Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet ved brug af aktiveringskode sendt via SMS til klagerens telefonnummer. Spørgsmål om stærk kundeautentifikation.

Sagsnummer: 487/2023
Dato: 27-05-2024
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Nanna Vetter Viberg Nielsen og Elizabeth Bonde.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet ved brug af aktiveringskode sendt via SMS til klagerens telefonnummer. Spørgsmål om stærk kundeautentifikation.
Indklagede: Jyske Bank
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-wallet ved brug af aktiveringskode sendt via SMS til klagerens telefonnummer. Spørgsmål om stærk kundeautentifikation.

 

 

 

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Visa/dankort -4589.

Den 7. juni 2023 blev der foretaget fem transaktioner i forskellige forretninger med klagerens Visa/dankort, som han ikke kan vedkende sig:

Dato

Forretning

Beløb i kr.

07.06.2023

A

2.000,00

07.06.2023

A

3.000,00

07.06.2023

B

522,50

07.06.2023

C

1,817,95

07.06.2023

D

83,00

I alt

 

7.423,45

Ved et brev af 7. juni 2023 til klageren oplyste banken, at Nets den 7. juni 2023 kl. 17:31 havde spærret hans Visa/dankort.

Ved en tro- og loveerklæring af 9. juni 2023 gjorde klageren indsigelse mod de fem transaktioner på i alt 7.423,45 kr., der var blevet trukket på hans konto den 9. juni 2023. Klageren oplyste, at han ikke var blevet kontaktet vedrørende udlevering af oplysninger.

I en supplerende mail af 12. juni 2023 til banken oplyste klageren:

”…

Tak for din besked. Jeg har – desværre – trykket på et link ! Der kom en mail fra ”jyske bank” – som på en eller anden måde, så så troværdig ud, at jeg trykkede på linket …. og set i bakspejlet, så ved jeg jo godt, at I ikke sender mail med link på, MEN jeg blev åbenbart fanget på det forkerte ben.

I forbindelse med at jeg talte med jeres kundeservice, oplyste jeg, at jeg var sikker på, at det bl.a. omhandlede noget med at blive tilknyttet til paypal og google pay !! Jeg har ledt i min mailboks, også i slettede mail, der finder jeg intet, det undrer mig jo !? Jeg har ledt i alle sms, også i de slettede, der er heller ikke noget ! Jeg politianmelder sagen senere i dag, og fremsender journal. nummer, når jeg har det.

På forhånd tak for hjælpen …. I skal ikke være i tvivl om, at jeg personligt er MEGA træt af situationen, men vi mennesker laver fejl, beklager !”

Banken afviste klagerens indsigelse og anførte, at betalingerne var foretaget med klagerens betalingskort, der var blevet indrulleret i Google Pay på tredjemands enhed, og at klageren hæftede med op til 8.000 kr. af tabet.

Den 10. august 2023 indbragte klageren sagen for Ankenævnet. Klageren oplyste følgende i klagen:

”Den 6. juni 2023 får jeg af ”Jyske Bank” et tilbud om at få installeret Google Pay på min mobiltelefon. Jeg husker ikke præcist, om jeg får tilbuddet via mail, eller via sms, jeg vælger i første omgang at tro[r], at det via en mail, men jeg er ikke sikker.

Hele forløbet sker i regi af ”Jyske Bank” med logo, og er helt troværdigt.

I oprettelsesfasen får jeg en sms fra Jyske Bank med ordlyden ”Du er ved at installere Google Pay på en enhed (ja, min tænker jeg !) så der fremover kan ske betalinger fra enheden med dit kort 4589 (ja, det er jo tilbuddet som kom fra Jyske Bank) …og må IKKE udleveres til andre, heller ikke os!! Koden er [xxxxxx]. Er du IKKE i gang med at installere Google Pay (MEN, det er jeg jo !!) så kontakt straks Jyske Bank. Venlig hilsen Jyske Bank.”

