Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet via oprettelse af mobilbank på tredjemands enhed.

Sagsnummer:573/2023
Dato:19-03-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Morten Bruun Pedersen og Poul Erik Jensen.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet via oprettelse af mobilbank på tredjemands enhed.
Indklagede:Ringkjøbing Landbobank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet via oprettelse af mobilbank på tredjemands enhed.

Sagens omstændigheder

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et Visa/dankort -7615.

Den 16. april 2023 fra kl. 00:00 til 02:25 blev der med klagerens Visa/dankort foretaget syv transaktioner på i alt 7.415 kr. i forskellige forretninger, som klageren ikke kan vedkende sig. Banken har oplyst, at transaktionerne blev godkendt med Google Pay, der blev oprettet den 15. april 2023, ved brugerens brug af fingeraftryk, ansigtsgenkendelse eller adgangskode, og at betalingstransaktionerne er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Klageren havde den 15. april 2023 kl. 17:45 modtaget en SMS, der så ud til at være fra Nets, med følgende tekst:

”Din NetBank står til suspendering. Log ind og verificer din identitet på s.id./Nets-DK indenfor 12 timer for at undgå spærring”

Klageren har oplyst, at hun klikkede på linket i SMS’en og blev ført til en hjemmeside, hvor hun blev bedt om at give sine kortoplysninger for at installere Google Pay, hvilket hun gjorde. Hun fik derefter en SMS fra banken, som hun må have godkendt, men hun kan dog ikke huske det.

Banken har oplyst, at der den 15. april 2023, kl. 17:50 med klagerens MitlD, identifikationsmiddel-ID nr. -7045, der havde været aktivt siden den 6. april 2022, blev godkendt oprettelse af ny mobilbank enhed. Banken har fremlagt et skærmbillede fra MitID-app, der havde følgende tekst:

”Godkend følgende?

Installation af Ringkjøbing Landbobank/Nordjyske Bank mobilbank”

Banken har oplyst, at der i forbindelse med oprettelsen af den nye mobilbank blev sendt en adviserings-SMS til klagerens telefonnummer med følgende ordlyd:

"Du har lige installeret en ny mobilbank. Kontakt os på 70231166 hvis du er i tvivl eller har spørgsmål. Venlig hilsen Banken Id: xxxxxx".

Klageren har fremlagt et skærmprint af SMS-beskeder fra banken den 15. april 2023 fra kl. 18:00 og fremefter, hvoraf det fremgår, at en SMS af dette indhold blev modtaget den 15. april 2023 kl. 20:53.

Den 15. april 2023, kl. 17:59:57 sendte banken en SMS til klagerens telefonnummer med følgende ordlyd:

”Du er ved at installere Google Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort 7615. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til os. Koden er […]. Er du ikke i gang med at installere Google Pay, så kontakt straks Banken på 70231166. Venlig hilsen Banken ID: […]”

Banken har oplyst, at der den 15. april 2023, kl. 18:01:39 skete oprettelse/aktivering af et Google Pay tilknyttet klagerens kort, og at aktivering kun kunne ske ved indtastning af den fremsendte kode. Banken har oplyst, at der via den nye mobilbank enhed blev oprettet Google Pay på klagerens Visa/dankort -7615 den 15. april 2023, kl. 18:01:39. Efter aktiveringen sendte banken den 15. april 2023, kl. 18:01:39 en SMS-besked til klagerens telefonnummer med følgende ordlyd:

”Dit Visa/Dankort 7615 er klar til brug i Google Pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Google Pay mærket. Venlig hilsen Banken Id: […]”

Klageren indgav indsigelse til banken, der afviste indsigelsen og anførte, at klageren hæftede med op til 8.000 kr. i medfør af betalingslovens § 100, stk. 4. I besked til klageren af 24. april 2023 anførte banken blandt andet:

