Indsigelse mod at hæfte fuldt ud for korttransaktioner foretaget i Apple Pay og godkendt med 3D Secure.
| Sagsnummer: | 525 /2022 |
| Dato: | 18-01-2024 |
| Ankenævn: | Vibeke Rønne, Morten Winther Christensen, Karin Sønderbæk, Tina Thygesen og Finn Borgquist. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte fuldt ud for korttransaktioner foretaget i Apple Pay og godkendt med 3D Secure. |
| Indklagede: | Lunar Bank A/S |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte fuldt ud for korttransaktioner foretaget i Apple Pay og godkendt med 3D Secure.
Sagens omstændigheder
Klageren var kunde i Lunar Bank, hvor han havde konto og et virtuelt betalingskort -865.
Den 10. november 2022 i tidsrummet fra kl. 20:47 til kl. 20:49 blev der fra klagerens telefon sendt syv SMS-beskeder til thailandske telefonnumre, og klageren har oplyst, at han ikke sendte dem, og at de ikke figurerede i hans beskedoversigt på hans telefon. Klageren har fremlagt en oversigt over SMS-beskederne fra sin teleudbyder.
Den 15. november 2022 blev der med klagerens virtuelle betalingskort i Apple Pay foretaget to betalinger på 949 EUR og 459 EUR, svarende til 10.475,73 DKK, til en betalingsmodtager, U, som klageren ikke kan vedkende sig.
Om baggrunden for betalingerne har klageren oplyst, at han ikke har foretaget eller godkendt købene, og at de er foretaget uden hans involvering. Han har ikke videregivet sine oplysninger til tredjemand. Han har endvidere oplyst, at han i starten af november 2022 modtog en SMS-besked med et link fra PostNord vedrørende toldbetaling, og anført, at idet han benyttede sig af dette link, kan der være blevet installeret overvågning på hans telefon i form af kamera, keyboardlogger eller andre kontrolapplikationer.
Banken har oplyst, at betalingerne blev foretaget med 3D Secure, og har fremlagt en transaktionslog, hvoraf der blandt andet fremgår, at betalingerne er gennemført med 3D Secure.
Banken har endvidere oplyst, at der ikke blev registreret nye enheder logget ind på klagerens mobilbank forud for den 15. november 2022, på dagen eller efterfølgende, og har anført, at det alene er klagerens telefon, der har tilgået mobilbank, og at på tidspunktet for de omtvistede transaktioner, kl. 10:44, var klagerens telefon logget ind på mobilbank ved brug af klagerens kode. Banken har fremlagt en oversigt med login-oplysninger.
Banken har herudover oplyst, at klagerens virtuelle betalingskort har en dynamisk CVC-kode, som skifter hver time, og at det kun er muligt at se den nye CVC-kode, ved at indhente oplysningerne fra klagerens mobilbank.
Klageren har oplyst, at han ikke har benyttet sit MitID fra den 10. november 2022 og frem til ca. halvanden time efter misbruget, og har fremlagt en MitID-log, hvoraf det blandt andet fremgår, at MitID blev anvendt den 9. november 2022 kl. 12:31 og næste gang den 15. november 2022 kl. 12:22.
Klageren har endvidere oplyst, at han den 15. november 2022 fik en notifikation fra Nets om, at hans MasterCard, som han havde i et andet pengeinstitut, var blevet spærret, og pengeinstituttet oplyste ham om, at der var forsøgt hævning af mellem 15.000 kr. og 20.000 kr. via den samme italienske hjemmeside, og at pengeinstituttet den 19. december 2022 bekræftede, at hans SIM-kort og hans telefonnummer figurerede på to telefoner i Thailand, og at hans SIM-kort således blev anvendt på andre fysiske telefoner end hans egen, idet de havde andre SEID-numre.
Banken har oplyst, at IP-adressen på dagen for de omtvistede transaktioner var registreret i København, og har fremlagt et screenshot fra hjemmesiden NordVPN, hvoraf det fremgår, at IP-adresse -190 er registreret i København.
Klageren har oplyst, at han ikke befandt sig i Danmark på tidspunktet for betalingerne, og har fremlagt færgebilletter til og fra Sverige i perioden fra den 14. november 2022 til den 16. november 2022.
Klageren har endvidere oplyst, at han den 12. december 2022 skulle bestille et nyt benzinkort, hvor han skulle godkende med NemID, men at der ikke kom en notifikation som han skulle godkende, som normalt. Han forsøgte derfor at tilgå NemID-appen på både sin telefon og tablet. Han forsøgte at tilgå hjemmesiden nemid.nu, for at undersøge sagen nærmere, men kunne ikke få adgang til at logge på. Han kontaktede derfor NemID, som bekræftede, at hans NemID var installeret på tre enheder, hvoraf den ene enhed var en telefon af den samme type som hans, men det var ikke hans enhed. Klageren har fremlagt en NemID-log.