Efterfølgende kommer der en sms mere; ”Dit Visa/Dankort 4589 er klar till brug i Google pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Google Pay mærket. Venlig hilsen Jyske Bank.”

Jeg tror !, at jeg måske har ladet mig narre af teksten ” er du IKKE ved at installere …. ” hvilket jeg jo var, og dermed fortsætter processen. Jeg kan forstå, at hvis sms`en dukkede op ud af det blå, og jeg ikke var i gang med at installere Google Pay… så havde jeg nok ikke sendt nogen kode. Det er umuligt for mig, at huske hvad jeg har tænkt i den givne situation, andet end jeg var 100% sikke[r] på, at alt var OK

7. juni spærre[r] Nets mit kort grundet mistanke om svindel. Jeg kontakter Jyske Bank, hvor vi også bliver enige om at spærre mit MitID for en sikkerhedsskyld.

Jeg er hverken IT mand eller har anden forudsætning indenfor nogen branche m.h.t. brugen af IT. Jeg er pensionist og prøver hver dag mit bedste for, at jeg ikke bliver snydt.

Jeg bliver udsat for et tyveri, som set i baglyset, er utrolig godt udført af den/de kriminelle. Jeg er blevet snydt og det ærgrer mig, men det er på et niveau, hvor jeg syntes banken bør dække mine tab”

Banken har oplyst, at det fremgår af bankens tekniske undersøgelser, at banken den 6. juni 2023 kl. 13:27 sendte en SMS til klagerens telefonnummer med en installationskode til Google Pay til oprettelse af klagerens betalingskort i Google Pay på en enhed. Af SMS’en fremgik:

”Du er ved at installere Google Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort 4589. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til os. Koden er [xxxxxx]. Er du ikke i gang med at installere Google Pay, så kontakt straks Jyske Bank”

Banken har yderligere oplyst, at klagerens betalingskort blev indrulleret som et virtuelt betalingskort i en Google Pay-wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne for betalingskort -4589 og installationskoden, som blev sendt i en SMS til klagerens telefonnummer den 6. juni 2023.

Banken har endvidere oplyst, at det fremgår af bankens tekniske undersøgelser, at banken den 6. juni 2023 kl. 13:28 sendte en SMS til klagerens telefonnummer, hvoraf fremgik:

”Dit Visa Debit 4589 er klar til brug i Google Pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Google Pay mærket. Venlig Hilsen Jyske Bank”

Den 7. juni 2023 blev en virtuel udgave af klagerens betalingskort, der var blevet indrulleret på tredjemands enhed, anvendt til at foretage de fem betalinger på i alt 7.423,45 kr., som klageren ikke kan vedkende sig.

Klageren har under sagens forberedelse i Ankenævnet anført, at den mail eller SMS-besked, som han modtog den 6. juni 2023, formentlig har destrueret og slettet sig selv og har henvist til en guide til at sende selvdestruerende mails med Gmail.

Parternes påstande

Klageren har nedlagt påstand om, at Jyske Bank skal betale 7.423,45 kr.

Jyske Bank har nedlagt påstand om:

  1. Frifindelse begrundet i, at klageren hæfter for betalingerne på aftaleretligt grundlag
  2. Frifindelse begrundet i, at klageren hæfter med op til 8.000 kr. efter betalingslovens regler
  3. Afvisning.

Parternes argumenter

Klageren har anført, at han var i god tro. Han havde ingen viden om/fornemmelse af, at han var ved at blive snydt, og at han videregav sine kortoplysninger til tredjemand. Forløbet var meget troværdigt med Jyske Banks logo. Han havde samarbejdet med banken i 35 år uden tidligere at have haft problemer.

Han var på ingen måde bekendt med, at tredjemand var kommet i besiddelse af koden. Han troede, at han var i gang med at oprette Google Pay på sin mobiltelefon, og han havde på intet tidspunkt en formodning om, at der var noget mistænkeligt vedrørende oprettelsen af Google Pay.

