Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet.

Sagsnummer:395/2023
Dato:18-01-2024
Ankenævn:Henrik Waaben, Christina Bryanth Konge, Kritte Sand Nielsen, Morten Bruun Pedersen og Anna Marie Schou Ringive.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet MasterCard Gold.

Banken har fremlagt en transaktionsliste fra Nets, hvoraf fremgår, at der i perioden fra den 18. marts 2023 til den 25. marts 2023 med klagerens betalingskort blev foretaget i alt 29 korttransaktioner i Polen, Rumænien, Holland, Ungarn, Danmark, Slovakiet og Tjekkiet svarende til et samlet beløb på 13.876,90 DKK.

Klageren har oplyst, at hun den 25. marts 2023 fik en SMS fra Nets om, at hendes MasterCard var blevet spærret på grund af mistænkeligt forbrug.

Klageren opdagede den 27. marts 2023, at der var trukket 29 korttransaktioner, som hun ikke kunne vedkende sig og gjorde over for banken indsigelse mod transaktionerne.

Ved et brev af 4. april 2023 til klageren svarede banken blandt andet:

Svar på din indsigelse

Vi skriver til dig, fordi vi nu har behandlet din indsigelse mod 13.876,90 kr.

Vi har undersøgt betalingerne, som du gør indsigelse mod, og vi kan se, at de er godkendt ved brug af en smartphone, som ikke virker til at være din egen.

Du har tilsyneladende været udsat for svindel

I din forklaring beskriver du ikke, hvad der er sket. Vi har dog en formodning om, at du har modtaget en falsk e-mail, en falsk sms eller et falsk opkald.

Når en svindler henvender sig enten via falske e-mails, sms’er eller opkald, virker det ofte troværdigt, og det kan være meget svært at gennemskue svindlen eller genkalde sig, hvad der er sket.

 

Du har en selvrisiko, når dine personlige sikkerhedsløsninger er anvendt

Vi kan se, at du med din egen MitID app med serienummer [-8819] installeret på en Sony Xperia 10 IV, den 9. marts 2023 har godkendt en installation af en digital kopi af dit kort på en fremmed smartphone. Det er fra denne smartphone, betalingerne blev lavet.

Det er desværre sådan, at når du selv godkender en installation af en digital kopi af dit kort, så har du en selvrisiko, som udgør 8.000,00 kr.

Det betyder i dit tilfælde, at du selv hæfter for 8.000,00 kr., mens vi dækker 5.876,90 kr., som indsættes på din konto i dag. Det gør vi, selvom dele af beløbet fra din indsigelse bliver opkrævet på den næste faktura fra Mastercard.

…”

Klageren har ligeledes fremlagt en politianmeldelse, hvoraf fremgår, at hun har anmeldt sagen til politiet.

Banken har oplyst, at der den 9. marts 2023 blev indrulleret en virtuel udgave af klagerens betalingskort på en anden enhed.

Indrullering af et virtuelt betalingskort kan for bankens kunder ske enten gennem mobilbanken eller Nordea Wallet. En kundes videregivelse af sine MitID oplysninger vil give tredjemand mulighed for at anlægge handlinger på vegne af kunden, som først kan gennemføres med accept fra kunden gennem den pågældendes MitID.

Banken har fremlagt en udskrift af klagerens MitID hændelseslog og har oplyst, at det fremgår heraf, at klagerens MitID havde aktivt identifikationsmiddel med nummer -8819, samt at klagerens egen enhed var en Sony Android 13 XQ-CC54. Banken har oplyst, at det ligeledes fremgår, at der den 9. marts 2023 kl. 12:21 og 12.22 med klagerens identifikationsmiddel blev foretaget flere handlinger, ”App – autencificering lykkedes”, hvilket dækker over, at klageren på dette tidspunkt med sit MitID godkendte indrullering af sit MasterCard på tredjemands enhed, en Oppo CPH2125.

Banken har endvidere fremlagt en udskrift fra sit system og har oplyst, at det fremgår heraf, at der den 9. marts 2023 kl. 12:21 med klagerens MitID blev foretaget godkendelse af en handling, som omfattede følgende:

• Nordea Gold kort (klagerens betalingskorttype)

• ”last four -6258” (de sidste 4 cifre på klagerens MasterCard)

• Google Pay (den wallet, hvor kortet lægges ind)

• Oppo CPH2125 (den enhed hvorpå betalingskortet indrulleres)

Banken har yderligere fremlagt en udskrift af de generiske, men ufravigelige billeder,der kommer ved indrullering af et virtuelt betalingskort. Banken har oplyst, at det blandt andet fremgår heraf, at en kortholder efter at have logget ind på f.eks. mobilbank med enten MitID, biometri eller personlig kode, bliver præsenteret for en godkendelsestekst i sin MitID-app, som generisk vil være: ”Tilføj mit [betalingskort] xxxx xxxx xxxx 1234 til [wallet] på [enhed]”.

Banken har oplyst, at den ikke kan fremlægge den tekst, som klageren blev præsenteret for, men den kan kun have været som følger, idet processen er ufravigelig, og teksten tilpasses den enkelte handling, hvor betalingskort, wallet og enhed er variable: ”Tilføj mit Nordea Gold kort xxxx xxxx xxxx 6258 til Google Pay på Oppo CPH2125”. Med klagerens godkendelse af denne tekst muliggjorde klageren, at hendes betalingskort virtuelt blev indlagt og gjort brugbart på tredjemands enhed.

Banken har oplyst, at Nets har bekræftet, at betalingstransaktionerne ikke var behæftet med fejl. Banken kan bekræfte, at bogføringen heraf ligeledes er sket korrekt.

