Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via en Google-wallet. Indrullering af et betalingskort i tredjemands Google-wallet.

Sagsnummer: 378/2025
Dato: 27-11-2025
Ankenævn: Helle Korsgaard Lund-Andersen, Christina Bryanth Konge, Janni Visted Hansen, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via en Google-wallet. Indrullering af et betalingskort i tredjemands Google-wallet.
Indklagede: Danske Andelskassers Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via en Google-wallet. Indrullering af et betalingskort i tredjemands Google-wallet.

Sagens omstændigheder

Klageren var kunde hos Danske Andelskassers Bank, hvor hun havde en konto -586 med et tilknyttet betalingskort -728. Klageren havde net- og mobilbankadgang.

Banken har oplyst, det af MitID-portalen fremgår, at klageren den 2. december 2021 aktiverede MitID identifikationsmiddel -6644 på en iPhone 8.

Banken har oplyst, at klagerens betalingskort -728 den 10. juni 2025 kl. 17:17 via klagerens mobilbank blev indrulleret, som et virtuelt betalingskort -527 i en Google Pay-wallet -851 på en Google Pixel 7-mobiltelefon. Banken har fremlagt en wallet-oversigt for klageren, hvoraf blandt andet fremgår:

”…

Kortnr.

Korttype

Konto

Oprettet

Udløber

Status

W[-045] [Klagerens efternavn] iPhone, Apple Wallet

VISA/Dankort

[-519] Lønkonto

15.07.2025

31.07.2029

Aktivt

W[-851] Google Pixel 7, Google Wallet

VISA/Dankort

[-586] Lønkonto

10.06.2025

31.08.2028

Slettet

…”

Banken har endvidere fremlagt en wallethistorik for wallet -851, hvoraf blandt andet fremgår:

”…

Kortnr.

: [-728]

TokencardID Text

: Visa

TokencardID

: [-048]

Wallet kortnr.

: [-527]

Walletnavn

: Google Wallet

Walletnr.

:W[-851]

Telefonnavn

: Google - Pixel 7

 

Oprettet dato

:10.06.2025

Udløb dato

: 31.08.2028

Historik for kortet i wallet

Status/hændelse

Dato

Tid

Foretaget af

Token slettet

08.07.2025

21.55.31

Token Problem

08.07.2025

05.25.08

Fysisk kort spærret. Walletkort spærret.

08.07.2025

05.26.08

Token aktiveret via mobilbank

10.06.2025

17.17.20

Mobilbank initieret

10.06.2025

17.17.05

[-404] [Klagerens navn]

…”

Banken har også fremlagt en korthistorik for klagerens betalingskort -728, hvoraf blandt andet fremgår:

”…

Status

Dato

Tid

Foretaget af

BEC-spærring

08.07.2025

05.26

Nets-spærring 0001

08.07.2025

05.26

Vis PIN-kode aktiveret

04.07.2025

18.06

[-404] [Klagerens navn]

EU924 gebyrbeskeder fravalgt.

10.06.2025

17.17

[-404] [Klagerens navn]

Bestilt til wallet: W[-851]

10.06.2025

17.17

[-404] [Klagerens navn]

Bestilt til wallet: W[-851]

10.06.2025

17.17

[-404] [Klagerens navn]

…”

Banken har fremlagt en BEC-log fra bankens IT-leverandør af 7. august 2025, hvoraf blandt andet fremgår:

”… Kunden er blevet udsat for et appswitch angreb. Kunden har modtaget SMS fra ”MobilePay” og har klikket ind på linket og indtastet oplysninger og godkendt svindlerens login på mobilbank. …”

Banken har oplyst, at IT-leverandøren har meddelt, at klagerens MitID -9944 blev anvendt den 10. juni 2025 kl. 17:16:42, hvilket svarer til de oplysninger, som banken selv kan se i MitID-loggen. På MitID-portalen kan banken se, at klagerens MitID den 10. juni 2025 blev anvendt til transaktions-ID [-a64c], og at transaktionen blev registreret og godkendt den 10. juni 2025 kl. 17:16:36 lige inden klagerens betalingskort blev aktiveret i wallet via mobilbanken. Banken har fremlagt klagerens MitID-log.

Klageren har oplyst, at hun ikke kan erindre at have godkendt en betaling den 10. juni 2025, hvor banken angiver, at hendes betalingskort blev lagt ind i en wallet.

Den 4. og 5. juli 2025 blev klagerens betalingskort -728 anvendt til 13 korttransaktioner på i alt 24.295,80 kr., som klageren ikke kan vedkende sig.

Banken har oplyst, at alle 13 korttransaktioner blev godkendt til betaling via wallet -851 og med stærk kundeautentifikation. Banken har endvidere oplyst, at betalingstransaktionerne var korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl.

