Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay ved brug af MitID.
| Sagsnummer: | 481/2025 |
| Dato: | 23-03-2026 |
| Ankenævn: | Katrine Waagepetersen, Bjarke Levinsky Svejstrup, Signe Kjørup Carlsson, Tina Thygesen og Elizabeth Bonde. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay ved brug af MitID. |
| Indklagede: | Ringkjøbing Landbobank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay ved brug af MitID.
Sagens omstændigheder
Klageren var kunde i Ringkjøbing Landbobank, hvor hun blandt andet havde et Visa/Dankort -387 og adgang til mobilbank.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf det blandt andet fremgår, at klageren den 15. maj 2023 aktiverede et MitID -920 på en iPhone 7. Herudover fremgår, at klageren den 30. maj 2025 aktiverede MitID -972 på en iPhone 16. Klageren har oplyst, at hun ejer en iPhone.
Den 21. juni 2025 kl. 02:33 blev betalingskort -387 tilmeldt Apple Pay på en iPhone med SEID-nummer -A230 og fik tokennummer 6729.
Samme dag kl. 19:31 blev der logget på klagerens mobilbank installeret på klagerens iPhone 16 med en pinkode. Banken har oplyst, at der efter pålogning blev sendt en notifikation med følgende adviseringstekst til klagerens mobilbank:
”Godkend at dit kort tilføjes i Apple Pay
Tilføjes på ’iPhone’
RLB Visa/Dankort […] 387
Er forsøgt føjet til Apple Pay
…
Hvis du ikke har forsøgt at føje kortet til Apple Pay, skal du straks trykke ’Afvis’ og ringe til Ringkjøbing Landbobank. Du anbefales at spærre dit kort.”
… ”
Banken har anført, at klageren trykkede ”Godkend” til notifikationen i netbanken, og gennemførte godkendelse med enten Face ID, Touch ID eller en adgangskode.
Efterfølgende fremgik følgende notifikation i klagerens mobilbank:
”Aktiver i Wallet
Enhed ’iPhone’
Mobilbetaling Apple Pay
Tidspunkt for tilmelding 21.06.2025 02:33
Kort […] 387 ”
Den 21. juni 2025 kl. 19:32 blev oprettelsen af det nye Apple Pay godkendt i MitID -972. Banken har oplyst, at der i forbindelse med godkendelsen i MitID fremgik følgende notifikation:
”Visa/Dankort [-387] tilføjes i Apple Pay på iPhone”
Banken har anført, at der ved en godkendelse i MitID altid skal foretages en fysisk swipebevægelse på den enhed, godkendelsesanmodningen sendes til, og at det ikke er muligt at fjerngennemføre en swipebevægelse. Banken har endvidere anført, at mobilbanken skal være installeret på den enhed, som anvendes til godkendelsen i MitID.
Klageren har fremlagt en udskift af en SMS-tråd af 21. juni 2025 kl. 19:32, hvoraf fremgår blandt andet, at klagerens Visa/Dankort -387 var klar til brug i Apple Pay.
Den 22. og 23. juni 2025 blev der gennemført 22 transaktioner til betalingsmodtagere i Sverige på i alt henholdsvis 23.438,05 SEK og 2.312,75 DKK svarende til i alt 18.303,03 DKK med Visa/Dankort -387.
Banken har oplyst, at transaktionerne blev gennemført med Apple Pay med tokennummer 6729.
Banken har fremlagt udskrifter med detaljer fra de enkelte køb, og af samtlige udskrifter fremgår blandt andet:
” …
Input method…….: N VIRTUAL CARDNO. CONV.
…”
Den 24. juni 2025 blev Visa/Dankort -387 spærret.
Visa/Dankort -387 havde været indrulleret i Google Pay på enheden ”Google – Pixel 7” med SEID-nummer -T1iD siden den 18. juni 2025. Banken har oplyst, at der ikke blev gennemført transaktioner med Google Pay i perioden fra aktivering til spærring.
