Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagsnummer: 722/2023
Dato: 31-05-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.
Indklagede: Sydbank
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagens omstændigheder

Klageren var kunde i Sydbank, hvor hun blandt andet havde et Mastercard Debit-betalingskort med tilhørende konto.

Klageren har oplyst, at hun den 19. oktober 2023 omkring kl. 12 tog ned i sin lokale bank for at få aktiveret sit Mastercard Debit, og at hun efter aktiveringen hævede 1.000 kr. i bankens hæveautomat. Klageren tog herefter til Tyskland for at handle.

Banken har anført, at banken den 19. oktober 2023 kl. 12:53 sendte en SMS til klagerens telefonnummer -587 indeholdende en engangskode, som skulle anvendes til at indrullere klagerens Mastercard Debit som et virtuelt betalingskort i en ApplePay-Wallet. Af SMS’en fremgik:

”Du er ved at installere Apple Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort [XXX]. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til banken. Koden er [XXX]. Er du ikke i gang med at installere Apple Pay, så kontakt straks Sydbank på +45 70 10 78 79. Venlig hilsen Sydbank”

Banken har fremlagt en udskrift af bankens log over hændelser, hvoraf fremgår, aktiveringskoden blev sendt med SMS til telefonnummer -587. 

Banken har anført, at klagerens betalingskort samme dag kl. 12:55 blev indrulleret som et virtuelt betalingskort i en ApplePay-Wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne fra klagerens Mastercard Debit og SMS-koden, som blev sendt i en SMS til klagerens telefonnummer -587 den 19. oktober 2023.

Banken har anført, at den efter indrulleringen af klagerens Mastercard Debit på tredjemands enhed sendte en SMS til klagerens telefonnummer -587 med indholdet:

”Dit Mastercard Debit er klar til brug i Apple Pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Apple Pay mærket. Venlig hilsen Sydbank”.

Klageren har oplyst, at hun, mens hun var i Tyskland, modtog to SMS’er, som hun troede vedrørte hendes køb i Tyskland, og at hun straks slettede SMS’erne, da hun ikke fandt, at de havde nogen betydning. 

Den 26. oktober 2023 blev en virtuel udgave af klagerens betalingskort anvendt til at foretage 15 kortbetalinger i fysisk handel på i alt 8.933,94 kr., som klageren ikke kan vedkende sig.

Banken har oplyst, at tredjemand loggede ind på sin ApplePay-Wallet med sit AppleID og foretog herefter betalingerne med klagerens indrullerede Mastercard Debit.

Den 27. oktober 2023 konstaterede klageren de ikke-vedkendte betalinger. Klagerens Mastercard Debit blev herefter spærret.

Den 30. oktober 2023 gjorde klageren indsigelse mod de ikke-vedkendte betalinger.

Klageren har fremlagt en e-mail af 2. november 2023, hvori banken anmodede klageren om at sende yderligere oplysninger. Af e-mailen fremgår klagerens svar med kuglepen. Af e-mailen fremgår:

”…

Disse spørgsmål skal du besvare

Har du selv en iPhone eller en iPad? Nej.

Har du selv installeret Apple Pay og tilmeldt dit Visa/Dankort til løsningen? Nej. Banken har startet kort. Har ikke Apple Pay.

Da kortet blev tilmeldt Apple Pay den 19.10.2023, har du da kort forinden modtaget en mail, som så [ud] til at komme fra fx Apple (alternativt Sydbank, Skat, Nets, Spotify)? Nej.

Er du blevet ringet op af nogen, som udgav sig for at være fra Sydbank, Apple, Skat eller lignende? Nej.

…”

Klageren har fremlagt en e-mail til banken af 3. november 2023, hvoraf fremgår:

”…

Jeg var inde i Banken at få starte kortet for at være sikkert på at det blev gjort rigtig.

Har ingen iPhone heller ikke en iPad.

I Banken blev min mobil ikke brugt til at starte kortet, blev gjort via deres PC.

Har ikke modtaget en sms med en aktiveringskode til Apple Pay.

Har ikke aktiveret koden da jeg ikke har en Apple enhed.

…”

Den 9. november 2023 meddelte banken klageren, at hun hæftede med op til 8.000 kr., da hun havde videregivet sine kortoplysninger og aktiveringskode til ApplePay og at banken ville godtgøre hende 933,94 kr. 