Banken har fremlagt betalingsadviseringerne for de 13 korttransaktioner. Det fremgår heraf, at betalingerne skete med kort -728 via en Google wallet på en Pixel 7 mobiltelefon.

Klageren har anført, at hun ikke foretog kortbetalingerne.

Ved tro- og loveerklæring af 8. juli 2025 gjorde klageren indsigelse mod korttransaktionerne. Klageren skrev blandt andet, at hun opdagede kortmisbruget den 8. juli 2025 kl. 05:25, at Visa/Dankortet var i hendes besiddelse på tidspunktet for de ikke-godkendte transaktioner, at det kun var hende, der havde haft adgang til kortet, som hun opbevarede i sit hjem, og at hun opbevarede pinkoden til kortet i sit hoved. I erklæringen blev klageren bedt om at beskrive, hvad der var sket, hvortil klageren svarede:

”Ved køb af et Europakort til at have i bilen, så myndigheder kan se at vi er miljørigtige den 05.07.2025 i FDM Shop – beløb kr. 274,-” 

Ved netbankbesked af 9. juli 2025 til klageren skrev banken blandt andet, at banken havde konstateret, at misbruget var sket gennem en nyoprettet wallet, og at klagerens betalingskort var blevet oprettet på en ny enhed, hvorefter en ukendt tredjemand havde kunnet misbruge kortet. Banken skrev endvidere, at oprettelsen af wallet var blevet godkendt med en til klageren tilhørende sikkerhedsforanstaltning, enten ved MitID-godkendelse eller godkendelse i mobilbanken.

Samme dag godtgjorde banken klagerens tab med fradrag af 8.000 kr., hvorfor banken tilbageførte 16.295,80 kr. til klageren.

Den 15. juli 2025 klagede klageren til banken, hvor hun blandt andet skrev, at hun gjorde indsigelse mod 15 kortbetalinger, og at der desuden den 7. juli 2025 var blevet overført 17.000 kr. til hendes konto, som hun heller ikke havde kendskab til.

Den 8. august 2025 afviste banken klagen.

Banken har fremlagt sine ”Brugerregler – Visa/Dankort”, hvoraf blandt andet fremgår:

”… 10.2 Hæftelse og selvrisiko

Du skal dække tab op til 8.000 kr., i tilfælde af at dit Visa/Dankort har været misbrugt af en anden person, og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og:

- Du har undladt at underrette Danske Andelskassers Bank A/S snarest muligt efter at have fået kendskab til, at kortet eller din mobiltelefon med wallet er bortkommet, eller at uberettigede har fået kendskab til sikkerhedsforanstaltningen.

- Du med forsæt har overgivet sikkerhedsforanstaltningen til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug.

- Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. …”

Banken har endvidere fremlagt ”BEC håndbog – Betalingskort – Apple Pay”, hvoraf fremgår:

”… 8.2.2 Svindel via In-app provisionering

I denne type af wallet svindel anvender svindlerne mobilbanken, til at provisionere kortholders kort til wallet.

Svindlerne tilegner sig, via phishing-link, oplysninger om kortholder og anvender disse til at lave login på mobilbanken. Dette login sker på svindlerens telefon og kræver derfor en MitId godkendelse, da det er første login på et nyt device. Hvis kortholder, bevidst eller ubevidst, vælger at autorisere svindlerens login med MitId, har svindleren ikke længere behov for handlinger fra kortholder, til at udføre sin svindel. Et eksempel kan være at der på phishing-websitet står, at kortholder skal verificere sine oplysninger til skattestyrelsen, som udløser en MitId anmodning på kortholders telefon. Hvis kortholder ikke læserteksten i MitId anmodningen (hvor der står at anmodningen er ifm. Login på mobilbank) på sin telefon og blot godkender, lukkes svindleren ind i mobilbanken. Når de først er blevet lukket ind i mobilbanken, kan de lave in-app provisionering (afsnit 6.1) af kortholders kort til wallet og efterfølgende foretage køb via wallet. …”

Parternes påstande

Den 17. august 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal godtgøre hende 8.000 kr.

Danske Andelskassers Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hendes betalingskort er blevet misbrugt til fysiske betalinger tilsyneladende fra en Pixel mobiltelefon. Hun har ikke haft betalingskortet lagt ind på sin telefon, og hun har ikke en Pixel mobiltelefon, men en iPhone.

Hun har aldrig givet sit fysiske betalingskort fra sig. Hun kan ikke erindre at have godkendt en betaling den 10. juni 2025, hvor banken angiver, at betalingskortet er lagt ind i en wallet på en telefon. Der er gået lang tid fra denne dato til misbruget blev foretaget.