Han kontaktede straks banken, da han fik læst en SMS fra banken vedrørende spærring af hans kort. Dette var den 7. juni 2023 kl. 17.47. Kl. 17.54 ringede han til banken, hvor han blev informeret om svindlen med sit kort og vejledt om, hvad han skulle gøre. Da han ikke før dette tidspunkt var bekendt med, at han havde været udsat for svindel, havde han i sagens natur ikke kontaktet banken tidligere.

Hans udsagn om, at en bank ikke sender en mail med et link, blev anført i den skriftlige redegørelse af 12. juni 2023, som han sendte til banken efter, at han var blevet kontaktet vedrørende spærring af sit kort, og det var gået op for ham, at han havde været udsat for svindel. Det er helt ude af proportioner, at banken påstår, at han derfor ikke kunne være i god tro om, at mailen reelt var afsendt af banken.

Banken mistænkeliggør ham desuden ved, at han ikke kan finde mailen eller SMS’en i sine systemer. Han er ikke ekspert, men har dog fået oplyst, at det er helt normalt, at disse destruerer og sletter sig selv i forbindelse med svindel.

Han er sikker på, at bankens beskrivelser af de tekniske detaljer, ”indrullering af kort, kundeautentifikation, tilmeldingsflow, betalingstoken” osv. er korrekte, og han stoler på bankens informationer.

Han har ikke udleveret installations-/aktiveringskoden til tredjemand, men til Google Pay, og han var ikke bekendt med, at tredjemand var kommet i besiddelse af denne.

De tekniske detaljer vedrørende Google Pay/Google Pay-wallet havde han på daværende tidspunkt ikke kendskab til.

Han har været offer for svindel på et niveau, som han ikke kendte til. Bankrelaterede phishing-angreb er efterhånden blevet så sofistikerede, at de kan være umulige at gennemskue.

Jyske Bank har til støtte for den principale påstand blandt andet anført, at klageren hæfter for betalingerne på aftaleretligt grundlag, jf. principperne i Højesterets kendelser af 8. januar 2019 i sagerne 82/2018 og 87/2018.

Det fremgik udtrykkeligt af SMS-beskeden fra banken, at koden skulle benyttes til at indrullere klagerens kort i Google Pay, således at der kunne ske betalinger fra enheden med klagerens kort. Klageren udleverede frivilligt installations-/aktiveringskoden til tredjemand, hvilket banken lægger til grund skete den 6. juni 2023 kl. 13:27, hvor klageren modtog SMS-beskeden fra banken. Klageren var bekendt med, at tredjemand var kommet i besiddelse af installations-/aktiveringskoden, da han selv havde udleveret den til tredjemand.

Klageren fik oplyst i SMS-beskeden, hvordan han skulle forholde sig, hvis han ikke var i færd med at installere Google Pay – nemlig at kontakte banken. Klageren var dermed vejledt i, hvorledes han kunne ”begrænse skaden”, hvis han – trods advarslerne fra banken - havde udleveret koden. Klageren henvendte sig imidlertid først den 7. juni 2023, hvor Nets havde spærret kortet. Klageren kontaktede dermed ikke banken umiddelbart efter, at han havde videregivet installations-/aktiveringskoden til Google Pay. Klageren gjorde dermed ikke, hvad der var muligt for at forhindre misbrug.

Klageren har dermed – ved at udlevere koden fra den i sagen omhandlede SMS-besked fra banken – uden at forholde sig nærmere til ordlyden af SMS-beskeden, herunder at foranstalte nærmere undersøgelse af baggrunden for bankens fremsendelse af SMS-beskeden, udvist en sådan grad af uagtsomhed, at han i forhold til banken på aftaleretligt grundlag hæfter for de i sagen omhandlede betalingstransaktioner.