Samme dag modtog han en SMS fra ”PostNord”. Han afventede toldbetalingsanmodninger fra PostNord, da han havde to pakker undervejs fra udlandet, og han klikkede på linket, og blev ledt til en MasterCard-side, hvor han indtastede sin SMS-kode fra sit pengeinstitut, hvorefter han modtog en yderligere SMS fra pengeinstituttet om, at han skulle aktivere sit MasterCard. Hans MasterCard var i forvejen aktivt, og han blev derfor mistænksom. Der kom et skærmbillede op med hans Apple-ID og en fremmed mail, men det forsvandt inden, at han nåede tage et skærmbillede. Han kontaktede straks pengeinstituttet som oplyste, at det ikke var fra dem og spærrede hans betalingskort, mobilbank, lukkede MitID og fjernede alle enheders adgang til alt, og pengeinstituttet bekræftede, at det var endnu et forsøg på hacking, og bad ham lave et nyt Apple-ID, da dette kunne være kilden til misbruget.
Klageren har fremlagt to SMS-beskeder fra PostNord, en SMS-besked fra pengeinstituttet og et screenshot af en MasterCard-side til bekræftelse af engangskode.
Klageren har endvidere fremlagt en besked fra pengeinstituttet af 19. december 2022, som oplyser, at ovenstående aktiviteter ikke er foretaget med klagerens SEID-nummer, og at pengeinstituttet har sørget for, at svindlerens telefon ikke kan benytte Apple Pay i fremtiden.
Klageren har herudover fremlagt et screenshot fra sin telefon af et SEID-nummer -6D62.
Klageren gjorde den 21. november 2022 indsigelse over for banken. I indsigelsesblanketten anførte han blandt andet, at han ikke havde foretaget købene, at hjemmesiden kun var på italiensk, at det kun var ham, der havde haft adgang til sit betalingskort, at han ikke på noget tidspunkt var blevet kontaktet og bedt om at bekræfte eller oplyse sit betalingskort eller sine personlige oplysninger, og at han havde forsøgt at kontakte forretningen forgæves.
Banken afviste klagerens krav.
Klageren har fremlagt et brev fra pengeinstituttet af 21. marts 2023 indeholdende oplysninger om to spærringer af klagerens betalingskort af sikkerhedsmæssige årsager og på grund af misbrug.
Det fremgår vedrørende den første spærring blandt andet, at den 17. november 2022 kl. 09:29 blev klagerens MasterCard registreret i PayPal fra IP-adresse -10 i Ohio, Mentor, United States, hvor der ikke blev foretaget transaktioner, at betalingskortet kl. 12:26 blev indrulleret i Apple Pay, at der kl. 12:27 blev sendt en SMS-kode med aktiveringskode til telefonnummer -0244 og efterfølgende oprettet token -441, at SEID-nummeret på den enhed, som benyttedes til oprettelse af Apple Pay var -B87A og navnet på enheden var iPhone, og at der i tidsrummet fra kl. 14:20 til kl. 14:21 blev foretaget tre transaktioner på 1.099 EUR, 184,99 EUR og 19,99 EUR til U.
Det fremgår vedrørende den anden spærring blandt andet, at den 12. december 2022 kl. 17:40 blev klagerens betalingskort indrulleret i Apple Pay, at der kl. 17:41 blev sendt en SMS med aktiveringskode til telefonnummer -0244 og efterfølgende oprettet token -616, og at SEID-nummeret på den enhed, som benyttedes til oprettelse af Apple Pay var -305D og navnet på enheden var Lasiksh s iPhone.
Klageren har oplyst, at han har anmeldt misbruget til politiet, og har fremlagt en anmeldelseskvittering.
Klageren har endvidere oplyst, at han har forsøgt at kontakte U for en tilbageførsel, men at U har afvist at hjælpe ham.
Parternes påstande
Den 14. december 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal tilbagebetale beløbet.
Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han ikke har foretaget eller godkendt betalingerne, og at de er sket uden hans involvering. Der ingen godkendelser fra hans side gennem MitID i forbindelse med betalingerne, og han ikke har modtog nogen øvrige beskeder om godkendelse, eller en SMS i forbindelse med godkendelse, som normalt.
Han anvendte ikke sit MitID fra den 10. november 2022 og indtil halvanden time efter kortmisbruget. Der fik han notifikationer om transaktionerne og ville undersøge, hvad det drejede sig om.
