Indsigelse mod transaktioner gennemført med et virtuelt betalingskort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagsnummer:598/2023
Dato:31-05-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Rolf Høymann Olsen og Jørn Ravn.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Indsigelse mod transaktioner gennemført med et virtuelt betalingskort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.
Indklagede:Arbejdernes Landsbank
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører indsigelse mod transaktioner gennemført med et virtuelt betalingskort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagens omstændigheder

Klageren var kunde i Arbejdernes Landsbank, hvor han havde en konto med et tilknyttet betalingskort -098.

Den 1. august 2023 blev der med klagerens betalingskort gennemført 147 transaktioner for i alt 2.869,91 GBP, svarende til 25.248,67 DKK, til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig.

Banken har oplyst, at transaktionerne blev godkendt via Apple Pay med stærk kundeautentifikation og har fremlagt en transaktionsoversigt, hvoraf fremgår, at transaktionerne blev autentificeret og trukket fra et virtuelt kort.

Banken har endvidere fremlagt klagerens Wallethistorik, hvoraf blandt andet fremgår:

”…

Kortnr.

: 4571 XXXX XXXX 1098

Wallet kortnr.

: [-836]

TokenCardID

: [-131]

Walletnavn

: Apple Wallet

Walletnr.

: [-484]

Telefonnavn

: Device

Telefontype

: [nummer]

Oprettet dato

: 23.07.2023

Udløb dato

: 31.01.2025

Historik for kortet i wallet

Status/hændelse

Dato

Tid

[…]

Token slettet

08.08.2023

16.14.55

[…]

Bruger spærret

02.08.2023

08.51.14

[…]

Token spærret

02.08.2023

08.51.14

[…]

Fysisk kort spærret. Walletkort spærret.

02.08.2023

08.51.13

[…]

Token aktiveret via wallet-app

23.07.2023

15.59.45

[…]

Token deaktiveret

23.07.2023

15.59.07

[…]

Engangkode sendt til: [klagerens telefonnummer -40]

23.07.2023

15.58.57

[…]

Gul - godkendelse påkrævet

23.07.2023

15.58.50

[…]

…”

Det fremgår af Wallethistorikken, at banken den 23. juli 2023 kl. 15:58 sendte en SMS til klagerens telefonnummer -40 indeholdende en engangskode. Banken har oplyst, at engangskoden skulle anvendes til at indrullere klagerens betalingskort -098 som et virtuelt betalingskort i en Apple Pay-Wallet. Banken har fremlagt et eksempel på de SMS’er, som en kortholder modtager i forbindelse med tilføjelse af et betalingskort til Apple Pay:

”Du er ved at tilføje dit kort til Apple Pay. Kortet tilføjes ved at åbne Wallet, vælg kort, og indtaste koden [xxx]. Koden er personlig og må ALDRIG oplyses til nogen. Koden udløber om 30 minutter. Har du ikke anmodet om denne sms, bedes du kontakte banken. Venlig hilsen Arbejdernes Landsbank.”

Og:

”Dit Visa er nu aktiveret i Apple Pay God fornøjelse! Venlig hilsen Arbejdernes Landsbank”

Det fremgår endvidere af Wallethistorikken, at der umiddelbart efter afsendelsen af SMS’en med engangskoden, blev aktiveret en token via en Wallet-app.

Banken har oplyst, at misbruget alene kunne lade sig gøre, fordi klageren via hjemmesiden, hvor han bestilte sko, gav oplysninger om kortnummer, udløbsdato og sikkerhedskode, og fordi klageren samtidig må have videregivet den engangskode, som blev sendt til hans telefonnummer, og som blev benyttet i forbindelse med tilføjelse af hans betalingskort til Apple Pay på tredjemands enhed.

Banken har endvidere oplyst, at transaktioner gennemført med Apple Pay enten bliver gennemført via en personlig adgangskode eller biometri, eksempelvis fingeraftryk eller ansigtsgenkendelse.