Parternes påstande

Den 4. juli 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende de resterende 8.000 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke har godkendt de omtvistede betalinger.

Hun har heller ikke godkendt, at hendes MasterCard blev installeret på en fremmed telefon.

Hun er ikke blevet kontaktet af nogen den 9. marts 2023 angående MitID eller Nordea. Hun har endvidere været igennem samtlige mails og SMS’er i perioden fra hendes MasterCard blev udstedt i december 2022 til den 25. marts 2023. Hun har ikke kunnet finde noget mistænkeligt, og hun kunne ikke drømme om at aktivere et link sendt til hende, ligesom hun heller ikke har modtaget nogen mistænkelige opkald.

Hun har både på sin PC og sin telefon aktive IT-sikkerhedssystemer, som heller ikke har fundet nogle mistænkelige aktiviteter. Hendes mand arbejder med IT og IT-sikkerhed, og de er begge ekstremt opmærksomme på blandt andet phishing, key-logger og spyware.

Af hendes MitID GDPR-rapport for den 9. marts 2023 fremgår, at forløbet startes 12:20:55 fra en rumænsk IP-adresse og herefter skulle hendes telefon (med nummer -8819) have været aktiv kl. 12:21:05. Det vil sige, at hun helt af sig selv og tilfældigt på sin telefon skulle åbne MitID-appen (som ikke laver en notifikation, når der kommer en anmodning om godkendelse) og godkende en anmodning, som hun ikke selv havde iværksat og intet kendte til, og det hele skulle være sket inden for få minutter. For hende virker denne påstand helt usandsynlig.

Hendes mand har endvidere installeret sit Nordea Visakort i Google Wallet for at simulere den påståede aktivitet. De har sammenlignet hans og hendes MitID log, og aktiviteter og sekvens stemmer ikke overens i deres logs.

Dette svækker bankens påstand om forløbet med hendes godkendelse, ligesom banken bør tage sagen langt mere seriøst end blot at afvise hendes indsigelser, da noget tyder på en svindelmetode, som endnu ikke er erkendt af banken.

Da hendes MasterCard er nyt (fra december 2022), har det kun være anvendt to steder, og det virker mærkeligt, at kortets informationer skulle tilfalde svindlere, som samtidig har haft mulighed for at svindle med hendes MitID.

Som det fremgår af ovenstående, har hun ikke udvist manglende ansvarlighed, mistet kort eller telefon, og hun finder det derfor urimeligt, at hendes selvrisiko bliver aktiveret i denne sag.

Nordea Danmark har anført, at de omhandlede betalingstransaktioner blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Det kan lægges til grund, at klagerens betalingskort blev brugt i en virtuel udgave af tredjemand, og at dette kun kunne ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af sit betalingskort på tredjemands enhed. Det kan ligeledes lægges til grund, at klageren blev præsenteret for følgende tekst, idet dette er systemunderstøttet: ”Tilføj mit Mastercard xxxx xxxx xxxx 6258 til Google Pay på Oppo CPH2125”.

Herefter fulgte, at klageren via sin MitID-app godkendte indrullering af sit betalingskort på tredjemands enhed. Hun blev i godkendelsesbeskederne i MitID-appen tydeligt gjort opmærksom på, at det angik hendes betalingskort, at det blev lagt ind i Google Pay, og at det ville ske til en enhed Oppo CPH2125, som ikke var lig med klagerens egen enhed.

Trods disse tydelige angivelser om, hvad klageren var ved at godkende, så valgte klageren at swipe til godkendelse heraf. Og med godkendelsen fulgte, at klagerens virtuelle udgave af sit betalingskort nu var brugbart på tredjemands enhed og derfor ville kunne bruges af tredjemand på samme måde, som hvis klageren havde indrulleret betalingskortet på sin egen enhed.

Med henvisning til ovenstående, herunder særligt at klageren valgte at godkende de meddelelser, som hun blev præsenteret for i MitID-appen, er dette at betragte som groft uforsvarlig adfærd, hvorfor banken var berettiget til at tage 8.000 DKK i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren har gjort indsigelse over for Nordea Danmark mod 29 korttransaktioner foretaget i perioden fra den 18. marts 2023 til den 25. marts 2023 med hendes betalingskort -5268 i Polen, Rumænien, Holland, Ungarn, Danmark, Slovakiet og Tjekkiet svarende til et samlet beløb på 13.876,90 DKK. Banken har oplyst, at klagerens betalingskort blev anvendt som virtuelt betalingskort, og at transaktionerne blev foretaget fra en anden enhed end klagerens via Google Pay.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har anført, at hun ikke har modtaget noget opkald eller nogen mail eller SMS, hvor hun blev bedt om at afgive oplysninger om sit kort eller sit MitID, og at hun har været udsat for svindel.

Banken har anført, at klagerens betalingskort blev brugt i en virtuel udgave af tredjemand, og at dette kun kunne ske ved, at klageren gennem sin MitID-app godkendte indrulleringen af sit betalingskort på tredjemands enhed. Banken har endvidere anført, at det kan lægges til grund, at klageren blev præsenteret for følgende tekst, idet dette er systemunderstøttet: ”Tilføj mit Nordea Gold kort xxxx xxxx xxxx 6258 til Google Pay på Oppo CPH2125”.

Der er uenighed mellem klageren og banken om, hvorledes klagerens betalingskort blev indrulleret på tredjemands enhed, herunder om klageren gennem sin MitID-app godkendte indrulleringen af sit betalingskort på tredjemands enhed. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Google Pay på sin telefon forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.