Til støtte for den subsidiære påstand har banken blandt andet anført, at det på baggrund af bankens tekniske undersøgelser må lægges til grund, at klageren videregav sine kortoplysninger samt installations-/aktiveringskoden til Google Pay, som han fik tilsendt af banken, herunder at han modtog SMS-beskeden fra banken med installations-/aktiveringskoden til Google Pay.

Indrulleringen af klagerens kort i Google Pay på svindlerens enhed med en SMS-besked sendt fra banken skete med stærk kundeautentifikation. SIM-kortet på klagerens telefon, hvortil SMS-beskeden fra banken blev sendt, udgjorde det ene af de sikre elementer (det vil sige besiddelseselement). Det andet element er krav om, at der på den enhed, hvor betalingstokenet er ved at blive udstedt (i den konkrete sag svindlerens enhed) er logget ind via ejeren af enhedens Google ID, da dette ellers efterspørges i forbindelse med indrulleringen (det vil sige videnselement).

Et betalingstoken er den elektroniske udgave af et betalingskort. Tokenet udstedes i forbindelse med indrulleringen af kortet i en wallet-løsning, som for eksempel Google Pay, og kan derefter benyttes i forbindelse med betaling ved hjælp af den respektive enhed. Det skal hertil supplerende oplyses, at Google ID’et og diverse enhedsoplysninger benyttes af Google til at lave en samlet risikovurdering af den benyttede enhed (svindlerens enhed) i forbindelse med selve indrulleringen. Denne risikovurdering medgives til udsteder (i den konkrete sag banken) og angiver blandt andet, om enheden tidligere har været formodet eller bekræftet benyttet i forbindelse med misbrug. Dette har ikke været tilfældet i den pågældende sag, da det i så fald ikke havde været muligt at gennemføre indrulleringen via SMS-besked.

Denne risikovurdering ses som et supplement, men træder ikke i stedet for de nævnte elementer.

I forbindelse med udstedelse af tokens via SMS-løsning medfører følgende kombination derfor stærk kundeautentifikation i forbindelse med indrulleringen af betalingstokenet:

1) SMS’en udsendes til et SIM-kort for et kendt telefonnummer og

2) Der er på enheden (i den konkrete sag svindlerens enhed) logget ind ved hjælp af  ejeren af enhedens Google ID.

Betalingstransaktionerne blev gennemført ved brug af klagerens kortoplysninger og godkendt via Google Pay installeret på tredjemands enhed på baggrund af den installations-/aktiveringskode, klageren fik tilsendt af banken.

Reglerne for godtgørelse af betalinger, som en betaler ikke kan vedkende sig, fremgår af betalingsloven.

Betalingstransaktionerne er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Betalingstransaktioner gennemført i Google Pay bliver enten gennemført via en personlig adgangskode eller biometri, f.eks. fingeraftryk eller ansigtsgenkendelse. Fingeraftryk, ansigtsgenkendelse eller et personligt kodeord er omfattet af definitionen på en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31.

Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købet autentificeres ved en kombination af 1) det udstedte betalingstoken på den specifikke enhed (besiddelseselement) 2) anvendelse af ansigtsgenkendelse, fingeraftryk (iboende element) eller personlig adgangskode (videnselement) i forbindelse med godkendelse af betalingen.

Efter betalingslovens § 100, stk. 4, nr. 3 hæfter betaleren, medmindre videregående hæftelse følger af stk. 5, med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Klageren oplyser i sin korrespondance med banken, at han trykkede på linket i den fremsendte mail/SMS-besked og ”set i bakspejlet, så ved jeg jo godt, at I ikke sender mail med link på, men jeg blev åbenbart fanget på det forkerte ben”. Klageren oplyser desuden ikke, at han har haft mistet betalingskortet, hvorfor banken lægger til grund, at klageren selv må have udleveret kortoplysninger, hvilket klageren i øvrigt ikke har bestridt.