Klageren har oplyst, at han den 31. juli 2023 bestilte et par sko på internettet, hvorefter der blev trukket 25.248,67 DKK på hans konto. Den 1. august 2023 sendte banken en besked til ham om, at der var blevet hævet cirka 20 GBP på hans konto. Han kontaktede straks banken den følgende dag kl. 9, og fik sin konto spærret. Klageren har endvidere oplyst, at han ikke modtog en SMS fra banken den 23. juli 2023, og han har i den forbindelse fremlagt en udskrift fra sit teleselskab.

Banken har oplyst, at transaktionerne er korrekt registreret og bogført, og at de ikke er ramt af tekniske svigt eller andre fejl.

Den 3. august 2023 blev transaktionerne bogført på klagerens konto.

Ved tro- og loveerklæring af 4. august 2023, modtaget i banken den 15. august 2023, gjorde klageren indsigelse mod transaktionerne over for banken. Klageren anførte blandt andet, at han brugte sit betalingskort sidste gang ved nethandel den 31. juli 2023, at han havde betalingskortet i sin besiddelse på tidspunktet for gennemførelsen af de omtvistede transaktioner, at han havde betalingskortet på sin telefon, og at han ikke havde udlånt det til andre, og at han ikke havde sin pinkode skrevet ned.

Ved e-mail af 13. september 2023 bad banken klageren om yderligere oplysninger. Banken skrev blandt andet:

”…

Hvad du skal sende

Evt. forklaring

Uddybende forklaring på hele hændelsesforløbet

Transaktionerne du gør indsigelse mod, er foretaget med Applepay, som er oprettet ved engangskode sendt fra banken til dit telefonnummer [xxx] den 23.07.2023 kl. 15:58. Til hvem og i hvilken forbindelse har du oplyst denne engangskode?

Evt. beskrivelse af phishing

Kan du have været udsat for en eller anden form for phishing?

…”

Samme dag svarede klageren blandt andet:

”…

I Beder om en uddybende forklaring på en sms besked den 23 juli 2023, og om jeg muligvis kunne være udsat for phishing.

Jeg mener jeg bestilte et par sko på nettet denne dato (kan ikke rigtigt huske datoen) jeg vedhæfter den hjemmeside hvor jeg tror jeg bestilte fra, om denne side så har været hakket og misbrugt ved jeg ikke. Om jeg har været udsat for phishing ved jeg ikke.

…”

Den 29. september 2023 godtgjorde banken klagerens tab fratrukket 8.000 DKK svarende til 17.248,67 DKK.

Ved netbankbesked af samme dag skrev klageren blandt andet til banken:

”…

Derudover skriver i at jeg har modtaget sms fra banken fra apple pay som jeg har godkendt.

Men som i skriver var sms jo fra banken hvad kan jeg så have gjort forkert i den forbindelse […]

…”

Den 6. oktober 2023 gjorde klageren indsigelse mod bankens afgørelse over for banken. Han skrev blandt andet:

”…

Jeg har bestilt et par sko på nettet så det må være derfra jeg har fået en sms. I skriver at jeg har modtaget en sms fra banken fra apple pay som jeg har godkendt, jeg har bestemt ikke godkendt denne sms hverken med en kode eller mit nemid. Men som i skriver var sms jo fra banken hvad kan jeg så have gjort forkert i den forbindelse hvis det skulle være sket.

…”

Den 20. november 2023 afviste banken klagen.

Parternes påstande

Den 29. september 2023 har klageren indbragt sagen for Ankenævnet, der har forstået klagerens påstand således, at Arbejdernes Landsbank principalt skal refundere 8.000 DKK, subsidiært 7.625 DKK til ham.

Arbejdernes Landsbank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han er uforskyldt vedrørende transaktionerne på sin konto. Han forstår ikke, hvorfor banken mener, at han bærer skylden for svindlen.

Banken forstår ikke, hvorfor han ikke spærrede sit kort allerede den 23. juli 2023. På dette tidspunkt vidste han imidlertid ikke, at hans konto var blevet hacket.

Han modtog ikke på noget tidspunkt en SMS med en kode til Apple Wallet. Han modtog hverken telefonopkald eller SMS’er den 23. juli 2023 omkring klokken 15:58.