Klageren har oplyst, at hun anmeldte sagen til Nets. Ved to indsigelsesblanketter gjorde klageren indsigelse mod 22 transaktioner. Af indsigelsesblanketterne fremgår blandt andet:
” …
Beskriv hvad der er sket: …
Transaktionerne er fortaget i Sverige, hvilket jeg overhovedet ikke kender til, da jeg ikke har været der. (Jeg har ikke handlet på nettet, eller opgivet mine konto oplysninger til andre) Der er tale om svindel.
Havde du kortet på købstidspunktet? …
Ja, og det er kun mig, der har haft adgang til mit kort
…”
Klageren har oplyst, at Nets refunderede hende tabet med fradrag 8.000 DKK.
Den 1. august 2025 klagede klageren til banken.
Den 25. august 2025 fastholdt banken sin afvisning af klagerens indsigelse.
Parternes påstande
Den 6. oktober 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal godtgøre hende 7.625 DKK.
Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at banken ikke har dokumenteret, at hun handlede groft uforsvarligt. Der er tale om misbrug. Hendes hæftelse udgør kun 375 DKK, jf. betalingslovens § 100, stk. 3. Hun er 77 år og benytter udelukkende sit Visa/Dankort fysisk.
Hun har ikke gennemført de omtvistede transaktioner. Hun var ikke i Sverige, da transaktionerne blev gennemført, og har ingen forbindelse til de butikker, som modtog betalingerne.
Hun har ikke godkendt nogen forespørgsel om at få sit betalingskort tilføjet til Apple Pay. Indrulleringen blev iværksat den 21. juni kl. 02:33, hvor hun lå og sov. Det er usandsynligt, at en person på 77 år, der ikke anvender mobilbetaling, skulle tilmelde sig Apple Pay midt om natten og dagen efter gennemføre en lang række køb i Sverige. Hun har ikke kendskab nok til, hvad en moderne telefon kan, til at hun har kunnet oprette det virtuelle kort.
Hun modtog SMS-notifikationer om både Apple Pay- og Google Pay-indrulleringerne, hvilket viser, at nogen forsøgte at aktivere virtuelle betalingskort på hendes telefon. Hun reagerede ikke på SMS-beskederne, og hun kan ikke forklare, hvordan der skulle være gennemført en fysisk swipe-bevægelse eller MitID-godkendelse, som banken hævder.
Forsøgene på indrulleringer i både Apple Pay og Google Pay viser et systematisk forsøg på at tiltvinge sig adgang til hendes betalingsoplysninger, hvilket peger på en form for svindel eller teknisk kompromittering uden for hendes kontrol.
Hun har set lignende sager på Ankenævnets hjemmeside og er vidende om forskellige tekniske måder, hvorpå godkendelse kan ske uden brugerens accept eller viden, eksempelvis via “remote screen control” eller ”overlay malware”, som politiet har advaret om i “MitID-svindel via fjernsupport” og Apple Pay-misbrug udført gennem social engineering og fjernadgang.
Ringkjøbing Landbobank har til støtte for frifindelsespåstanden anført blandt andet, at klageren udviste groft uforsvarlig adfærd. Ved oprettelsen af Visa/dankort -387 i Apple Pay muliggjorde klageren gennemførelsen af de omtvistede transaktioner. Hun hæfter derfor med en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Tilmeldingen af det virtuelle betalingskort krævede ikke klagerens aktive handling, men adgang til klagerens kortoplysninger, og aktiveringen af det virtuelle betalingskortkort krævede klagerens aktive handling.
Aktiveringen af Apple Pay kan kun være sket ved indtastning af klagerens kortoplysninger, godkendelse i klagerens mobilbank samt godkendelse i klagerens MitID -972. Aktiveringen skete ved anvendelse af stærk kundeidentifikation, jf. betalingslovens § 7, nr. 30.
Godkendelsesanmodningen blev sendt til en enhed, som klagerens MitID -972 var installeret på, og det kan derfor kun have været klageren, som swipede ved godkendelsen af indrulleringen. En fysisk swipebevægelse i forbindelse med en godkendelsesanmodning kan ikke fjerngennemføres.