Når et betalingskort lægges i Google Pay, skal kortoplysninger og aktiveringskode enten indtastes direkte i Google Pay-wallet eller ved, at kortet tilføjes igennem mobilbank på enheden. Betalingskortet kan ikke lægges i Google Pay-wallet uden koden fra SMS-beskeden fra banken, der genereres ved tilmelding af kortet til Google Pay, når kortoplysningerne indtastes. Klageren må have videregivet sine kortoplysninger og aktiveringskoden.

SMS-beskeden fra banken, som blev sendt i forbindelse med indrulleringen af klagerens kort i Google Pay, var formuleret på en sådan måde, at klageren klart og tydeligt fik oplyst, at han var ved at installere Google Pay på en enhed, så der fremover kunne ske betalinger fra enheden med hans kort -4589.

Klageren blev dermed advaret om, at formålet med og konsekvensen af SMS-beskeden var installering af Google Pay på en enhed med hans kortoplysninger, så der fremover kunne ske betalinger fra enheden med hans kort.

Klageren fik desuden oplyst, hvordan han skulle håndtere installations-/aktiveringskoden, at den var personlig og at den ikke måtte udleveres til andre, heller ikke til banken. Installations-/aktiveringskoden i SMS-beskeden var desuden placeret så langt nede i teksten, at den ikke umiddelbart kunne læses på en låst skærm.

Klageren var dermed nødt til at åbne beskeden for at tilgå koden og kunne ikke blot indtaste koden uden ved en læsning af teksten i SMS-beskeden forinden at blive gjort bekendt med, at han ved indtastning af koden oprettede sit kort i Google Pay, således at der kunne ske betalinger fra enheden med hans kort.

Klageren blev vejledt om, hvorledes han skulle forholde sig for at ”begrænse skaden”, hvis han til trods for advarslen ovenfor alligevel utilsigtet havde videregivet koden og fået indrulleret sit kort i Google Pay.

Banken har dermed med SMS-beskeden gjort, hvad den kunne for at advare klageren om konsekvenserne ved at videregive installations-/aktiveringskoden i SMS-beskeden.

Klageren kunne ved opslag i egen Google-wallet på sin egen enhed have konstateret, at hans betalingskort ikke var blevet lagt i Google Pay-wallet på hans egen enhed.

Klageren kunne, på baggrund af modtagelsen af SMS-beskeden fra banken vedrørende bekræftelse af endelig indrullering af hans betalingskort i Google Pay, ved opslag i Google Pay-wallet på egen enhed have konstateret, at betalingskortet var indrulleret på en anden enhed.

Klageren kunne ved simpelt opslag enten på Google eller Jyske Banks hjemmeside have konstateret, at Google Pay enten oprettes via wallet eller mobilbank/netbank – og ikke via en hjemmeside – herunder at hans handlinger ikke havde medført indrullering af betalingskortet i egen Google Pay-wallet.

Hvis klageren havde udvist større opmærksomhed i forbindelse med modtagelsen af mailen/SMS-beskeden, der angav at stamme fra Jyske Bank (phishingbeskeden) og SMS-beskeden med aktiveringskoden, kunne misbruget have været undgået

Da klageren undlod at udvise skærpet opmærksomhed i forhold til SMS-beskeden, og da han videregav sine kortoplysninger og installationskoden til Google Pay til svindleren, har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3. Klagerens tab er mindre end 8.000 kr., og banken er dermed ikke forpligtet til at godtgøre klageren noget beløb.

Til støtte for afvisningspåstanden har banken anført, at klageren ikke har fremlagt den i sagen omhandlede SMS-besked eller mail, der angiveligt skulle stamme fra Jyske Bank. Det bestrides, at mails og SMS-beskeder destruerer og sletter sig selv i forbindelse med svindel. Sletning af mails og SMS-beskeder kræver en aktiv handling. Banken har dermed ikke mulighed for at efterprøve klagerens oplysninger, herunder indholdet af den i sagen omhandlede besked (mail eller SMS-besked), f.eks. i forhold til, om beskeden var udformet så professionelt, som klageren oplyser.

