Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af transaktioner gennemført som betalinger med et virtuelt betalingskort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay wallet.

Sagsnummer: 308 /2023
Dato: 18-01-2024
Ankenævn: Vibeke Rønne, Karin Sønderbæk, Janni Visted Hansen, Tina Thygesen og Finn Borgquist
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af transaktioner gennemført som betalinger med et virtuelt betalingskort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay wallet.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af transaktioner gennemført som betalinger med et virtuelt betalingskort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay wallet.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Visa/Dankort -068.

I perioden 12. marts til 14. marts 2023 blev klagerens Visa/Dankort anvendt til tre betalinger til tre forskellige betalingsmodtagere i udlandet svarende til 13.870,73 kr., som klageren ikke kan vedkende sig.

Om baggrunden for transaktionerne har klageren oplyst, at hun den 15. marts 2023 modtog en SMS fra banken om, at hun skulle henvende sig, fordi der var sket noget uregelmæssigt med hendes betalingskort, hvilket hun ikke kendte noget til. Hun kontaktede straks banken og fik kortet spærret. Hun havde ikke udleveret sine MitID oplysninger til nogen, hverken over telefon, SMS eller e-mail. Hun godkendte heller ikke de ikke-vedkendte transaktioner.

Banken har oplyst, at der den 7. marts 2023 blev indrulleret en virtuel udgave af klagerens Visa/Dankort. Indrullering af et virtuelt betalingskort kan for bankens kunder ske gennem bankens mobilbank eller Nordea Wallet.

Banken har anført, at det fremgår af dens tekniske undersøgelser, at klagerens MitID havde et aktivt identifikationsmiddel med nummer -9205, og at klagerens egen enhed var en iPhone 8. Banken har oplyst, at det fremgår af dens system, at der den 7. marts 2023 kl. 12:59 og kl. 13:00 med samme identifikationsmiddel blev foretaget flere handlinger, ”Log ind i Nordea Wallet”, hvilket dækker over, at klageren på disse tidspunkter med sit MitID godkendte indrullering af sit Visa/Dankort på tredjemands enhed.

Banken har fremlagt en udskrift fra sit system og har oplyst, at det fremgår heraf, at der den 7. marts 2023 kl. 12:59 med klagerens MitID blev foretaget godkendelse af en handling, som omfattede følgende:

• Visa/Dankort (klagerens betalingskorttype)

• ”Last four -7068” (de sidste 4 cifre på klagerens Visa/Dankort)

• Google Pay (den wallet, hvor kortet lægges ind)

• Oppo – CPH2125 (den enhed hvorpå betalingskortet indrulleres)

Banken har endvidere fremlagt en udskrift af de generiske, men ufravigelige billeder, som der kommer ved indrullering af et virtuelt betalingskort. Banken har oplyst, at det blandt andet fremgår heraf, at en kortholder efter at have logget ind på f.eks. mobilbank med enten MitID, biometri eller personlig kode, bliver præsenteret for en godkendelsestekst i sin MitID-app, som generisk vil være: ”Tilføj mit [betalingskort] xxxx xxxx xxxx 1234 til [wallet] på [enhed]”.

Banken har oplyst, at den ikke kan fremlægge den tekst, som klageren blev præsenteret for, men den kan kun have været som følger, idet processen er ufravigelig, og teksten tilpasses den enkelte handling, hvor betalingskort, wallet og enhed er variable: ”Tilføj mit Visa/dankort xxxx xxxx xxxx 7068 til Google Pay på Oppo – CPH2125”. Med klagerens godkendelse af denne tekst muliggjorde klageren, at hendes betalingskort virtuelt blev indlagt og gjort brugbart på tredjemands enhed.

Banken har oplyst, at transaktionerne blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Ved tro- og loveerklæring af 21. marts 2023 gjorde klageren indsigelse mod transaktionerne. Det fremgik blandt andet heraf:

”…

Jeg har intet med de udbetalinger at gøre. Jeg skjuler altid min kode ved betalinger i butikker og handler kun med ”sikre” firmaer på nettet. Afviser altid mærkelige mails, især fra pengeinstitutter.

…”

Ved e-mail af 24. marts 2023 skrev banken til klageren og bad om yderligere oplysninger til brug for behandlingen af hendes indsigelse.

Ved e-mail af 12. april 2023 svarede klageren blandt andet til bankens spørgsmål:

”…

- at jeg skulle give nogle oplysninger? Nej

- nogen ville købe en vare, du havde til salg på internettet? Nej, har aldrig solgt noget på nettet

- at du skulle oprette MitID? Nej

-dit NemID eller MitID var spærret? Nej

- at du skulle betale ekstra porto: Ja, men sådanne mails har jeg slettet uden at åbne dem

-at du skulle have penge tilbage? Ja, men sådanne mails har jeg slettet uden at åbne dem

- at du skulle opdatere dine kortoplysninger? Nej

-at du kunne afvise en betaling? Nej

Desuden om jeg er blevet kontaktet telefonisk af nogen, som bad dig give oplysninger om dit kort, informationer fra en sms kode, eller oplysninger fra dit NemID eller MitID? Nej.