”…

  • Der er d. 15/04/2023 Kl. 18:01 aktiveret et virtuelt kort på enheden ” samsung - …” Dette er sket vha. godkendelse ved indtastning af SMSkode modtaget d. 15/04/2023 kl. 17:59 …
  • Teksten til aktivering af det nye virtuelle kort der er blevet godkendt er: ”Denne kode er personlig og må ikke oplyses til andre - heller ikke til banken. Din aktiveringskode er XXXXXX. Du aktiverer Google Pay ved at 1) åbne Wallet på din telefon, 2) vælge dit Visa/Dankort eller Mastercard Debet/Kredit XXXX, 3) vælge 'Skriv kode' og 4) indsætte aktiveringskoden. Koden udløber om 30 min. Hvis du ikke har anmodet om denne kode, så kontakt Hotline på 70231166. Venlig hilsen Banken
  • Det efterfølgende misbrug sker som følge af installationen og godkendelse af det virtuelle kort på en ny enhed.
  • I og med transaktionen er gennemført og godkendt med en ekstra sikkerhedsforanstaltning (virtuelt kort og kode/biometrisk godkendelse) har vi ingen indsigelsesmuligheder overfor forretningen. …”

Banken har oplyst, at de syv transaktioner blev godkendt med Google Pay, der blev oprettet den 15. april 2023, ved brugerens brug af fingeraftryk, ansigtsgenkendelse eller adgangskode. Banken har fremlagt transaktionsoplysninger vedrørende de syv transaktioner samt uddrag af Google Pays hjemmeside vedrørende brug af Google Pay.

Parternes påstande

Den 17. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Ringkjøbing Landbobank skal dække hendes tab på 7.415 kr.

Ringkjøbing Landbobank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun trykkede på linket, da beskeden kom fra Nets, og da linket så pålideligt ud. Nets indgik i linkadressen. Hun blev ført til en hjemmeside, hvor hun blev bedt om at give sine kortoplysninger for at installere Google Pay, hvilket hun gjorde. SMS'en blev modtaget som en besked fra Nets sammen med hendes andre beskeder fra Nets. Det kan ikke have været groft uforsvarligt at tilgå linket under disse omstændigheder.

Banken anfører, at der ikke er sammenhæng i beskeden fra Nets og installeringen af Google Pay. Det er ikke korrekt. Beskederne blev sendt i sammenhæng, og hun fik derfor forståelsen af, at der var sammenhæng mellem de to. Hun ville ikke have installeret Google Pay, hvis hun ikke havde fået den første besked fra Nets.

Hun fik derefter en SMS fra banken, som hun må have godkendt, men hun kan ikke huske det.

Hun fik uforvarende installeret mobilbank/Google Pay på en andens mobiltelefon, hvilket ikke fremgik af den besked, hun fik fra banken. Hun troede derfor, at mobilbank/Google Pay blev installeret på hendes egen mobiltelefon.

Hun har handlet på baggrund af beskeder fra Nets og sin bank. Hun har ikke handlet groft uagtsomt ved sin godkendelse af mobilbank/Google Pay, da (1) SMS’en, hun reagerede på, kom fra Nets (som afsendt af Nets i hendes beskeder, hvor det ikke er muligt at se, at afsenderen ikke er/var Nets), og (2) installationen af mobilbank og Google Pay ikke gav hende anledning til at tro, at installationen skete på en anden enhed end hendes egen mobiltelefon.

Hun er på intet tidspunkt blevet gjort opmærksom på, at installeringerne blev foretaget på en anden mobiltelefon end hendes egen. Hun ville helt klart have reageret, hvis det havde fremgået af SMS’en, at installationen skete på en Samsung mobil, som var tilfældet, da hun selv bruger iPhone. I værste fald har hun handlet simpelt uagtsomt ved at installere en mobilbank og godkende installationen af Google Pay på grund af svært gennemskuelig phishing.