Der er dermed sådan en usikkerhed om det faktisk passerede i sagen, herunder hvilke oplysninger klageren har fået vist i beskeden og betalingsoplysninger i betalingsflowet, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men må i givet fald finde sted ved domstolene. Sagen skal dermed afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Vi-sa/dankort -4589.

Den 7. juni 2023 blev der med klagerens Visa/dankort foretaget fem betalingstransaktioner på i alt 7.423,45 kr. i forskellige forretninger, som klageren ikke kan vedkende sig.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Klageren har oplyst, at han den 6. juni 2023 modtog en mail/SMS, der fremstod som om den kom fra Jyske Bank, hvori han fik et tilbud om at få installeret Google Pay på sin mobiltelefon. Han husker ikke præcist, om han fik tilbuddet via mail eller vis SMS, og han trykkede på et link heri. Han fik herefter en SMS fra banken om, at han var ved at installere Google Pay på en enhed, så der fremover kunne ske betalinger fra enheden fra hans kort -4589. SMS’en indeholdt en kode, som ikke måtte udleveres til andre. Han fortsatte herefter processen, da han troede, at han var i gang med at installere Google Pay på sin egen mobiltelefon. Han modtog herefter en SMS om, at hans Visa/dankort -4589 var klar til brug i Google Pay.

Banken har oplyst, at klagerens betalingskort blev indrulleret som et virtuelt betalingskort i en Google Pay-wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne for betalingskort -4589 og installationskoden, som blev sendt i en SMS til klagerens telefonnummer den 6. juni 2023. Tredjemand anvendte herefter en virtuel udgave af klagerens betalingskort, der var blevet indrulleret på tredjemands enhed, til at foretage de omtvistede betalingstransaktioner, der blev gennemført med Google Pay ved anvendelse af fingeraftryk, ansigtsgenkendelse eller adgangskode.

Det følger af betalingslovens § 128, stk. 1, nr. 3, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stærk kundeautentifikation indebærer efter betalingslovens § 7, nr. 30, at betalingstjenesteudbydere skal forlange, at kunderne bruger minimum to ud af tre mulige sikkerhedselementer; noget kunden ved f.eks. et kodeord, noget kunden besidder, f.eks. en app eller SMS-engangskode modtaget via et SIM-kort, og noget kunden er f.eks. et fingeraftryk. Kortdata er synlige på kortet og dermed ikke hemmelige, og udgør derfor ikke et gyldigt sikkerhedselement.

Ankenævnet lægger, efter det som banken har oplyst, til grund, at tredjemand for at indrullere klagerens betalingskort i sin Google Pay-wallet anvendte klagerens kortoplysninger og en engangskode, som blev sendt via SMS til et telefonnummer, som banken havde registreret på klageren.

Ankenævnet finder ikke, at der foreligger omstændigheder, der medfører, at klageren hæfter for betalingerne på et aftaleretligt grundlag.

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Elizabeth Bonde, der i medfør af Ankenævnets vedtægter § 16 er tillagt to stemmer – udtaler:

Vi finder, at indrullering af et betalingskort i en Google Pay-wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.

Efter vores opfattelse er kravet til stærk kundeautentifikation kun opfyldt, hvis minimum to sikkerhedselementer vedrører samme kunde.

Ved indrullering af kort i Apple Pay og Google Pay bruges i praksis to forskellige løsninger, henholdsvis indrullering via kortholderens mobilbank og indrullering via wallet-appen. Ved indrullering via kortholderens mobilbank er kravet til stærk kundeautentifikation opfyldt, idet minimum to sikkerhedselementer vedrører samme kunde. Det samme er tilfældet ved indrullering via wallet-appen, hvis indrulleringen er sket med stærk kundeautentifikation, som tilhører kortholderen.