Den 7. juli 2025 blev der overført 17.000 kr. fra en anden konto til den konto, som betalingskortet er tilknyttet. Det har hun heller ikke gjort. Fra den 4. juli til den 6. juli 2025 blev der foretaget 15 betalinger fra hendes betalingskort. Betalingerne er vist i netbank fra den 8. juli 2025, hvor kortet straks blev lukket.

Uklarhed omkring tilgang til person- og telefonnumre kan have tilknytning til et hackerangreb, der blev begået mod det lægehus, hvor hun er tilknyttet.

Andelskassen har dækket alle beløb som uretmæssigt er hævet fra hendes konto, og har på alle måder været hende behjælpelig i forløbet. Hun mener dog, at hun har handlet i god tro i forbindelse med misbruget af hendes betalingskort, hvorfor det ikke er rimeligt at hun skal hæfte med 8.000 kr.

Danske Andelskassers Bank har anført, at det forhold, at klageren, jf. bankens IT-leverandør, har godkendt svindlerens adgang til klagerens mobilbank, som medførte, at klagerens betalingskort blev indrulleret via klagerens mobilbank, kan karakteriseres som en handling, der berettiger banken til at opkræve 8.000 kr. i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3 og afsnit 10 i Brugerregler – Visa/Dankort, idet klageren muliggjorde svindlen ved sin adfærd.

Bankens IT-leverandør har angivet, at ”Kunden blev udsat for et appswitch angreb. Kunden har modtaget en SMS fra ”MobilePay” og har klikket på linket og indtastet oplysninger og godkendt svindlerens login på mobilbank.”

Transaktionen med transaktions-ID [-a64c] blev registreret og godkendt den 10. juni 2025 kl. 17:16:36 – det vil sige lige inden klagerens betalingskort blev aktiveret i wallet via mobilbank.

Alle transaktionerne blev foretaget med stærk kundeautentifikation. Når et digitalt betalingskort skal anvendes til et køb, så skal enheden, hvor betalingskortet er indrulleret på, præsenteres (noget kunden ”har”). Herudover skal kundens biometriske kode (noget kunden ”er”) eller personlig kode (noget kunden ”ved”) anvendes. På den baggrund er alle nævnte transaktioner foretaget med stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

På tidspunktet for aktiveringen af klagerens betalingskort via mobilbank, kan banken ikke se, at bankens systemer har været ramt af tekniske fejl eller andre fejl.

Betalingstransaktionerne var korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Ankenævnets bemærkninger

Klageren var kunde i Danske Andelskassers Bank, hvor hun havde en konto -586 med et tilknyttet betalingskort -728. Klageren havde net- og mobilbankadgang.

Banken har oplyst, det af MitID-portalen fremgår, at klageren den 2. december 2021 aktiverede MitID identifikationsmiddel -6644 på en iPhone 8.

Banken har endvidere oplyst, at klagerens betalingskort -728 den 10. juni 2025 kl. 17:17 via klagerens mobilbank blev indrulleret, som et virtuelt betalingskort -527 i en Google Pay-wallet -851 på en Google Pixel 7-mobiltelefon.

Banken har fremlagt en wallet-historik for Google-wallet -851. Det fremgår heraf, at indrulleringen af klagerens betalingskort -728 blev initieret i klagerens mobilbank den 10. juni 2025, og at indrulleringen af klagerens betalingskort skete i en wallet -851 på en Google - Pixel 7-mobiltelefon.

Den 4. og 5. juli 2025 blev klagerens betalingskort -728 anvendt til 13 korttransaktioner på i alt 24.295,80 kr., som klageren ikke kan vedkende sig.

Af betalingsadviseringerne for de 13 korttransaktioner fremgår blandt andet, at betalingerne blev foretaget med klagerens betalingskort -728 via en Google-wallet, som var installeret på en Pixel 7 mobiltelefon.

Klageren har anført, at hun ikke har givet sit fysiske betalingskort fra sig, at hun ikke kan erindre at have godkendt en betaling den 10. juni 2025, og at hun ikke har haft sit betalingskort lagt ind på mobilen.

Banken har anført, at klagerens godkendelse af svindlerens adgang til klagerens mobilbank, som medførte, at klagerens betalingskort blev indrulleret via klagerens mobilbank, kan karakteriseres som en handling, der berettiger banken til at opkræve 8.000 kr. i selvrisiko, jf. betalingslovens § 100, stk. 4, nr. 3, idet klageren muliggjorde svindlen ved sin adfærd.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Der er uenighed mellem klageren og banken om, hvordan klagerens betalingskort blev indrulleret på tredjemands enhed, herunder om klageren i sin mobilbank godkendte indrulleringen af sit betalingskort på tredjemands enhed. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Google-wallet på tredjemands telefon forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.