Og om du har indgået en aftale om investering, eller om du har købt kryptovaluta? Nej

Den 14. april 2023 godtgjorde banken klagerens tab fratrukket 8.000 kr. svarende til 5.850,73 kr.

Ved e-mail af 15. april 2023 klagede klageren til banken over afgørelsen. Ved en udateret e-mail fastholdt banken afgørelsen med henvisning til, at klageren, uden at have været bevidst herom, havde godkendt installationen af den digitale version af hendes Visa/Dankort på en anden enhed end hendes egen.

I den følgende periode korresponderede klageren og banken videre om forholdet.

Parternes påstande

Den 21. maj 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende de resterende 8.000 kr.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har handlet uforsvarligt. Hun hverken udleverede sine MitID oplysninger til nogen over telefon, SMS eller e-mail, ligesom hun ikke godkendte transaktionerne. Hun swipede ikke. Hun var derimod udsat for en brist i MitID’s sikkerhed.

Hun er helt uforstående over, at banken anfører, at hun med sin egen MitID-app har godkendt en installation af en digital kopi af sit betalingskort på en fremmed smartphone. Hun kan godt under sine aktiviteter i MitID se, at der ganske rigtigt har været logget på flere gange indenfor få minutter kl. 12:58-13:00. Hun kan ikke se, hvad der er blevet logget på eller hvorfra, men der står ”Godkendelse – logget på ny tjeneste med MitID for allerede pålogget identitet”. Det lyder mærkeligt.

Banken kunne tilsyneladende allerede se svindlen den 7. marts 2023, inden hun anede noget om det.

At svindlen skete fra en iPhone 8 er vel næppe et fældende bevis for, at det var hende og ikke en tredjemand, der ved hacking eller anden misbrug af fortrolige oplysninger kunne gøre brug af hendes MitID.

Hun betaler altid regninger og foretager køb på nettet hjemme på sin computer. Hun bruger kun sin mobil til at logge ind og bekræfte. Hun er hverken på Apple Pay eller Mobile Pay, ligesom hun ikke bruger ”wallet”. Den pågældende dag foretog hun sig ikke andre ting på nettet eller med sit MitID.  

Det er ikke rimeligt, at hun skal hæfte for så stort et beløb, når der er tale om en sikkerhedsbrist.

Sagen er et godt eksempel på, hvor sårbar man som forbruger er med de aktuelt påtvungne digitale løsninger. Dette gælder særligt ældre mennesker. Der bør derfor kigges på vilkårene for ansvarsfordelingen mellem borgere og kortudbydere.

Nordea Danmark har anført, at klagerens betalingskort blev brugt i en virtuel udgave af tredjemand, og at dette kun kunne ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af hendes betalingskort på tredjemands enhed.

Det må lægges til grund, at klageren blev præsenteret for teksten ”Tilføj mit Visa/dankort [xxxx xxxx xxxx 7068] til Google Pay på Oppo – CPH2125”, idet dette er systemunderstøttet.

Klageren godkendte via sin MitID-app indrullering af sit betalingskort på tredjemands enhed. Hun blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik hendes betalingskort, at det blev lagt ind i Google Pay, og at det ville ske til en enhed, Oppo – CPH2125, som ikke var lig med hendes egen enhed.

Trods disse tydelige angivelser om, hvad klageren var ved at godkende, så valgte hun at swipe til godkendelse heraf. Og med godkendelsen fulgte, at klagerens virtuelle udgave af betalingskortet herefter var brugbart på tredjemands enhed, og derfor ville kunne bruges af tredjemand, som hvis klageren havde indrulleret betalingskortet på sin egen enhed.

At klageren valgte at godkende de meddelelser, som hun blev præsenteret for i MitID-appen er at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 kr. i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

I perioden 12. marts til 14. marts 2023 blev klagerens Visa/Dankort anvendt til tre betalinger til tre forskellige betalingsmodtagere i udlandet svarende til 13.870,73 kr., som klageren ikke kan vedkende sig. Banken har oplyst, at klagerens betalingskort blev anvendt som virtuelt betalingskort, og at transaktionerne blev foretaget fra en anden enhed end klagerens via Google Pay.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har anført, at hun ikke har modtaget noget opkald eller nogen mail eller SMS, hvor hun blev bedt om at afgive oplysninger om sit kort eller sit MitID, og at hun har været udsat for kriminalitet.

Banken har anført, at klagerens betalingskort blev brugt i en virtuel udgave af tredjemand, og at dette kun kunne ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af sit betalingskort på tredjemands enhed. Banken har endvidere anført, at det kan lægges til grund, at klageren blev præsenteret for følgende tekst, idet dette er systemunderstøttet: ” Tilføj mit Visa/dankort xxxx xxxx xxxx 7068 til Google Pay på Oppo – CPH2125”.

Der er uenighed mellem klageren og banken om, hvorledes klagerens betalingskort blev indrulleret på tredjemands enhed, herunder om klageren gennem sin MitID-app godkendte indrulleringen af sit betalingskort på tredjemands enhed. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Google Pay på sin telefon forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.