Den 13. november 2023 gjorde klageren indsigelse mod bankens afgørelse.

Klageren og banken havde herefter en korrespondance, hvorefter banken den 29. november 2023 fastholdt sin afgørelse.

Klageren har fremlagt en udskrift fra sin teleudbyder, hvoraf fremgår, at hun sendte en SMS den 18. og en anden den 23. oktober 2023, men at hun ikke sendte SMS’er den 19. oktober 2023, og at hun foretog to opkald den 19. oktober 2023, et opkald kl. 08:43 og et kl. 11:16.

Klageren har fremlagt et brev fra banken med emnet ”Stop datatypen – tænk, før du klikker” af juni 2022, hvoraf fremgår:

”…

Ingen med rent mel i posen ville nogensinde bede dig udlevere dine oplysninger via mail eller telefon.

Er du i tvivl?

Hvis du mistænker, at du er blevet kontaktet af en svindler, der beder om dine oplysninger, er der kun én ting at gøre.

Læg på. Eller slet sms/mail – og undlad at åbne eventuelle vedhæftninger først.

Hvis du udleverer oplysninger eller selv går ind og foretager overførsler, kan det få betydning for, om vi dækker dit tab.

…”

Parternes påstande

Den 30. november 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal godtgøre hende 8.000 kr.

Sydbank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har handlet groft uforsvarlig. Dette afviser hun. Bankens afgørelse antyder, at det er hende, der er kriminel eller en svindler. Det er forkert.

På trods af bankens gode råd af juni 2022, så sendte banken selv installationskoder via SMS.

Hun ved, at man ikke må videregive sine betalingskortoplysninger. Hun har ikke videregivet sine betalingskortoplysninger eller SMS-koden. Hun har ikke læst bankens lange besked indeholdende en SMS-kode. Hvis hun havde læst den, havde hun reageret anderledes. Banken har offentligt meddelt, at man skal slette SMS’er, man ikke kendes ved. Det er det, hun har gjort.

Hun kan bevise ved udskrifter fra hendes teleudbyder, at hun hverken har sendt SMS’er eller foretaget opkald til nogen på det pågældende tidspunkt. Tiden mellem modtagelsen af den første SMS med SMS-koden og aktiveringen af kortet er meget kort. Der gik under to minutter fra, at banken havde sendt en SMS, til at hun skulle have modtaget og læst den, og til at hun angiveligt skulle have sendt den videre eller meddelt indholdet af den telefonisk til tredjemand, så tredjemand kunne gennemføre indrulleringen. Dette er usandsynligt. En kriminel IT-kyndig kunne snyde systemet, så den kunne videresende SMS’er til en anden modtager.

Den eneste, der har haft betalingskortet i hænde udover hende, er den bankansatte, der aktiverede betalingskortet, og som havde mulighed for at aflure hendes betalingskortoplysninger og videregive disse til tredjemand.

Banken har ikke bevist, at hun har udleveret oplysningerne.

Hvorfor er det overhovedet muligt at installere ApplePay på en fremmed telefon uden brug af MitID? Man anvender MitID overalt, men ikke når det kommer til indrullering af betalingskort i ApplePay. Banken burde have tredjemands ApplePay-oplysninger, medmindre det er muligt at installere ApplePay uden anvendelse af navn, adresse, CPR-nr. Banken burde have reageret på, at et fremmed navn, mobiltelefonnummer, adresse forsøgte at oprette en ApplePay-aftale med adgang til hendes betalingskort og konto. Banken kunne sende hende en advisering på e-mail, netbank eller e-Boks eller kontakte hende telefonisk. Bankens IT-sikkerhed er ikkeeksisterende.

Banken burde ringe til den tredjemand, der har aktiveret hendes betalingskort i sin ApplePay og bede tredjemand oplyse, hvordan svindlen var foregået. Hun havde ikke Apple-produkter.

Sydbank har anført, at klageren ved at udlevere installationskoden til svindleren og ikke reagere på beskeden om, at hendes betalingskort var tilføjet i ApplePay, har handlet groft uforsvarligt ved at have muliggjort svindlen, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kr. af tabet. Da banken allerede har godtgjort klageren beløb udover 8.000 kr., skal banken frifindes.

