Indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra en stjålen enhed.

Sagsnummer:93/2024
Dato:25-09-2024
Ankenævn:Bo Østergaard, Christina Bryanth Konge, Andreas Moll Årsnes, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra en stjålen enhed.
Indklagede:Lunar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner. Adgang til klagerens Lunar-konto/Lunar-app fra en stjålen enhed.

Sagens omstændigheder

Klageren var kunde i Lunar Bank, hvor han havde en konto -694 med et tilknyttet virtuelt betalingskort -574, som klageren havde tilføjet på en Lunar-app, der var installeret på hans iPhone 14 pro (model 15,2).

Klageren har oplyst, at han den 7. oktober 2023 anvendte sin iPhone 14 pro til at tilgå Lunar-appen.

Klageren har herudover oplyst, at hans iPhone 14 pro den 12. oktober 2023 ca. kl. 11:00-11:10 blev stjålet på en kaffebar, og har fremlagt en kvittering for anmeldelse til Københavns Politi af 12. oktober 2023, hvoraf fremgår, at han var blevet udsat for tyveri eller tricktyveri ved kaffebaren.

Klageren har oplyst, at hans iPhone 14 pro straks blev låst den 12. oktober 2023, og at han, eftersom telefonen var låst, og der var ansigtsgenkendelse på alle apps, ikke troede, der var risiko for misbrug.

Klageren har oplyst, at han den 27. oktober 2023 fik en ny iPhone 15 pro (model 16,1).

Banken har fremlagt en log af enheder, der har tilgået klagerens Lunar-app. Det fremgår blandt andet af denne log, at klagerens Lunar-app blev tilgået fra en iPhone model 15,2 den 7. oktober 2023, hvorefter klagerens Lunar-app blev tilgået fra en iPhone model 16,1 fra 15. november 2023. Den 21.-25. november 2023 blev klagerens Lunar-app på ny og flere gange tilgået fra en iPhone model 15,2.

Klageren har oplyst, at han den 21. november 2023 modtog en e-mail fra Apple via Find My iPhone om, at hans mobiltelefon model 15,2 var aktiveret i Rumænien. Klageren har fremlagt en udskrift af en e-mail fra noreply@email.apple.com (Find My iPhone) af 21. november 2023, som var sendt til klageren, hvoraf blandt andet fremgår:

”…

iPhone (205) blev fundet i nærheden af [by i Rumænien] kl. 07:45 PST

…”

Om natten den 25. november 2023 mellem kl. 00:08-01:59 blev klagerens kundeforhold i banken udvidet med Lunar Standard og Lunar Plus, der gjorde det muligt at have op til hhv. tre og seks virtuelle betalingskort i Lunar-appen. Herefter blev der tilføjet tre yderligere virtuelle betalingskort i klagerens Lunar-app -482, -036 og -747. Med disse betalingskort blev der foretaget i alt 16 korttransaktioner. Syv betalingstransaktioner på i alt hhv. 113.900 DKK og 660 GBP (britiske pund) svarende til i alt 119.578,49 DKK P blev gennemført til tredjemands konto i pengeinstitut. Resten af betalingstransaktionerne blev afvist, da beløbsgrænsen for de anvendte betalingskort var nået.

Banken har fremlagt en udskrift af 3D Secure detaljerne for betalingstransaktionerne, hvoraf blandt andet fremgår, at de gennemførte betalinger var godkendt med MitID, og at en betalingstransaktion på 20.200 DKK, som ikke blev gennemført, var godkendt med biometri.

Den 26. november 2023 meddelte klageren banken telefonisk, at han ikke kunne vedkende sig en række betalingstransaktioner. Samme dag meddelte banken klageren, at den havde spærret hans konto og anbefalede klageren at spærre sit MitID.

Den 27. november 2023 anmodede banken klageren om at verificere sig overfor banken, at bekræfte, at han havde spærret sit MitID, at udfylde en tro og love-erklæring, og at anmelde forholdet til politiet samt indsende en politianmeldelseskvittering.

Klageren indsendte sin tro og love-erklæring, hvoraf af blandt andet fremgår:

”…

Ikke godkendte transaktioner:

Dato

Beløb

Fra reg/konto nr.

Til reg/konto nr.

25/11/2023

20.000,00

[-694]

 

25/11/2023

5.678,49

[-694]

 

25/11/2023

18.000,00

[-694]

 

25/11/2023

30.000,00

[-694]

 

25/11/2023

30.000,00

[-694]

 

25/11/2023

13.000,00

[-694]

 

25/11/2023

2.900,00

[-694]

 

Jeg bekræfter hverken at have deltaget i eller godkendt ovennævnte transaktion(ner). [JA]

Mobiltelefonen var i min besiddelse på tidspunktet for den eller de ikke-godkendte transaktion(ner). [JA]

Netbank-ejerens forklaring/hændelsesforløb

For at vi kan behandle sagen har vi brug for en udførlig beskrivelse af hændelsesforløbet.

Jeg har været i London i weekenden og da jeg skal betale med ApplePay lørdag aften bliver betalingen afvist. Jeg går ind på app og ser min konto er blevet tømt. Jeg brugte ApplePay om torsdagen til metroen i London. 12. oktober fik jeg stjålet min gamle tlf.

