Indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay ved indrullering af et betalingskort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation.
| Sagsnummer: | 176/2023 |
| Dato: | 30-11-2023 |
| Ankenævn: | Vibeke Rønne, Jonas Thestrup Nielsen, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay ved indrullering af et betalingskort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay ved indrullering af et betalingskort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor hun havde konto og et Visa/Dankort -3354.
Den 29. november 2022 blev der med klagerens betalingskort foretaget to kortbetalinger på hver 475 EUR, svarende til 7.171,60 DKK, til en betalingsmodtager, R, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun handlede med R på internettet, og at hun tre dage før pengene skulle hæves anede uråd. Klageren har endvidere oplyst, at banken kontaktede hende den 29. november 2022 for at få en endelig godkendelse af betalingen, og at hun den 29. november 2022 straks skrev tilbage, at pengene ikke skulle hæves.
Banken har oplyst, at klageren ved henvendelse til banken oplyste, at hun den 29. november 2022 kl. 10:55 modtog en SMS-besked, som angav at stamme fra INFO, og har fremlagt en SMS-besked, hvoraf fremgår:
”Din forsendelse blev sat i bero, fordi leveringsadressen var forkert. Bestil venligst et nyt leveringsforsøg på: https://jpeg.ly/6y36”
Banken har endvidere oplyst, at betalingerne blev godkendt via Apple Pay med stærk kundeautentifikation, og har fremlagt en udskrift fra sine systemer, hvoraf fremgår, at betalingen blev gennemført med 3D Secure.
Banken har herudover oplyst, at der den 29. november 2022 kl. 13:32 blev sendt en SMS-besked fra banken til telefonnummer -53 med en installationskode til indrullering af klagerens kort i Apple Pay på en anden enhed. Telefonnummeret, som SMS-beskeden blev sendt til, er det samme telefonnummer som er registreret på klageren i bankens systemer, og klageren har ligeledes fremsendt dokumentation for modtagelsen af denne SMS-besked til bankens indsigelsesteam.
Banken har fremlagt en SMS-besked, hvoraf fremgår:
”Du er ved at installere Apple Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort 3354. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til banken. Koden er xxxxxx. Er du ikke i gang med at installere Apple Pay, så kontakt straks Jyske Bank på 89892800.”
Banken har endvidere fremlagt en udskrift fra sine systemer, hvoraf fremgår telefonnummer -53.
Banken har oplyst, at det ikke er muligt at installere Apple Pay uden koden fra SMS-beskeden, og anført, at klageren via linket, der angav at stamme fra INFO, sammen med sine kortoplysninger, videregav installationskoden til oprettelse af Apple Pay på tredjemands enhed, og at klagerens kortoplysninger herefter var indrulleret i Apple Pay på en tredjemands iOS-enhed.
Banken har endvidere oplyst, at der ved tilmelding af et betalingskort til Apple Pay, hvor det telefonnummer, der på SIM-kortet på telefonen ikke er det samme, som det telefonnummer banken har registreret kunden i bankens systemer, sker en yderligere verifikation ved tilmeldingen. Personen, der er ved at indrullere kortet til Apple Pay, får oplyst, at der bliver sendt en SMS-besked med en engangskode, som er en aktiveringskode til Apple Pay, til det telefonnummer, der er registreret på kunden i banken. Når aktiveringskoden modtages på dette telefonnummer, indtastes den på den enhed, der er ved at tilmelde betalingskortet til Apple Pay, og betalingskortet er herefter klar til brug på enheden. SMS-beskeden er en sikkerhed for kunden for, at der ikke uden dennes viden sker tilmelding af dennes betalingskort i Apple Pay på en enhed, der har et andet telefonnummer end kundens enhed.
Banken har anført, at indrulleringen af klagerens betalingskort i Apple Pay på en andens enhed er sket med stærk kundeautentifikation. SIM-kortet på klagerens telefon udgør besiddelseselementet, og kravet om, at der på den enhed, hvor betalingskortet er ved at blive udstedt er logget ind via ejeren af enhedens Apple-ID udgør videnselementet.