Det er uafklaret, hvordan svindleren kom i besiddelse af klagerens kortoplysninger og installationskode. Banken kan dog konstatere, at ApplePay installationskoden og bekræftelsen blev sendt til klageren. Klageren har bekræftet, at hun modtog to SMS’er fra banken. På baggrund af teksten i beskederne burde klageren have indset, at hun var udsat for svindel. Klageren slettede beskederne med det samme. Det afvises, at bankens ansatte står bag svindlen.

Kunderne videregiver sædvanligvis deres oplysninger, fordi de tror, at de er ved at opdatere deres betalingsoplysninger eller købe noget på nettet. De indtaster kortoplysninger og installationskoden uden at læse beskeden. Indtastningen sker på en hjemmeside, hvor svindleren styrer indholdet. Hvis klageren ikke havde indtastet eller på anden vis udleveret koroplysningerne og installationskoden til svindleren, havde det ikke været muligt for svindleren at tilføje hendes betalingskort i ApplePay, og så var betalingerne aldrig blevet gennemført.

Klageren modtog en bekræftelse på, at betalingskortet var tilføjet i ApplePay. Klageren reagerede ikke på bekræftelsen. Hvis klageren havde spærret kortet eller kontaktet banken, efter hun modtog bekræftelsen, kunne svindlen have været forhindret.

Det fremgår ikke af bankens advarselsbrev, at banken ikke sender koder eller anden vigtig information via SMS. Banken advarer tydeligt imod at udlevere oplysninger, herunder at udlevering af oplysninger, kan få betydning for om banken dækker kundens tab.  

Ankenævnets bemærkninger

 

Klageren var kunde i Sydbank, hvor hun blandt andet havde et Mastercard Debit-betalingskort med tilhørende konto.

Banken har anført, at banken den 19. oktober 2023 kl. 12:53 sendte en SMS til klagerens telefonnummer -587 indeholdende en engangskode, som skulle anvendes til at indrullere klagerens Mastercard Debit som et virtuelt betalingskort i en ApplePay-Wallet.

Banken har anført, at klagerens betalingskort samme dag kl. 12:55 blev indrulleret som et virtuelt betalingskort i en ApplePay-Wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne fra klagerens Mastercard Debit og SMS-koden, som blev sendt i en SMS til klagerens telefonnummer -587 den 19. oktober 2023.

Banken har anført, at den efter indrulleringen af klagerens Mastercard Debit på tred-jemands enhed ved SMS meddelte klageren, at hendes Mastercard Debit var klar til brug i ApplePay.  

Den 26. oktober 2023 blev en virtuel udgave af klagerens Mastercard Debit udstedt af Sydbank anvendt til at foretage 15 kortbetalinger i fysisk handel på i alt 8.933,94 kr., som klageren ikke kan vedkende sig.

Klageren gjorde indsigelse mod de ikke-vedkendte betalinger. Den 9. november 2023 meddelte banken klageren, at hun hæftede med op til 8.000 kr., da hun havde videregivet sine kortoplysninger og aktiveringskode til ApplePay, og at banken ville godtgøre hende 933,94 kr.

Det følger af betalingslovens § 128, stk. 1, nr. 3, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stærk kundeautentifikation indebærer efter betalingslovens § 7, nr. 30, at betalings-tjenesteudbydere skal forlange, at kunderne bruger minimum to ud af tre mulige sikkerhedselementer; noget kunden ved f.eks. et kodeord, noget kunden besidder, f.eks. en app eller SMS-engangskode modtaget via et SIM-kort, og noget kunden er, f.eks. et fingeraftryk. Kortdata er synlige på kortet og dermed ikke hemmelige, og udgør derfor ikke et gyldigt sikkerhedselement.

Ankenævnet lægger, efter det som banken har oplyst, til grund, at tredjemand for at indrullere klagerens betalingskort i sin Apple Pay-Wallet anvendte klagerens kortoplysninger og en engangskode, som blev sendt via SMS til et telefonnummer, som banken havde registreret på klageren.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Rolf Høymann Olsen og Jørn Ravn – udtaler:

Vi finder, at indrullering af et betalingskort i en Apple Pay-Wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.

Efter vores opfattelse er kravet til stærk kundeautentifikation kun opfyldt, hvis minimum to sikkerhedselementer vedrører samme kunde.

Ved indrullering af kort i Apple Pay og Google Pay bruges i praksis to forskellige løsninger, henholdsvis indrullering via kortholderens mobilbank og indrullering via Wallet-appen. Ved indrullering via kortholderens mobilbank er kravet til stærk kundeautentifikation opfyldt, idet minimum to sikkerhedselementer vedrører samme kunde. Det samme er tilfældet ved indrullering via Wallet-appen, hvis indrulleringen er sket med stærk kundeautentifikation, som tilhører kortholderen.