Først den 2. august 2023 kl. 8.45 så han en besked fra banken, hvor der stod, at der var blevet hævet cirka 20 GBP, og han kontaktede banken samme dag og fik sit kort spærret. Medarbejderen i banken, som han talte med sagde, at han ikke skulle blive chokeret, når han to til tre dage senere ville se, hvad der var blevet hævet på hans konto.

Han troede, at de cirka 20 GBP udgjorde betaling for hans mobiltelefonregning, der blev trukket hver tredje måned på cirka 180 DKK.

Han forstår ikke, hvorfor banken ikke reagerede, da der blev foretaget 147 transaktioner med hans kort i tidsrummet fra kl. 20:14 til kl. 20:59 den 1. august 2023.

Hans kort blev spærret den 2. august 2023, men alle pengene blev alligevel trukket på hans konto den 3. august 2023.

I den SMS, som banken påstår, at han fik tilsendt, står der, at han skal åbne sin Apple Wallet og bruge et af de eksisterende betalingskort, han har i Wallet. Det kunne han dog ikke gøre, da han ikke har noget betalingskort i Wallet. Han har aldrig haft det, og han skal heller ikke have det. Hvordan indrulleringen af hans betalingskort skete, må stå for bankens regning.

Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at det følger af betalingslovens § 98, stk. 1, at hvor en betaler nægter at have autoriseret eller iværksat en betalingstransaktion, har udbyderen af betalingstjenesten bevisbyrden for, at betalingstransaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl. Ved brug af et betalingsinstrument har udbyderen desuden bevisbyrden for, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med betalingstransaktionen.

Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købene blev autentificeret ved en kombination af 1) den udstedte betalingstoken på den specifikke enhed (besiddelseselement) og 2) anvendelse af ansigtsgenkendelse, fingeraftryk (iboende element) eller personlig adgangskode (videnselement) i forbindelse med godkendelse af betalingerne. Banken kan således konstatere, at betalingerne er gennemført med Apple Pay (en personlig sikkerhedsforanstaltning). Fingeraftryk, ansigtsgenkendelse eller et personligt kodeord er omfattet af definitionen på en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31.

Bevisbyrden i betalingslovens § 98. stk. 1, er derfor opfyldt.

Klageren videregav oplysninger om kortnummer, udløbsdato og sikkerhedskode, ligesom han samtidig må have videregivet den engangskode, som blev sendt til hans telefonnummer, og som blev benyttet i forbindelse med tilføjelse af hans betalingskort til Apple Pay på tredjemands enhed.

Det burde have skærpet klagerens opmærksomhed, at han kort tid efter udlevering af sine kortoplysninger modtog en SMS-besked fra banken med en aktiveringskode til indrullering af betalingskortet i Apple Pay. Klageren fik desuden oplyst, at aktiveringskoden var personlig og ikke måtte udleveres til andre, heller ikke til banken. Klageren skulle derimod straks kontakte banken, hvis han ikke var i gang med at tilføje sit kort til Apple Pay, og han blev desuden i SMS nummer to advaret om, at hans betalingskort var aktiveret i Apple Pay.

Klageren ignorerede advarslerne fra banken og videregav aktiveringskoden for Apple Pay til tredjemand, hvilket som minimum må anses som groft uforsvarlig adfærd. Klageren skal derfor hæfte med 8.000 DKK, jf. betalingslovens 100, stk. 4, da han muliggjorde misbruget ved groft uforsvarlig adfærd.

Klageren befandt sig ikke i en presset situation ved afgivelse af aktiveringskoden, og det må ydermere anses som en skærpende omstændighed, at han i perioden fra den 23. juli 2023 og indtil misbruget fandt sted den 1. august 2023 ikke reagerede og fik spærret sit kort. Klageren havde således god tid til at tænke sig om og overveje, om der var sammenhæng mellem bestilling af et par sko og videregivelse af en aktiveringskode, og derved kunne misbruget nemt have været undgået. Klageren modtog i øvrigt aldrig de sko, han angiveligt bestilte.