Øvrige vigtige oplysninger om transaktionen(erne)

Din Lunar App

Hvornår (dato og tidspunkt) benyttede du sidst din Lunar app inden misbruget fandt sted? Jeg tror at jeg har været inde på appen mandag d. 20

Hvad foretog du dig i Appen? Tjekkede saldo

Hvilken mobil device benytter du? (mærke) iPhone 15 pro.

NEM-ID

Hvor og hvordan var din adgangskode opbevaret? I hovedet

Hvor og hvordan var dit nøglekort opbevaret? MitID med kode app

Har du installeret en nøgle app på din mobiltelefon? Ja

Har du noteret dine koder nogen steder? – hvis ja, hvor? Nej

Har andre kendskab/adgang til dine NemID oplysninger? – hvis ja, hvem? Nej

…”

Den 30. november 2023 anmodede banken klageren om at oplyse, om han havde spærret sin iPhone 14 pro, efter den blev stjålet den 12. oktober 2023, og om han havde spærret sit MitID og om hans betalingskort på telefonen var tilknyttet Apple- eller Google Pay.

Samme dag svarede klageren, at han havde nulstillet sin iPhone 14 pro. 

Den 4. december 2023 anmodede banken klageren om at oplyse, om han i forbindelse med nulstillingen fik spærret sit MitID samt fjernet eventuelle betalingskort fra sin iPhone 14 pro.

Samme dag svarede klageren, at han straks låste sin mobiltelefon, da den blev stjålet, og at han, da mobiltelefonen kom online igen, nulstillede/slettede alle data på mobiltelefonen via Find My iPhone.

Den 11. december 2023 anmodede banken klageren om at oplyse, om han havde modtaget e-mails, SMS’er eller lignende, hvori han blev anmodet om at oplyse sine kort- eller MitID-oplysninger.

Den 12. december 2023 svarede klageren, at han ikke havde modtaget e-mails eller SMS’er, hvori han blev anmodet om at oplyse sine kort- eller MitID-oplysninger.

Den 15. december 2023 afviste banken klagerens indsigelse med følgende begrundelse:

”…

Afvisningen skyldes at transaktionerne er foretaget på dit eget device og vi kan derfor ikke imødekomme sagen. Vi kan hertil se at der er blevet benyttet biometrics i forbindelse med at tilgå appen, samt er transaktionerne godkendt med 3D secure som kræver adgang til MitID.

…”

Klageren har fremlagt en udskrift af Forbrugerombudsmandens hjemmeside, hvoraf blandt andet fremgår:

”…

Du kan komme til at dække op til 8.000 kr., hvis den personlige sikkerhedsforanstaltning har været anvendt, og hvis

  • du ikke har givet besked til banken snarest muligt efter at have opdaget, at kortet er bortkommet, eller snarest muligt efter at have opdaget, at den personlige sikkerhedsforanstaltning er kommet til misbrugerens kendskab,
  • du selv har oplyst koden til misbrugeren, eller
  • du har opført dig så uansvarligt, at du selv har gjort misbruget muligt.

…”

Parternes påstande

Den 11. februar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal godtgøre ham 111.578,49 DKK.

Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hans iPhone 14 pro blev stjålet den 12. oktober 2023, og at han straks låste den. Da telefonen var låst, og der var ansigtsgenkendelse på alle apps, mente han ikke, at der var en risiko for misbrug. Han nulstillede/slettede mobiltelefonen, men hans nulstilling/sletning var åbenbart ikke lykkedes, da den efterfølgende blev anvendt til svindlen.  

Bankens anklager om, at hans iPhone 14 pro ikke var blevet stjålet, og at han selv havde foretaget betalingerne, er meget grove anklager. Han kan ikke se, hvorfor han skulle have interesse heri.

Han var på ferie med sin mor i London den 25. november 2023, hvor svindlen fandt sted. På tidspunktet for svindlen sov han på et hotel i London. Han anvendte sit betalingskort -574 sidste gang den 23. november 2023 i metroen i Gatwick lufthavn. Da han anvendte sit betalingskort et par dage senere, var betalingskortet spærret. Han konstaterede her, at der var foretaget flere transaktioner, som han ikke kendte til.

Tredjemand har tilkøbt Lunar Standard og Lunar Plus for at få mulighed for at hæve yderligere fra hans konto.

Banken burde have reageret på de mistænkelige overførsler, hvilket andre banker gør. Betalingerne var meget atypiske for hans almindelige betalingsmønster. Han overførte ikke penge fra sin Lunar-konto, tilmeldte sig ikke ekstra services med så kort mellemrum, og ville ikke foretage syv transaktioner til den samme betalingsmodtager inden for to timer.

Ansigtsgenkendelse og MitID kan hackes, hvis man har forstand på det.

Politiet er i gang med at efterforske sagen, da det ikke er et enestående tilfælde, at en mobiltelefon bliver stjålet og ansigtsgenkendelse er anvendt til at tilgå apps, da biometrisk login bare er en anden type kode.