Banken har oplyst, at et betalingstoken er den elektroniske udgave af et betalingskort, og at betalingstokenet udstedes i forbindelse med indrulleringen af betalingskortet i Apple Pay og herefter kan benyttes i forbindelse med betaling ved hjælp af den respektive enhed.
Banken har anført, at de omstridte betalinger foretaget via det omtalte betalingstoken er udført ved hjælp af stærk kundeautentikation. Betalingstokenet udgør besiddelseselementet, og anvendelse af ansigtsgenkendelse, fingeraftryk eller personlig kode udgør henholdsvis det iboende element eller videnselementet.
Klageren gjorde den 2. december 2022 indsigelse over for banken. I indsigelsesblanketten anførte hun blandt andet, at hendes betalingskort havde været opbevaret i hendes pung, at betalingskortet ikke havde været lånt ud på noget tidspunkt, at hun sidst havde anvendt betalingskortet den 29. november 2022 ca. kl. 14:15, at hun første gang blev opmærksom på de transaktioner, som hun ikke kunne godkende, da hun læste tekstbeskeden fra banken den 29. november 2022, at hun blev opmærksom på transaktionerne, da banken henvendte sig hende, og at hun ikke på noget tidspunkt havde bekræftet sine kortoplysninger samt andre personlige oplysninger pr. mail eller SMS.
Banken afviste klagerens krav.
Parternes påstande
Den 11. marts 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre det fulde beløb.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun ved banken henvendelse til hende bad banken undlade at betale de omstridte transaktioner, men at banken alligevel gennemførte transaktionerne.
Banken er på ovenstående baggrund erstatningspligtig.
Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren hæfter med op til 8.000 kr. i henhold til betalingsloven.
På baggrund af bankens tekniske undersøgelser, lægges det til grund, at klageren tilgik linket i SMS-beskeden, der angav at stamme fra INFO, og at klageren herefter kom ind på en falsk hjemmeside, hvor hun videregav sine kortoplysninger samt aktiveringskoden til Apple Pay, som hun fik tilsendt af banken, herunder at hun modtog SMS-beskeden med aktiveringskoden til Apple Pay.
Som følge heraf skete der misbrug af klagerens betalingskort via Apple Pay på en svindlers enhed.
Betalingerne er gennemført ved brug af klagerens kortoplysninger, og godkendt via Apple Pay installeret på svindlerens enhed på baggrund af den aktiveringskode, som klageren fik tilsendt af banken.
Betalingstransaktionerne er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.
Betalinger gennemført i Apple Pay bliver enten gennemført via en personlig adgangskode eller biometri, for eksempel fingeraftryk eller ansigtsgenkendelse, som er omfattet af definitionen på en personlig sikkerforanstaltning, jf. betalingslovens § 7, nr. 31.
Ved betalingstransaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købene blev autentificeret ved en kombination af det udstedte betalingstoken på den specifikke enhed og anvendelse af ansigtsgenkendelse, fingeraftryk eller personlig kode.
I henhold til betalingslovens § 100, stk. 4, nr. 3 hæfter betaleren med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Klageren har oplyst, at hun modtog en SMS-besked, der angav at stamme fra INFO, hvor hun fik oplyst, at hendes forsendelse var sat i bero, fordi leveringsadressen var forkert og blev opfordret til at bestille et nyt leveringsforsøg via et link, og formålet med klagerens opdatering af sine kortoplysninger var bestilling af et nyt leveringsforsøg. Det burde derfor have skærpet klagerens opmærksomhed, at hun kort efter indtastning af sine kortoplysninger modtog en SMS-besked fra banken med en aktiveringskode til installering af Apple Pay, som var formuleret på en sådan måde, at klageren klart og tydeligt fik oplyst, at hun var ved at installere Apple Pay på en enhed, så der fremover kunne ske betalinger fra enheden med hendes kort.
