Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay. Indrullering af et betalings-kort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation.

Sagsnummer: 106/2023
Dato: 13-10-2023
Ankenævn: Bo Østergaard, Christina Bryanth Konge, Jimmy Bak, Jacob Ruben Hansen og Anna Marie Schou Ringive
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay. Indrullering af et betalings-kort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod en transaktion gennemført som en betaling med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay-wallet. Spørgsmål om stærk kundeautentifikation.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han blandt andet havde et betalingskort -431 og en konto -698. 

Den 22. december 2022 blev klagerens betalingskort anvendt til betaling til en udenlandsk betalingsmodtager, F, på 450 EUR, svarende til 3.397,50 DKK, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionen har klageren i klagen til ankenævnet oplyst, at hans betalingskort udløb i december 2022, hvorfor han modtog et nyt. Han fik en besked fra YouSee om, at han skulle opdatere sine betalingsoplysninger. Det gjorde han og samtidig opdaterede han sit ApplePay. Det var åbenbart fake det hele, da der blev foretaget to hævninger på hver 450 EUR fra Litauen. Nets stoppede den ene transaktion og spærrede klagerens kort. 

Banken har anført, at det fremgår af dens tekniske undersøgelser, at der den 21. december 2022 kl. 19:22 blev sendt en SMS-besked fra banken til klagerens telefonnummer -40 med en installationskode til indrullering/oprettelse af klagerens kort i Apple Pay på en anden enhed (en svindlers enhed). SMS-beskeden havde følgende ordlyd:

”Du er ved at installere Apple Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort xxxx. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til banken. Koden er xxxxxx. Er du ikke i gang med at installere Apple Pay, så kontakt straks Jyske Bank på 89892800.”

Banken har fremlagt en kopi af oplysninger fra sine systemer, hvoraf det fremgår, at SMS-beskeden fra banken blev sendt til klagerens telefonnummer.

Banken har oplyst, at betalingen på 450 EUR den 22. december 2022 blev godkendt via Apple Pay.

Klageren gjorde den 27. december 2022 indsigelse over for banken mod transaktionen. Af indsigelsesblanketten fremgik:

”…

Havde du kortet på betalingstidspunktet?

Kortet var i min besiddelse

Udlevering af oplysninger

Ja, jeg er blevet kontaktet

Kontaktform

Mail

Forløb

Besked om at min regning fra yousee ikke kunne betales, uden at jeg opdaterede mine kortoplysninger. Jeg havde lige modtaget nyt kort, derfor passede det.

Udleverede oplysninger

Det kan jeg ikke huske

Mistanke om misbrug

Ingen mistanke til bestemte personer

…”

Klageren har den 29. december 2022 anmeldt forholdet til politiet. Af politianmeldelsen fremgår:

”…

Beskriv kort hvad du har oplevet

Fik en SMS fra Yousee om at jeg skulle opdatere mine kortoplysninger, da min regning ellers ikke ville blive betalt. Jeg havde netop fået nyt kort, så det passede faktisk at jeg skulle opdatere oplysninger. Så det gjorde jeg, men det var falskt. Men nets, opdagede det og spærrede kortet. Der blev forsøgt hævet to beløb, men det første blev ikke stoppet, hvorfor der er hævet kr. -3.397,50 på min konto.

…”

I en henvendelse til Jyske Bank den 5. januar 2023 anførte klageren bl.a.:

”Jeg har netop fået afslag på min indsigelse vedr. misbrug fra min konto.

Jeg er fejlagtigt blevet snydt for 3.397,50 kr. d. 21/12-22.

Jeg har oplyst, at jeg fik en SMS, fra YouSee om at jeg skulle opdatere mine kortoplysninger, for at kunne betale min snarlige regning.

Der bliver i afgørelsen nævnt, noget om Apple Pay etc. Men det kender jeg intet til. Jeg anvender selv Apple Pay, så jeg kender til det.

Der var dog intet der tilkendegav, noget om Apple Pay. De bad mig rette mine kortoplysninger, hvilket jeg gjorde. De har ikke fået min pin kode eller andet.

…”

Den 4. april 2022 har klageren fremsendt flg. kommentar til ankenævnet:

”Jeg kan faktisk ikke huske, om jeg anvendte Apple Pay. Men jeg er nu ret sikker på, at samtidig har forsøgt at oprette ApplePay med det nye kort, da jeg har anvendt Apple Pay siden det kom til Danmark.”