Bemærkningerne til betalingslovens § 100, stk. 4, udtaler klart, at bestemmelsen ikke finder anvendelse ved phishing (da hun ikke har handlet med fortsæt), og at bestemmelsen kun finder anvendelse, når den personlige sikkerhedsforanstaltning har været anvendt (hvilket den ikke har været, udover til godkendelse af mobilbank/betalingsinstrumentet), og betaleren har udvist en adfærd, der har muliggjort den uberettigede anvendelse. Hun har alene uforvarende registreret betalingsinstrumentet på grund af phishing, men hun har ikke muliggjort transaktionerne ved at godkende transaktionerne eller overgive sin personlige sikkerhedsforanstaltning.

Hun har ikke godkendt nogen af de syv omtvistede betalingstransaktioner. Hun har ikke godkendt betalingstransaktionerne ved stærk autorisation, kun installeringen af mobilbank/Google Pay, som hun blev bedraget til. Hun har ikke overgivet sin pinkode til andre. Svindleren har kunnet bruge hendes betalingskort/Google Pay uden at angive hendes personlige sikkerhedsforanstaltning (pin-kode, SMS-kode eller MitID) syv gange, fordi stærk kundeautentifikation ikke blev krævet i forbindelse med betalingstransaktionerne (kun ved installeringen af mobilbank/Google Pay). Hun hæfter derfor ikke for transaktionerne, jf. betalingslovens § 100, stk. 7. Det er meget utrygt, at svindleren har kunnet bruge kort uden stærk kundeautorisation på steder, hvor kortet aldrig er blevet anvendt før. Banken har ikke forholdt sig til, at betalingslovens § 100, stk. 7, finder anvendelse.

Sagen kræver ikke yderligere bevisførelse, da hun og banken ikke er uenige i sagens faktiske omstændigheder.

Ringkjøbing Landbobank har til støtte for frifindelsespåstanden blandt andet anført, at klageren ved kombinationen af klagerens afgivelse af kortoplysninger, godkendelse af installation af ny mobilbank enhed samt oprettelse af Google Pay via indtastning af modtaget SMS-kode muliggjorde gennemførelse af de pågældende transaktioner.

Klageren har ved forløbet og sine handlinger udvist en groft uforsvarlig adfærd, som har muliggjort gennemførelse af de pågældende transaktioner. Klageren hæfter derfor med en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3. Det bemærkes, at der i betalingslovens § 100 stk. 4 nr. 1, 2 og 3 er anført et "eller" og ikke et "og".

Link-adressen i SMS’en burde have givet klageren anledning til agtpågivenhed, idet link-adressen "s.id" ikke har nogen direkte eller indirekte forbindelse til Nets. Link-adressen fremstod ikke som en SMS/et link fra Nets. Teksten i SMS'en havde ikke nogen forbindelse til oprettelse af Google Pay - der er ingen forbindelse mellem såkaldt suspendering af NetBank og oprettelse af Google Pay. I SMS’en stod der blandt andet "Din NetBank står til suspendering". Nets har ikke noget direkte at gøre med bankens/klagerens netbank samt en evt. suspendering heraf, hvilket også burde have givet klageren anledning til agtpågivenhed.

Klageren erkender at have tilgået det pågældende link og at have afgivet kortoplysninger for installering af Google Pay.

Den 15. april 2023 blev der oprettet en ny mobilbank enhed ved anvendelse af/ godkendelse i klagerens MitlD-app -7045. Klageren anvendte stærk kundeautentifikation ved brug af MitlD ved oprettelsen af ny mobilbank-enhed. Efter oprettelsen blev den nye mobilbank anvendt til oprettelse af Google Pay på klagerens Visa/dankort -7615. Der blev brugt to-faktorgodkendelse (stærk kundeautentifikation) både ved oprettelse af den nye mobilbank og ved oprettelsen af Google Pay.