Klageren fik oplyst, at aktiveringskoden var personlig og ikke måtte udleveres til andre, heller ikke til banken, og aktiveringskoden var placeret så langt nede i teksten, at den ikke umiddelbart kunne læses på en låst skærm, og klageren var dermed nødt til at åbne beskeden for at tilgå koden, og kunne således ikke blot indtaste koden uden forinden at have gjort sig bekendt med hermed.
Ved at ignorere advarslerne fra banken og videregive aktiveringskoden for Apple Pay og sine kortoplysninger, har klageren muliggjort oprettelse af kortet i Apple Pay samt gennemførsel af betalingerne.
Hvis klageren havde læst SMS-beskeden, inden hun videregav koden, ville hun være blevet opmærksom på, at hun var i færd med at godkende oprettelse af hendes kort i Apple Pay på en anden enhed, så der fremover kunne ske betalinger fra enheden med hendes kort, og dermed kunne misbruget have været undgået.
Da klageren, til trods for de af banken anførte advarsler og forholdsregler, videregav installationskoden til Apple Pay til svindleren, har klageren ”ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse” og hæfter dermed med kr. 8.000 af tabet, jf. betalingslovens § 100, stk. 4, nr. 3, og da klagerens tab er mindre end kr. 8.000, hæfter hun med det fulde tab.
Det følger af betalingsloven § 111, stk. 1, at en betalingsordre ikke kan tilbagekaldes, efter, at den er modtaget af betalerens udbyder, det vil i dette tilfælde sige banken. Betalingerne blev modtaget af Banken på det tidspunkt, hvor de blev godkendt med klagerens kortoplysninger via Apple Pay på svindlerens enhed, det vil sige, inden kortet blev spærret, og fra dette tidspunkt var banken ikke berettiget til at tilbageføre betalingerne, hvilket gælder uanset, at betalingerne i første omgang alene blev reserveret og som følge af Visas clearingsregler og først blev trukket fra hendes konto på et senere tidspunkt, og efter at kortet blev spærret.
Klageren fik oplyst i SMS-beskeden, hvordan hun skulle forholde sig, hvis hun ikkevar i færd med at installere Apple Pay, og klageren var dermed vejledt i, hvordan hun kunne begrænse skaden.
Klageren har ved at udlevere koden fra den i sagen omhandlede SMS-besked fra banken, uden at forholde sig nærmere til ordlyden af SMS-beskeden, herunder at foranstalte nærmere undersøgelse af baggrunden for bankens fremsendelse af SMS-beskeden, udvist en sådan grad af uagtsomhed, at hun i forhold til banken på aftaleretligt grundlag hæfter for de i sagen omhandlede betalinger.
Til støtte for afvisningspåstanden har banken anført, at der er sådan en usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som kan ikke ske for Ankenævnet, men må i givet fald finde sted for domstolene. Sagen skal dermed afvises, jf. Ankenævnets vedtægter § 5, stk. 3 nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank, hvor hun havde konto og et Visa/Dankort -3354.
Den 29. november 2022 blev der med klagerens betalingskort foretaget to kortbetalinger på hver 475 EUR, svarende til 7.171,60 DKK, til en betalingsmodtager, R, som klageren ikke kan vedkende sig.
Klageren gjorde den 2. december 2022 indsigelse mod betalingerne, der blev foretaget med Apple Pay.
Banken har anført, at klageren videregav sine kortoplysninger og aktiveringskoden til Apple Pay til tredjemand, som herefter indrullerede Apple Pay på sin egen enhed med klagerens betalingskort, og at der ved indrulleringen og betalingerne blev anvendt stærk kundeautentifikation.
Klageren har anført, at hun ikke på noget tidspunkt bekræftede sine kortoplysninger eller personlige oplysninger pr. mail eller SMS.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Der foreligger i sagen modstridende oplysninger om hændelsesforløbet, herunder har klageren bestridt at have videregivet oplysninger til tredjemand. Ankenævnet finder, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Apple Pay på sin telefon forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.