I henhold til Forbrugerombudsmanden bør han alene hæfte for 8.000 DKK.

Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at man, for at kunne foretage de omtvistede betalingstransaktioner, skulle have adgang til klagerens MitID, biometrisk login i form af touch-ID eller ansigtsgenkendelse knyttet til klagerens mobiltelefon, have adgang til klagerens telefon, have en kode til klagerens Lunar-app og klagerens kortoplysninger.

De i sagen omtvistede betalingstransaktioner er godkendt med 3D secure i form af godkendelse med MitID samt godkendelse i klagerens Lunar-app med biometrisk login, og klagerens Lunar-app er blevet tilgået med klagerens mobiltelefon.

Klageren har oplyst, at han ikke har videregivet nogle personlige oplysninger til tredjemand, herunder ikke modtaget nogle e-mails, SMS’er eller lignende, hvori der efterspørges MitID- eller kortoplysninger. Klageren har oplyst, at ingen har haft adgang til hans oplysninger på hans tidligere telefon.

Det er usandsynligt, at tredjemand har haft adgang til alle ovenstående oplysninger, som er brugt i denne sag for at gennemføre de bestridte korttransaktioner. Det er usandsynligt, at der er anvendt biometrisk login til at tilgå klagerens Lunar-app samt oplysninger, som kun klageren har adgang til, som klageren oplyser ikke at have videregivet.

Sagens faktiske omstændigheder stemmer ikke overens med klagerens forklaring om, at han fik sin iPhone 14 pro stjålet den 12. oktober 2023, hvorefter han låste telefonen og nulstillede/slettede alle data på telefonen via Find my Iphone.

Det er ikke muligt, at tredjemand har haft adgang til klagerens iPhone 14 pro, da det biometriske login knyttet til enheden er brugt i forbindelse med det påståede misbrug af 25. november 2023. Klagerens iPhone 14 pro må derfor have været i klagerens besiddelse den 25. november 2023.

De i sagen omtvistede betalingstransaktioner er autoriseret af klageren, jf. betalingslovens § 82, og der ikke er tale om uautoriserede transaktioner omfattet af betalingslovens § 100.

Banken har til støtte for afvisningspåstanden anført, at sagen alene kan afgøres på baggrund af parts- og vidneforklaringer jf. Ankenævnets vedtægter § 5, stk. 3.

Den påståede svindel er ikke teknisk mulig. Omstændighederne bag en eventuel tredjemands adgang til de fornødne oplysninger og klagerens involvering, skal afdækkes ved en parts- og vidneforklaring.

Ankenævnets bemærkninger

Klageren var kunde i Lunar Bank, hvor han havde en konto -694 med et tilknyttet virtuelt betalingskort -574, som klageren havde tilføjet på en Lunar-app, der var installeret på hans iPhone 14 pro (model 15,2).

Klageren har oplyst, at hans iPhone 14 pro den 12. oktober 2023 kl. 11:00-11:10 blev stjålet på en kaffebar, og har fremlagt en kvittering for anmeldelse til Københavns Politi af 12. oktober 2023, hvoraf fremgår, at han var blevet udsat for tyveri eller tricktyveri ved kaffebaren.

Om natten den 25. november 2023 mellem kl. 00:08-01:59 blev klagerens kundefor-hold i banken udvidet med Lunar Standard og Lunar Plus, der gjorde det muligt at have op til hhv. tre og seks virtuelle betalingskort i sin Lunar-app. Herefter blev der tilføjet tre yderligere virtuelle betalingskort i klagerens Lunar-app -482, -036 og -747. Med disse betalingskort blev der foretaget i alt 16 korttransaktioner. Syv betalings-transaktioner på i alt hhv. 113.900 DKK og 660 GBP (britiske pund) svarende til i alt 119.578,49 DKK blev gennemført til tredjemands konto i pengeinstitut P. Resten af betalingstransaktionerne blev afvist, da beløbsgrænsen for de anvendte betalingskort var nået.

Banken har fremlagt en udskrift af 3D Secure detaljerne for betalingstransaktionerne, hvoraf blandt andet fremgår, at de gennemførte betalinger var godkendt med MitID, og at en betalingstransaktion på 20.200 DKK, som ikke blev gennemført, var godkendt med biometri.

Ankenævnet lægger til grund, at de ikke vedkendte korttransaktioner er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Af betalingslovens § 98 følger, at registrering af brug af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke har modtaget en e-mail, SMS eller lignende, hvori han blev anmodet om at udlevere sine betalings- og MitID-oplysninger, og at han ikke selv havde foretaget betalingerne. Tredjemand havde begået svindlen ved brug af klagerens stjålne iPhone 14 pro, hvorfor han alene skal hæfte for op til 8.000 DKK.

Banken har anført, at de i sagen omtvistede betalingstransaktioner er autoriseret af klageren, jf. betalingslovens § 82, og at der ikke er tale om uautoriserede transaktioner omfattet af betalingslovens § 100, hvorfor klageren bør hæfte for det fulde beløb.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmisbrug.

Efter de foreliggende omstændigheder finder Ankenævnet, at en stillingtagen til sagen forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.