Vi finder det ikke godtgjort, at indrulleringen af klagerens betalingskort i tredjemands Apple Pay-Wallet er sket ved stærk kundeautentifikation. Det bemærkes herved, at det forhold, at tredjemand logger ind via sin enheds AppleID, ikke indebærer, at der er anvendt stærk kundeautentifikation, idet dette element ikke tilhører klageren men tredjemand.

Ifølge betalingslovens § 100, stk. 1, hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Ifølge betalingslovens § 100, stk. 7, hæfter betalingsudbyderen uanset betalingslovens § 100, stk. 3-5, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Det følger herudover af betalingslovens bilag 1, pkt. 5, at udstedelse eller indløsning af betalingsinstrumenter udgør en betalingstjeneste.

Formålet med betalingslovens bestemmelser om krav om stærk kundeautentifikation, herunder § 100, stk. 7, og § 128, stk. 1, er blandt andet at højne sikkerheden og øge forbrugerbeskyttelsen ved at iværksætte foranstaltninger til at beskytte fortroligheden og integriteten af betalingstjenestebrugeres personaliserede sikkerhedsoplysninger og anvendelse af betalingstjenesten.

Selv om der, som anført af mindretallet, er foretaget to processer for at gennemføre misbruget af klagerens betalingskort, nemlig indrulleringen af klagerens kort i tredjemands Wallet, og tredjemands brug af Wallet-løsningen, finder vi, at de to processer i relation til hæftelsesspørgsmålet må betragtes samlet, hvorfor misbruget kan være omfattet af betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Vi har herved navnlig lagt vægt på den nære sammenhæng mellem de to processer, idet misbruget af klagerens betalingskort er muliggjort ved indrulleringen af dette i tredjemands Wallet og på formålet med betalingslovens § 100.

Da indrulleringen ikke er sket med stærk kundeautentifikation, og da der ikke efter sagens oplysninger er grundlag for at antage, at klageren har handlet svigagtigt, finder vi, at banken hæfter for tredjemands misbrug af klagerens betalingstjeneste, jf. betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

To medlemmer – Inge Kramer og Andreas Moll Årsnes – udtaler:

Vi finder, at selve indrulleringen af klagerens betalingskort i tredjemands Apple Pay-Wallet og den efterfølgende brug af Wallet-løsningen til at gennemføre betalinger er to separate processer, og at ansvarsfordeling i betalingsloven § 100 ikke regulerer indrulleringen eller anden udstedelse af et betalingsmiddel, men alene regulerer det efterfølgende misbrug af betalingsmidlet, dvs. efter udstedelsen/indrulleringen.

Vi lægger således til grund, at betalingslovens § 100 alene omfatter hæftelse og ansvarsfordeling, når en tredjemand uberettiget anvender en betalers betalingstjeneste. Vi mener derfor ikke, at betalingslovens § 100, stk. 7, eller en analogi til denne finder anvendelse, selvom banken ikke har godtgjort, at indrulleringen af klagerens betalingskort i tredjemands Apple Pay-Wallet er sket ved stærk kundeautentifikation.

Vi finder derfor, at klagerens eventuelle hæftelse for misbruget af klagerens betalingskort skal afgøres efter betalingslovens § 100, stk. 2-5. Med andre ord bør klagerens hæftelse på samme måde som i andre sager, hvor der foreligger tredjemandsmisbrug af klagerens betalingskort, afhænge af graden af uagtsomhed, herunder i hvilket omfang klager har ”muliggjort den uberettigede anvendelse” f.eks. ved at udlevere koder til tredjemand.

Vi lægger til grund, at betalingstransaktionerne er korrekt registrerede og bogførte og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Vi lægger desuden til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ved gennemførelse af transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30. Betalingslovens § 100, stk. 7, finder derfor ikke anvendelse.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Vi finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 kr., jf. betalingslovens § 100, stk. 4. Vi finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene.

Vi stemmer derfor for at afvise sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sydbank skal inden 30 dage tilbageføre 8.000 kr. med valør fra datoen for debiteringen af transaktionerne til klagerens konto.

Klageren får klagegebyret tilbage.