 

Parternes påstande

Den 7. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbagebetale 3.397,50 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han er blevet snydt af en udenlandsk hackergruppe.

Han meget påpasselig, og da han er IT-mand, fanger han som regel de svindelforsøg, han bliver udsat for. Han ville normalt aldrig reagere på den slags, men i hans tilfælde passede det med, at han havde fået udstedt et Visa/Dankort, da det gamle var ved at udløbe.

Han benytter bankens ”KORT”-app, hvor hans kort er spærret i udlandet samt for online brug.

Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren tilgik et link i en SMS-besked, der angav at stamme fra YouSee, og at klageren herefter kom ind på en falsk hjemmeside, hvor han videregav sine kortoplysninger samt installations-/aktiveringskoden til Apple Pay, som han fik tilsendt af banken. Misbruget af klagerens betalingskort skete herefter via Apple Pay på en svindlers enhed. Klageren havde aktiveret spærring for fysisk brug af betalingskortet i udlandet, men ikke aktiveret spærring ved onlinehandel.

Reglerne for godtgørelse af betalingstransaktioner, som en betaler ikke kan vedkende sig, fremgår af betalingsloven.

Betalingstransaktionen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Betalinger gennemført i Apple Pay bliver enten gennemført via en personlig adgangskode eller biometri, f.eks. fingeraftryk eller ansigtsgenkendelse. Fingeraftryk, ansigtsgenkendelse eller et personligt kodeord er omfattet af definitionen på en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31.

Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købet autentificeres ved en kombination af 1) den udstedte betalingstoken på den specifikke enhed (besiddelseselement) og 2) anvendelse af ansigtsgenkendelse, fingeraftryk (iboende element) eller personlig adgangskode (videnselement) i forbindelse med godkendelse af betalingen.

Efter betalingslovens § 100, stk. 4, nr. 3, hæfter betaleren, medmindre videregående hæftelse følger af stk. 5, med op til 8.000 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Det burde have skærpet klagerens opmærksomhed, at han kort efter udlevering af sine kortoplysninger modtog en SMS-besked fra banken med en aktiveringskode til indrullering af kortet i Apple Pay.

Klageren blev i SMS-beskeden advaret om, at konsekvensen var installering af Apple Pay på en enhed med hans oplysninger, så der fremover kunne ske betalinger fra enheden med hans kort. Klageren fik desuden oplyst, at aktiveringskoden var personlig og ikke måtte udleveres til andre, heller ikke til banken. Klageren skulle straks kontakte banken, hvis han ikke var i gang med at installere Apple Pay.

Klageren ignorerede advarslerne fra banken og videregav aktiveringskoden for Apple Pay og sine kortoplysninger til tredjemand. Klageren har derved ved groft uforsvarlig adfærd muliggjort oprettelse af kortet i Apple Pay og dermed den efterfølgende uberettigede anvendelse. Klageren hæfter med 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Banken har til støtte for afvisningspåstanden anført, at der er usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet, og at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet og som i givet fald må finde sted for domstolene. Sagen skal derfor afvises, jf. Ankenævnets vedtægter § 5, stk. 3.

Ankenævnets bemærkninger

Den 22. december 2022 blev klagerens betalingskort anvendt til via Apple Pay fra en anden enhed end klagerens at foretage en betaling på 450 EUR svarende til 3.397,50 DKK til en betalingsmodtager i udlandet. Klageren kan ikke vedkende sig transaktionen.

Baggrunden for transaktionen var, at klageren indtastede sine kortoplysninger på en hjemmeside, som han tilgik via et link i en meddelelse om opdatering af betalingsoplysninger, der fremstod som værende fra YouSee. I tidsmæssig forbindelse hermed blev klagerens betalingskort tilknyttet Apple Pay på en anden enhed end klagerens, hvorefter transaktionen blev gennemført.

I en indsigelsesblanket til banken har klageren oplyst, at han har indtastet sine kortoplysninger, men ikke pinkode eller andet.

Banken har anført, at klageren til en tredjemand udleverede sine kortoplysninger samt en aktiveringskode til Apple Pay, som han fik tilsendt af banken. Tredjemand benyttede oplysningerne til at tilføje klagerens betalingskort til Apple Pay på sin telefon, hvorefter tredjemand foretog transaktionerne.

Der foreligger modstridende oplysninger om, hvilke oplysninger klageren videregav til tredjemand. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til ApplePay på sin telefon forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.