Til støtte for afvisningspåstanden har banken anført, at der er en lang række uklarheder i forhold til klagerens udlægning af hændelsesforløbet. En yderlige afklaring af disse faktiske omstændigheder, herunder om der måtte være tale om tredjemandsmisbrug vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises.

Ankenævnets bemærkninger

Klageren var kunde i Arbejdernes Landsbank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -098.

Banken har oplyst, at banken den 23. juli 2023 sendte en SMS til klagerens telefonnummer -40 indeholdende en engangskode, der skulle anvendes til at indrullere klagerens betalingskort -098 som et virtuelt betalingskort i en Apple Pay-Wallet. Banken har anført, at SMS’en havde følgende ordlyd: ”Du er ved at tilføje dit kort til Apple Pay. Kortet tilføjes ved at åbne Wallet, vælg kort, og indtaste koden [xxx]. Koden er personlig og må ALDRIG oplyses til nogen. Koden udløber om 30 minutter. Har du ikke anmodet om denne sms, bedes du kontakte banken. Venlig hilsen Arbejdernes Landsbank.”

Banken har anført, at klagerens betalingskort blev indrulleret som et virtuelt beta-lingskort i en Apple Pay-Wallet på tredjemands enhed, og at aktiveringen skete ved, at klageren videregav kortoplysningerne for betalingskort -098 og engangskoden, der blev sendt til hans telefonnummer -40 via SMS den 23. juli 2023. 

Klageren har bestridt, at han modtog en SMS med en kode til Apple Pay-Wallet, og at han foretog transaktionerne.

Den 1. august 2023 blev der med klagerens betalingskort gennemført 147 transaktioner for i alt 2.869,91 GBP, svarende til 25.248,67 DKK, til en udenlandsk betalingsmodtager, som klageren ikke kan vedkende sig.

Banken har oplyst, at transaktionerne blev godkendt via Apple Pay med stærk kundeautentifikation og har fremlagt en transaktionsoversigt, hvoraf fremgår, at transaktionerne blev autentificeret og trukket fra et virtuelt betalingskort. Banken har endvidere oplyst, at transaktioner gennemført med Apple Pay enten bliver gennemført via en personlig adgangskode eller biometri, eksempelvis fingeraftryk eller ansigtsgenkendelse.

Den 29. september 2023 godtgjorde banken klagerens tab fratrukket 8.000 DKK svarende til 17.248,67 DKK.

Det følger af betalingslovens § 128, stk. 1, nr. 3, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stærk kundeautentifikation indebærer efter betalingslovens § 7, nr. 30, at betalings-tjenesteudbydere skal forlange, at kunderne bruger minimum to ud af tre mulige sikkerhedselementer; noget kunden ved f.eks. et kodeord, noget kunden besidder, f.eks. en app eller SMS-engangskode modtaget via et SIM-kort, og noget kunden er f.eks. et fingeraftryk. Kortdata er synlige på kortet og dermed ikke hemmelige, og udgør derfor ikke et gyldigt sikkerhedselement.

Ankenævnet lægger, efter det som banken har oplyst, til grund, at tredjemand for at indrullere klagerens betalingskort i sin Apple Pay-Wallet anvendte klagerens kortoplysninger og en engangskode, som blev sendt via SMS til et telefonnummer, som banken havde registreret på klageren.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Rolf Høymann Olsen og Jørn Ravn – udtaler:

Vi finder, at indrullering af et betalingskort i en Apple Pay-Wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.

Efter vores opfattelse er kravet til stærk kundeautentifikation kun opfyldt, hvis minimum to sikkerhedselementer vedrører samme kunde.

Ved indrullering af kort i Apple Pay og Google Pay bruges i praksis to forskellige løsninger, henholdsvis indrullering via kortholderens mobilbank og indrullering via Wallet-appen. Ved indrullering via kortholderens mobilbank er kravet til stærk kundeautentifikation opfyldt, idet minimum to sikkerhedselementer vedrører samme kunde. Det samme er tilfældet ved indrullering via wallet-appen, hvis indrulleringen er sket med stærk kundeautentifikation, som tilhører kortholderen.