Den 15. april 2023 blev der endvidere sendt SMS-beskeder til klagerens telefonnummer, herunder en SMS indeholdende en kode til aktivering af det virtuelle kort i Google Pay og en SMS i forbindelse med aktivering. Aktiveringen af det virtuelle kort i Google Pay skete ved indtastning af SMS-koden til aktivering sendt til klagerens telefonnummer. Aktiveringen af det virtuelle kort/Google Pay var kun mulig ved indtastning af den i SMS'en modtagne kode.  SMS'erne, herunder teksten i den første SMS "Er du ikke i gang med at installere Google Pay, så kontakt straks Banken på 70231166", synes ikke at have medført undren hos klageren.

Klageren indtastede/videregav således sine kortoplysninger samt en unik SMS-pinkode, som klageren blev gjort opmærksom på, at hun aldrig burde dele med andre. Klageren burde have reageret på, at hvad der startede som en påstået suspendering af netbanken, udviklede sig til en oprettelse af Google Pay, ved øjeblikkeligt at standse sine handlinger.

De omtvistede transaktioner skete ved anvendelse af den oprettede Google Pay, som var tilkoblet klagerens Visa/dankort -7615. Klageren muliggjorde, at Google Pay fremover kunne benyttes med stærk kundeautentifikation fra den person, som klageren gav tilladelse hertil ved oprettelse af den nye mobilbankenhed og Google Pay. De syv transaktioner blev foretaget ved Google Pay ved brug af fingeraftryk, ansigtsgenkendelse eller adgangskode.  

Ringkjøbing Landbobank har til støtte for afvisningspåstanden anført, at behandling af klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Ringkjøbing Landbobank, hvor hun havde et Visa/dankort -7615

Den 16. april 2023 i tidsrummet fra kl. 00:00 til 02:25 blev der med klagerens Visa/dankort foretaget syv betalingstransaktioner på i alt 7.415 kr. i forskellige forretninger, som klageren ikke kan vedkende sig.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren havde den 15. april 2023 kl. 17:45 modtaget en SMS, der så ud til at være fra Nets, med meddelelse om, at ”Din NetBank står til suspendering. Log ind og verificer din identitet på s.id./Nets-DK”.

Klageren har oplyst, at hun klikkede på linket i SMS’en og afgav sine kortoplysninger for at installere Google Pay. Hun fik derefter en SMS fra banken, som hun må have godkendt, men hun kan dog ikke huske det. Klageren har anført, at hun troede, at hun godkendte installation af mobilbank/Google Pay på sin egen mobiltelefon.

Banken har oplyst, at klageren i sin MitID-app godkendte oprettelse af en mobilbank app. Den nye mobilbank app blev oprettet på tredjemands enhed og blev anvendt til indrullering af klagerens betalingskort i tredjemands Google Pay-wallet ved brug af en aktiveringskode i en SMS, som banken sendte til klagerens telefonnummer. Tredjemand anvendte herefter det oprettede Google Pay til de omtvistede betalingstransaktioner. Banken har oplyst, at de syv transaktioner blev godkendt med Google Pay, der blev oprettet den 15. april 2023, ved brug af fingeraftryk, ansigtsgenkendelse eller adgangskode.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Andreas Moll Årsnes – udtaler:

Vi finder det godtgjort, at klageren uforvarende har videregivet sine betalingskort- og MitID-oplysninger til tredjemand. Vi finder herefter, at det må lægges til grund, at klageren den 15. april 2023 har godkendt aktiveringen af mobilbank på tredjemands enhed i sin MitID i forbindelse med, at følgende tekst blev sendt til klagerens MitID-nøgleapp ”Godkend følgende? Installation af Ringkjøbing Landbobank/Nordjyske Bank mobilbank”, og at klageren endvidere indtastede aktiveringskode til Google Pay modtaget pr. SMS, hvorved en svindler via den oprettede mobilbank kunne indrullere klagerens kort i Google Pay app på sin enhed og foretage de omtvistede betalingstransaktioner.

Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 kr.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:

Vi finder det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger.

Vi finder ikke, at banken har godtgjort, at betingelserne for at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.040 kr. til klageren.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.