Tre timer senere fik han en notifikation fra Nets om, at hans MasterCard, som han havde i et andet pengeinstitut, var spærret. Han kontaktede pengeinstituttet, som oplyste ham om, at der var forsøgt hævet mellem 15.000 DKK og 20.000 DKK via den samme italienske hjemmeside, men pengeinstituttet sendte ikke pengene afsted.
Han forventede, at banken havde en tilsvarende mekanisme til at spotte betalingskortsvindel og afvise transaktioner, der ikke var godkendt fra hans side. Banken har oplyst ham om, at den har fravalgt at samarbejde med Nets.
To uger efter den 15. november 2022 modtog han en ekstraregning fra sit teleselskab, der oplyste, at der den 10. november 2022 kl. 20:47 blev sendt syv SMS’er fra hans telefon til et nummer i Thailand med få sekunders mellemrum. Han har ikke afsendt disse SMS’er, og de figurerer ikke i hans beskedoversigt.
Han har en teori om, at en uvedkommende part på pt. ukendt vis, hackede sig ind i hans telefon, og måske kopierede SIM-kortet, trak oplysninger ud eller installerede et overvågningsprogram. Disse oplysninger blev sendt via de SMS’er til Thailand, og blev muligvis anvendt til at klone hans telefon, eller på anden vis misbruge hans data og kortoplysninger til uautoriseret at trække penge på hans konto via den italienske hjemmeside.
Han har endvidere en teori om, at hackerne har fundet en måde at omgås to-faktorgodkendelsen. Han kan ikke gennemskue, hvilken metode hackerne har benyttet.
Han opholdt sig ikke i København den 15. november 2022, men i udlandet, og havde sin telefon med sig.
Der kan være foretaget misbrug gennem VPN, eller ved at svindleren opholder sig i Danmark.
Banken har afvist at oplyse ham om, hvilke IP-adresser, der blev brugt ved de uberettigede transaktioner.
Hans andet pengeinstitut har ydet en god kundeservice, og har anerkendt, at han er blevet hacket på en ny måde.
Borgerservice har bekræftet, at han er blevet hacket.
Den omstændig, at han ikke bevidst har været involveret i, at svindleren har fået adgang til hans oplysninger, er ikke et argument for, at dette ikke kan være sket på anden vis.
Han blev mistænkeliggjort af banken om, at han selv havde foretaget købene ud fra et argument om, at det principielt ikke var muligt at misbruge et digitalt betalingskort fordi, at CVC-koden skifter en gang i timen.
Idet svindlerne formentligt installerede overvågning på hans telefon, kunne de via en keylogger nemt få adgang til hans firecifrede kode til hans mobilbankapp, således at de kunne foretage køb med de fire cifre. Når svindlerne havde adgang til hans mobilbankapp via hans SIM-kort data, men fra en anden fysisk telefon med et andet SEID-nummer, så udgør det ikke en sikkerhed, at den til enhver tid gældende CVC-kode på betalingskortet ændres en gang i timen, idet svindlerne til enhver tid kan se den gældende kode.
Hans telefon blev hacket og hans SIM-kort data blev misbrugt i udlandet. Dette indikerer, hvordan det var muligt at foretage uberettiget svindel gennem Apple Pay på hans telefon.
Hans andet pengeinstitut bekræftede den 19. december 2022, at hans SIM-kort og telefonnummer figurerede på to telefoner i Thailand, og at hans SIM-kort således blev anvendt på andre fysiske telefoner med andre SEID-numre. Der blev derfor to gange oprettet et nyt kodeord til Apple Pay, og hans telefonnummer blev brugt nogle flere gange i forbindelse med Apple Pay, men gennem transaktioner, der ikke blev lavet med hans SEID-nummer.
Hans andet pengeinstitut har bekræftet, at det ikke er SEID-nummeret tilhørende hans telefon, der har været anvendt til at foretage de transaktioner, der er forsøgt gennemført på hans andre betalingskort. Hans telefonnummer blev således anvendt på en anden telefon, der blev brugt til at sende og modtage SMS’er ved brug af hans telefonnummer, men hvor det foregik på en anden fysisk telefon end hans telefon, hvilket er dokumenteret ved, at der er tale om et andet SEID-nummer end det, der tilhører hans telefon.
Det er derfor nærliggende, at det samme var tilfældet i forbindelse med svindlen med hans betalingskort i banken.
Banken ønsker ikke at oplyse ham om, hvilket SEID-nummer, der er registreret i forbindelse med de uberettigede transaktioner hos banken.