Vi finder det ikke godtgjort, at indrulleringen af klagerens betalingskort i tredjemands Apple Pay-wallet er sket ved stærk kundeautentifikation. Det bemærkes herved, at det forhold, at tredjemand logger ind via sin enheds AppleID, ikke indebærer, at der er anvendt stærk kundeautentifikation, idet dette element ikke tilhører klageren men tredjemand.

Ifølge betalingslovens § 100, stk. 1, hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Ifølge betalingslovens § 100, stk. 7, hæfter betalingsudbyderen uanset betalingslovens § 100, stk. 3-5, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Det følger herudover af betalingslovens bilag 1, pkt. 5, at udstedelse eller indløsning af betalingsinstrumenter udgør en betalingstjeneste.

Formålet med betalingslovens bestemmelser om krav om stærk kundeautentifikation, herunder § 100, stk. 7, og § 128, stk. 1, er blandt andet at højne sikkerheden og øge forbrugerbeskyttelsen ved at iværksætte foranstaltninger til at beskytte fortroligheden og integriteten af betalingstjenestebrugeres personaliserede sikkerhedsoplysninger og anvendelse af betalingstjenesten.

Selv om der, som anført af mindretallet, er foretaget to processer for at gennemføre misbruget af klagerens betalingskort, nemlig indrulleringen af klagerens kort i tredjemands Wallet, og tredjemands brug af Wallet-løsningen, finder vi, at de to processer i relation til hæftelsesspørgsmålet må betragtes samlet, hvorfor misbruget kan være omfattet af betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Vi har herved navnlig lagt vægt på den nære sammenhæng mellem de to processer, idet misbruget af klagerens betalingskort er muliggjort ved indrulleringen af dette i tredjemands Wallet og på formålet med betalingslovens § 100.

Da indrulleringen ikke er sket med stærk kundeautentifikation, og da der ikke efter sagens oplysninger er grundlag for at antage, at klageren har handlet svigagtigt, finder vi, at banken hæfter for tredjemands misbrug af klagerens betalingstjeneste, jf. betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

To medlemmer – Inge Kramer og Andreas Moll Årsnes – udtaler:

Vi finder, at selve indrulleringen af klagerens betalingskort i tredjemands Apple Pay-Wallet og den efterfølgende brug af Wallet-løsningen til at gennemføre betalinger er to separate processer, og at ansvarsfordeling i betalingsloven § 100 ikke regulerer indrulleringen eller anden udstedelse af et betalingsmiddel, men alene regulerer det efterfølgende misbrug af betalingsmidlet, dvs. efter udstedelsen/indrulleringen.

Vi lægger således til grund, at betalingslovens § 100 alene omfatter hæftelse og ansvarsfordeling, når en tredjemand uberettiget anvender en betalers betalingstjeneste. Vi mener derfor ikke, at betalingslovens § 100, stk. 7, eller en analogi til denne finder anvendelse, selvom banken ikke har godtgjort, at indrulleringen af klagerens betalingskort i tredjemands Apple Pay-Wallet er sket ved stærk kundeautentifikation.

Vi finder derfor, at klagerens eventuelle hæftelse for misbruget af klagerens betalingskort skal afgøres efter betalingslovens § 100, stk. 2-5. Med andre ord bør klagerens hæftelse på samme måde som i andre sager, hvor der foreligger tredjemandsmisbrug af klagerens betalingskort, afhænge af graden af uagtsomhed, herunder i hvilket omfang klager har ”muliggjort den uberettigede anvendelse” f.eks. ved at udlevere koder til tredjemand.

Vi lægger til grund, at betalingstransaktionerne er korrekt registrerede og bogførte og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Vi lægger desuden til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ved gennemførelse af transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30. Betalingslovens § 100, stk. 7, finder derfor ikke anvendelse.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Vi finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4. Vi finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene.

Vi stemmer derfor for at afvise sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Arbejdernes Landsbank skal inden 30 dage godtgøre klageren 8.000 DKK med valør fra datoen for debiteringen.

Klageren får klagegebyret tilbage.