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 28. december 2023 blev der foretaget en betaling på 14.689,02 kr. med klagerens betalingskort til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Banken har fremlagt en udskrift fra sit system og har oplyst, at det fremgår heraf, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app - 2970, der blev installeret og aktiveret på klagerens iPhone 11 3.2.3 (12) den 27. december 2023. Banken har oplyst, at aktiveringen af MitID-app -2970 ifølge bankens oplysninger foregik ved brug af klagerens pas og ansigtsgenkendelse, hvor klagerens ansigt blev scannet og derved genkendt som led i godkendelsesprocessen, og at det derfor er bankens vurdering, at klageren var i besiddelse af den iPhone 11, hvorpå der blev aktiveret en ny MitID-app den 27. december 2023.

Banken har oplyst, at det endvidere fremgår af bankens systemer, at klageren ligeledes havde en aktiv MitID-app -9309, der blev installeret og aktiveret på klagerens iPhone 11 3.2.3 (12) den 24. april 2023 og spærret den 28. december 2023.

Banken har endvidere oplyst, at det fremgår af bankens systemer, at følgende tekstblev vist i klagerens MitID-app -2970 forinden godkendelsen:

”Betal 14689,02 DKK til [F] fra kort xx3665”

Transaktionen blev bogført på klagerens konto den 2. januar 2024.

Ved en tro- og loveerklæring af 2. januar 2024 gjorde klageren over for banken indsigelse mod betalingen på 14.689,02 kr.

Banken godtgjorde klagerens tab fratrukket 8.000 kr. svarende til 6.689,02 kr.

Klageren klagede over bankens afgørelse, og i en mail af 21. februar 2024 til klageren anførte banken:

”…

Vi forstår, at klagen vedrører en betaling på 14.689,02 DKK foretaget med dit Visa/Dankort den 28. december 2023, til [F].

Du har oplyst, at baggrunden for denne betaling er, at du modtog en sms - angiveligt fra PostNord, men i virkeligheden formentlig fra svindlere - med information om, at du skulle betale en toldafgift for at få en pakke leveret ved at trykke på et link og udfylde dine personlige oplysninger, herunder dine kortoplysninger, hvilket du gjorde.

Det fremgår af bankens oplysninger, at dit MitID blev tilkoblet en iPhone 11 den 27. december 2023. Det fremgår endvidere af bankens oplysninger, at tilkoblingen af dit MitID foregik ved, at dit pas og ansigt blev scannet i processen.

Det er således bankens vurdering, sammenholdt med oplysninger hos MitID (Få MitID app med pas trin 5 – Aktiver MitID app - MitID), at du var i besiddelse af den iPhone 11, hvortil der blev tilkoblet et nyt MitID. I forlængelse heraf er det vores vurdering, at du var i besiddelse af den iPhone 11, som godkendte den ikke vedkendte transaktion den 28. december 2024.

Det er derfor bankens vurdering, baseret på din forklaring omkring sms’en fra ”Postnord”, at du desværre har været udsat for phishing og derigennem er kommet til at foretage og godkende betalingen.

Med henvisning til betalingslovens § 100, som inkorporeret i bankens Regler for Visa/Dankort, punkt 11, og fast praksis i Det finansielle ankenævn, er banken i sådanne sager som udgangspunkt forpligtet til at godtgøre dig betalingen, dog med fradrag af 8.000 DKK, som du således selv hæfter med.

Da du allerede er blevet godtgjort 6.689,02 DKK (14.689,02 DKK- 8.000 DKK), vil du desværre ikke blive godtgjort yderligere med henvisning til ovenstående.

Vi skal desuden bemærke, at det er korrekt, at dit Visa/Dankort blev spærret umiddelbart efter, at den pågældende transaktion til [F] var blevet foretaget og godkendt. Banken havde imidlertid ikke mulighed for at stoppe denne betaling, idet betalingen blev godkendt med MitID, hvorfor den ikke kunne tilbagekaldes i henhold til afsnit 3.1 i bankens regler for Visa Dankort. Det følger tilsvarende af betalingsloven § 111, stk. 1, at banken ikke kan tilbagekalde en betaling efter, at instruksen om betalingen er modtaget af banken.

Vi har forståelse for, at det er en ærgerlig situation, men vi kan alene opfordre til at være mere opmærksom på svindlere fremover.

…”

Den 1. marts 2024 indbragte klageren sagen for Ankenævnet.

Klageren anførte i forbindelse med klagen følgende:

”Sagens forløb

Den 27.12.2023 har jeg fået en sms med reference til PostNord. Den fortæller, at min pakke er ankommet til postterminalen og der skal betales 19 kr. i toldafgift for at få den leveret.

Jeg havde bestilt en pakke for lidt over 300 kr. og jeg tænkte at det nok er bedst at betale de 19 kr så pakken ikke bliver sendt tillbage. Derfor har jeg klikket på linket den 28.12.2023, hvor jeg har angivet kortoplysninger som efterfølgende skulle godkendes med MitID.

Godkendelsen med MitID gik galt da jeg ikke kunne se at de 19 kr. blev trukket fra min konto. Jeg har overhoved ikke observeret et beløb ved denne godkendelse. Derfor antog jeg at transaktionen ikke blev gennemført og vil prøve igen. Her opdagede jeg at MitID var spærret og vil først blive tilgængelig efter en time. Der blev jeg klar over at der er noget galt. Anden godkendelse blev aldrig til nonget.