Han har været i kontakt med Nets og Apple vedrørende udlevering af den dokumentation som de har omkring, at der er foretaget transaktioner med et SEID-nummer, der ikke tilhører hans telefon. Nets og Apple må ikke udlevere oplysningerne.
I perioden fra primo november 2022 og frem til den 15. november 2022 blev hans NemID fjernet fra hans telefon og lagt på to telefoner i Thailand, hvilket Nets blev bekendt med ultimo november 2022.
Endvidere blev hans ansigtsgenkendelse fjernet fra hans Apple-ID og hans mobilbank i banken perioden fra primo 2022 til den 15. november 2022, og han kunne ikke ændre det, før han fik hjælp af sit andet pengeinstitut og Nets, der guidede ham.
Det fremstår tydeligt, at andre instanser bekræfter, at der skete uautoriseret brug af både hans telefon og betalingskort, herunder at der blev svindlet med hans Apple Pay.
Han har kontaktet Finanstilsynet om sagen.
Han skal ikke bære ansvaret for de uberettigede transaktioner på hans betalingskort i banken, og det er banken der skal dække hans tab.
Selv i det tilfælde, at det var ham selv, der havde foretaget købene, hvilket han ikke har gjort, og efterfølgende ikke fik leveret sine varer, og forretningsstedet afviste alle hans henvendelser, så var der tale om betalingskortsvindel, som han også er dækket af ifølge lovgivningen.
Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at klagerens forklaringer af hændelsesforløbet samt påstande, om hvordan den påståede svindel blev muliggjort, er skiftende samt udokumenterede, og der er manglende sammenhæng mellem klagerens påstande og sagens faktiske omstændigheder, herunder er der intet, der tyder på, at transaktionerne er uautoriserede.
IP-adressen for de omtvistede transaktioner er registreret i Danmark, og de to omtvistede transaktioner er godkendt med 3D Secure.
Der er ikke registreret nogle nye logins i mobilbankappen. Der er tale om transaktioner gennem Apple Pay, og der er brugt 3D Secure.
Der er anvendt et virtuelt kort, som skifter CVC-kode hver time, og CVC-koden er nødvendig for at gennemføre de omtvistede transaktioner. CVC-koden var alene mulig at se i klagerens mobilbank og skulle hentes senest en time forinden de omtvistede transaktioner blev foretaget, da den var dynamisk og skiftede hver time. Idet der ikke var registreret andre enheder end klagerens telefon i klagerens mobilbank, var det alene muligt for tredjemand at få adgang til kortoplysningerne, såfremt tredjemand var i besiddelse af klagerens telefon og havde adgang til klagerens kode.
Klageren fastholder, at han på intet tidspunkt videregav disse oplysninger, og derfor er tredjemands brug ikke mulig.
Grundet manglende samt mangelfuld dokumentation fra klageren, kan banken ikke tage stilling til klagerens påstande. Der er intet, der tyder på phishing eller anden utilsigtet videregivelse af oplysninger, og klageren har ad flere omgange afvist muligheden herfor.
Banken finder med udgangspunkt i de foreliggende omstændigheder, at der ikke er tale om uautoriserede transaktioner omfattet af betalingslovens § 100, hvorfor der bør ske frifindelse.
Til støtte for afvisningspåstanden har banken anført, at sagen alene kan afgøres på baggrund af parts- og vidneforklaringer, og derfor bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Lunar Bank, hvor han havde konto og et virtuelt betalingskort -865.
Den 15. november 2022 blev der med klagerens virtuelle betalingskort i Apple Pay foretaget to betalinger på 949 EUR og 459 EUR, svarende til 10.475,73 DKK, til en betalingsmodtager, U, som klageren ikke kan vedkende sig.
Om baggrunden for betalingerne har klageren oplyst, at han ikke har foretaget eller godkendt købene, og at de er foretaget uden hans involvering. Han har ikke videregivet sine oplysninger til tredjemand. Han har endvidere oplyst, at han i starten af november 2022 modtog en SMS-besked med et link fra PostNord vedrørende toldbeta-ling, og anført, at idet han benyttede sig af dette link, kan der være blevet installeret overvågning på hans telefon i form af kamera, keyboardlogger eller andre kontrolap-plikationer.
Banken har anført, at der ikke er registreret nogle nye logins i mobilbank-appen. Der er tale om transaktioner gennem Apple Pay, og de er godkendt med 3D Secure.
Klageren har anført, at hans SIM-kort sandsynligvis er blevet kopieret, idet misbruget har fundet sted med hans oplysninger, men fra telefoner med et andet SEID-nummer end hans telefon.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnet afviser derfor klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.