Vi finder det ikke godtgjort, at indrulleringen af klagerens betalingskort -4589 i tredjemands Google Pay-wallet er sket ved stærk kundeautentifikation. Det bemærkes herved, at det forhold, at tredjemand loggede ind via sin enheds Google ID, ikke indebærer, at der er anvendt stærk kundeautentifikation, idet dette element ikke tilhører klageren men tredjemand.

Ifølge betalingslovens § 100, stk. 1 hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Ifølge betalingslovens § 100, stk. 7 hæfter betalingsudbyderen uanset betalingslovens § 100, stk. 3-5, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Det følger herudover af betalingslovens bilag 1, pkt. 5, at udstedelse eller indløsning af betalingsinstrumenter udgør en betalingstjeneste.

Formålet med betalingslovens bestemmelser om krav om stærk kundeautentifikation, herunder § 100, stk. 7, og § 128, stk. 1, er blandt andet at højne sikkerheden og øge forbrugerbeskyttelsen ved at iværksætte foranstaltninger til at beskytte fortroligheden og integriteten af betalingstjenestebrugeres personaliserede sikkerhedsoplysninger og anvendelse af betalingstjenesten.

Selv om der, som anført af mindretallet, er foretaget to processer for at gennemføre misbruget af klagerens betalingskort, nemlig indrulleringen af klagerens kort i tredjemands wallet, og tredjemands brug af wallet-løsningen, finder vi, at de to processer i relation til hæftelsesspørgsmålet må betragtes samlet, hvorfor misbruget kan være omfattet af betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Vi har herved navnlig lagt vægt på den nære sammenhæng mellem de to processer, idet misbruget af klagerens betalingskort er muliggjort ved indrulleringen af dette i tredjemands wallet, og på formålet med betalingslovens § 100.

Da indrulleringen ikke er sket med stærk kundeautentifikation, og da der ikke efter sagens oplysninger er grundlag for at antage, at klageren har handlet svigagtigt, finder vi, at banken hæfter for tredjemands misbrug af klagerens betalingstjeneste, jf. betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Et medlem – Nanna Vetter Viberg Nielsen – udtaler:

Selve indrulleringen af klagerens betalingskort -4589 i tredjemands Google Pay-wallet og de efterfølgende fem betalingstransaktioner på i alt 7.423,45 kr. 7. juni 2023 skal anses som to forskellige processer, når det kommer til vurdering af stærk kundeautentifikation, hvilket der skal tages højde for, i forbindelse med vurderingen af hvilken del af betalingslovens § 100 et misbrug skal vurderes efter. Det er således min opfattelse, at § 100, stk. 7 ikke regulerer indrullering af et betalingskort i wallet, men alene regulerer brugen af kortet via wallet.

Betalingslovens § 128 stiller krav til, at udbydere af betalingstjenester skal anvende stærk kundeautentifikation, men regulerer ikke forholdet mellem udbyderen og betaleren.

Forholdet mellem udbyderen og betaleren er derimod udtrykkeligt reguleret i bestemmelsen i betalingslovens § 100, som fastlægger tabsfordelingen mellem betaleren og udbyderen, hvis der er sket uberettiget anvendelse af en betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Efter de foreliggende oplysninger finder jeg det godtgjort, at klageren har videregivet den engangskode, der var nødvendig for at installere hans Visa/dankort -4589 i Google Pay på tredjemands enhed og som muliggjorde misbrug på betalingskortet. Jeg har herved lagt vægt på klagerens egne oplysninger.

Jeg finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i SMS-beskeden om, at han var ved at installere sit Visa/dankort -4589 i Google Pay og den efterfølgende SMS-besked om, at hans Visa/dankort var klar til brug i Google Pay, og at klageren som følge heraf hæfter med op til 8.000 kr.

Jeg stemmer derfor for, at klageren ikke får medhold i klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Jyske Bank skal inden 30 dage tilbageføre 7.423,45 kr. til klagerens konto med valør fra datoen for debitering af transaktionerne.

Klageren får klagegebyret tilbage.