Mobilbanken skal være installeret på den enhed, som anvendes til godkendelsen i MitID, hvilket er med til at forhindre, at en tredjemand kan godkende oprettelsen af det virtuelle kort. Eftersom der ikke blev oprettet en ny mobilbank, kan det konstateres, at klagerens eksisterende mobilbank blev brugt til at godkende det nye betalingskort i Apple Pay. For at logge på mobilbanken kræves enten Face ID, Touch ID eller en adgangskode. Godkendelsen af Apple Pay skete med samme MitID, som blev anvendt ved indsendelsen af indsigelsen til banken.
De omhandlede betalingstransaktioner blev korrekt registreret og bogført og var ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.
Når Apple Pay anvendes til at gennemføre korttransaktioner, kræves enten Face ID, Touch ID eller en adgangskode af brugeren som sikkerhedsforanstaltning.
Banken har til støtte for afvisningspåstanden anført, at en afgørelse af sagen forudsætter yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Ringkjøbing Landbobank, hvor hun blandt andet havde et Visa/Dankort -387 og adgang til mobilbank.
Den 21. juni 2025 kl. 02:33 blev betalingskort -387 tilmeldt Apple Pay på en iPhone med SEID-nummer -A230. Samme dag blev tilmeldingen godkendt i klagerens netbank og MitID.
Banken har blandt andet anført, at man for at godkende en indrullering af et betalingskort i Apple Pay først skal logge på sin mobilbank for at godkende, at ens betalingskort bliver indrulleret på en specifik enhed. Herefter skal man godkende indrulleringen i MitID. Banken har herudover anført, at der ved en godkendelse i MitID altid skal foretages en fysisk swipebevægelse på den enhed, godkendelsen sendes til, og at det ikke er muligt at fjerngennemføre en swipebevægelse.
I forbindelse med godkendelsen af indrulleringen af klagerens betalingskort i Apple Pay fremgik følgende notifikation i klagerens MitID:
”Visa/Dankort [-387] tilføjes i Apple Pay på iPhone”
Klageren har blandt andet anført, at hun ikke godkendte nogen forespørgsel om at få sit betalingskort tilføjet til Apple Pay.
Den 22. og 23. juni 2025 blev der gennemført 22 transaktioner til betalingsmodtagere i Sverige på i alt henholdsvis 23.438,05 SEK og 2.312,75 DKK svarende til i alt 18.303,03 DKK med Visa/Dankort -387. Banken har oplyst, at transaktionerne blev gennemført med Apple Pay med tokennummer 6729, og at enten Face ID, Touch ID eller en adgangskode kræves for at gennemføre korttransaktioner med Apple Pay.
Den 24. juni 2025 blev Visa/Dankort -387 spærret.
Klageren har oplyst, at hun anmeldte sagen til Nets. Ved to indsigelsesblanketter gjorde klageren indsigelse mod transaktionerne foretaget den 22. og 23. juni 2025. Af indsigelsesblanketterne fremgår blandt andet, at klageren ikke havde videregivet kortoplysninger eller sit betalingskort til andre, og at hun ikke kendte til de gennemførte korttransaktioner.
Klageren har oplyst, at Nets refunderede hende tabet med fradrag af en selvrisiko på 8.000 DKK.
Den 1. august 2025 klagede klageren til banken.
Den 25. august 2025 svarede banken, at den fastholdt sin afvisning af klagerens indsigelse, og at hun hæftede med en selvrisiko på 8.000 DKK.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved indrulleringen af klagerens Visa/Dankort -387 i Apple Pay blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingskort.
Klageren har bestridt at have udleveret sine betalingskortoplysninger, og at hun har godkendt indrulleringen af sit betalingskort i Apple Pay på tredjemands enhed. Ankenævnet finder på baggrund heraf, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Apple Pay på tredjemands telefon forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.