Jeg ringede derfor til Danske Bank med det samme, for at gør opmærksom på, at jeg måske har været udsat for svindel og ønsker at spærre mit kort. Min datter var med på medhør da jeg talte med Bankrådgiveren. Han fik straks spærret kortet og bestilte et nyt. …

…”

Parternes påstande

Den 1. marts 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal betale 8.000 kr. til hende.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun har været udsat for internetsvindel.

Hun har ikke swipet til godkendelse af nogen transaktion. Normalt popper beløbet op, så der kan swipes og godkendes. Hun kunne på intet tidspunkt se noget beløb, som hun skulle godkende, hverken under den påstående godkendelse eller på sin konto.

Den anden uforklarlige hændelse var spærring af hendes MitID. Hvorfor blev hendes personlige sikkerhedsforanstaltning (MitID) spærret en hel time efter den påstående godkendelse. Hun har talt med MitID om det, men hun har ikke fået nogen tilfredsstillende forklaring.

Hun har handlet i god tro og forsvarligt, idet hun rettede henvendelse til banken med det samme, da hun fik mistanke om misbrug, hun spærrede sit betalingskort, hun undersøgte om der var sket misbrug, og hun bad banken om at annullere det reserverede beløb. Der var ikke tale om et beløb, som hun havde godkendt. Hun kunne ikke gøre mere i sagen.

Hun er meget skuffet bankens håndtering af svindelsagen. Banken kunne se det reserverede beløb og havde adgang til information, som hun ikke kunne se. Banken havde denne information i fem dage og havde adgang til at annullere transaktionen. Banken evnede ikke at beskytte hende som kunde i kampen mod svindlerne, selv om den havde ny teknologi og systemer, der giver banken adgang til alle informationer.

Banken har handlet groft uansvarligt, da den havde fem dage til at forhindre, at beløbet blev trukket fra hendes konto. Hun har ikke tillid til, at banken vil gøre yderligere for at inddrive de penge, som den reelt har givet til svindlerne. Banken må derfor tage ansvaret for hele beløbet og tilbagebetale den selvrisiko på 8.000 kr., som den har tilbageholdt.

Danske Bank har til støtte for frifindelsespåstanden anført, at korttransaktionen på 14.689,02 kr., som klageren har gjort indsigelse imod, er korrekt registeret og bogført.

Korttransaktionen er autoriseret med klagerens MitID-app, og dermed godkendt med stærk kundeautentifikation (to-faktor-autentifikation).

MitID-app’en var installeret på klagerens telefon efter godkendelse via MitID med klagerens pas og ansigtsgodkendelse, og det må på den baggrund lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.

Klageren videregav selv sine kortoplysninger til tredjemand, der muliggjorde betalingsanmodningen.

Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var F, og at beløbet på 14.689,02 kr. ville blive trukket på klagerens betalingskort. Det måtte således være klart for klageren, at hun var ved at foretage en betaling på det pågældende beløb til en ukendt modtager.

Klageren befandt ikke sig i en presset situation i forbindelse med udleveringen af sine kortoplysninger og den efterfølgende godkendelse af betalingen.

Klageren muliggjorde således betalingen ved groft uforsvarlig adfærd, hvorfor klageren hæfter med 8.000 kr. i henhold til betalingslovens § 100, stk. 4.

Banken har allerede har godtgjort klageren den del af beløbet, der overstiger 8.000 kr.

Banken havde ikke mulighed for at stoppe betalingen i henhold til betalingslovens § 111, idet betalingen var blevet godkendt af klageren, og banken modtog betalingsordren allerede den 28. december 2023.

Banken har i øvrigt ikke handlet ansvarspådragende.

Banken har til støtte for afvisningspåstanden anført, at klagerens påstand om, at hun ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation, samt at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-appen, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.

En vurdering af sagen derfor vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Danske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort.

Den 28. december 2023 blev der foretaget en betaling på 14.689,02 kr. med klage-rens betalingskort til en udenlandsk betalingsmodtager, F, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun den 27. december 2023 modtog en SMS fra PostNord med information om, at hendes pakke var ankommet til postterminalen, og at der skulle betales 19 kr. i toldafgift for at få den leveret. Hun klikkede på linket den 28. december 2023, hvor hun angav de kortoplysninger, som efterfølgende skulle godkendes med MitID. Godkendelsen med MitID gik helt galt. Hun har ikke swipet til godkendelse af en transaktion. Normalt popper beløbet op, så der kan swipes og godkendes. Hun kunne på intet tidspunkt se noget beløb, som hun skulle godkende.  Derfor antog hun, at transaktionen ikke blev gennemført og ville prøve igen. Her opdagede hun, at hendes MitID var spærret og først ville blive tilgængeligt efter en time. Hun blev herefter klar over, at der var noget galt. Anden godkendelse blev aldrig til noget.

Banken har oplyst, at betalingen blev godkendt med klagerens MitID-app -2970, der blev installeret og aktiveret på klagerens iPhone 11 3.2.3 (12) den 27. december 2023. Banken har fremlagt en udskrift fra sit system, hvoraf fremgår den tekst, som blev sendt til klagerens MitID-app i forbindelse med godkendelse af betalingen.

Banken har dækket klagerens tab med fradrag af 8.000 kr.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Janni Visted Hansen og Karin Sønderbæk – udtaler:

Vi lægger til grund, at klageren må have godkendt betalingen på 14.689,02 kr. med sit MitID.

Vi finder herefter, at Danske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 14.689,02 kr. og beløbsmodtageren, F, og at klageren som følge heraf hæfter med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Ann-Mari Agerlin – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Vi finder ikke, at Danske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at Danske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at Danske Bank skal tilbageføre 7.625 kr. til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.