Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via en Apple Pay Wallet. Indrullering af et betalingskort i tredjemands Apple Pay Wallet.

Sagsnummer: 635/2025
Dato: 20-05-2026
Ankenævn: Kristian Korfits Nielsen, Christina Bryanth Konge, Signe Kjørup Carlsson, Tina Thygesen og Ann-Mari Faldt Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via en Apple Pay Wallet. Indrullering af et betalingskort i tredjemands Apple Pay Wallet.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for korttransaktioner gennemført som betalinger med et virtuelt kort via en Apple Pay Wallet. Indrullering af et betalingskort i tredjemands Apple Pay Wallet.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Visa/Dankort -786.

Banken har fremlagt en udskrift fra klagerens MitID-log, hvoraf fremgår, at klageren blandt andet havde et MitID med identifikationsnummer -082, der blev aktiveret på klagerens iPhone 8 Plus den 6. juni 2024.

Den 3. april 2025 blev der oprettet en virtuel kopi af klagerens betalingskort -786 i Apple Pay på tredjemands enhed.

Den 4. april 2025 blev der med en virtuel kopi af klagerens betalingskort -786 foretaget tre betalinger på 3.480,25 kr., 2.106,95 kr. og 1.988,45 kr., i alt 7.575.65 kr. Transaktionerne blev bogført på klagerens konto den 8. april 2025. Af en udskrift for klagerens konto fremgår, at transaktionerne vedrørte køb i tre forskellige dagligvarebutikker. Klageren kan ikke vedkende sig transaktionerne.

Banken har fremlagt en udskrift fra sit system med detaljer vedrørende de ikke-vedkendte transaktioner. Af udskriften fremgår blandt andet, at ”Token requestor” er angivet til ”Apple Pay”.

Banken har fremlagt en række skærmprint og en beskrivelse vedrørende flowet for oprettelse af betalingskort i Apple Pay. Af skærmprintene og beskrivelsen fremgår:

Nyoprettet Apple Pay (Hvad sker der hos kunden)

1. Kunden indtaster kortoplysningerne i Wallet appen, inklusive udløbsdato og CVC-kode.

2. Kunden bliver derefter bedt om at færdig gøre oprettelsen i mobilbanken/netbanken.

OK

[Billede af betalingskort]

Bekræftelse kræves

Dit kort afventer godkendelse

Færdiggør godkendelse

 

3. Kunden trykker på ”Færdiggør godkendelse” og bliver derefter mødt af dette billede inde i wallet:

Annuller

[Billede af betalingskort]

Godkendelse af kort

Vælg, hvordan dit kort skal godkendes til Apple Pay

Jyske Bank-app

Næste

Færdiggør godkendelse senere

 

4. Når kunden trykker på ”næste”, så skal kunden åbne sin mobilbank/netbank. Her bliver kunden bedt om at godkende, at kortet tilføjes til Apple Pay (Kunden bliver her gjort opmærksom på hvad han/hun har gang i):

Apple Pay

Godkend at dit kort tilføjes i Apple Pay

Tilføjes på [navn] iPhone

[Billede af betalingskort] Visa … Er forsøgt tilføjet til Apple Pay

Har du ikke forsøgt at tilføje kortet?

Hvis du ikke har forsøgt at tilføje kortet til Apple Pay, skal du straks trykke ’afvis’ og ringe til Jyske Bank.

Du anbefales at spærre dit kort.

Afvis                 Godkend

 

5. Så kommer kunden til det sidste godkendelses billede i mobilbanken/Netbanken

Kunden bliver gjort opmærksom på at der skal godkendes med Faceid og MitID.

Aktivér i Wallet

Enhed                                   iPhone

Mobilbetaling                       Apple Pay

Tidspunkt for tilmelding    

Kort                                       …

Godkend

Godkend med Face ID og MitID

 

6. Så bliver kunden automatisk ført over i MitID-appen på sin telefon.

I MitID appen bliver de forevist denne tekst:

Jyske Bank

Godkend følgende?

Visa Debit

[kortnummer]

Tilføjes i Apple Pay på

iPhone

GODKEND

7. Kunden modtager derefter denne SMS på sin telefon:

Dit Visa [kortnummer] er klar til brug i Apple Pay. Det kan bruges alle steder, hvor du ser et kontaktløs symbol eller Apple Pay mærket. Venlig hilsen Jyske Bank”

Banken har fremlagt et skærmprint fra sit system og har oplyst, at dette indeholder oplysninger om den Wallet, der blev brugt til de ikke-vedkendte transaktioner. Af skærmprintet fremgår blandt andet:

”Navn enhed                          iPhone”

Banken har oplyst, at dette viser, at oprettelsen af klagerens kort i Apple Pay startede i Apple Wallet på en iPhone.

Banken har fremlagt endnu et skærmprint fra sit system og har oplyst, at det viser en log for Wallet, herunder oprettelsestidspunkt. Af skærmprintet fremgår blandt andet:

”Logtidspunkt                         03.04.2025 18:12:28

Hændelse                              Oprettelse”

Banken har fremlagt en udskrift fra klagerens MitID-log, hvoraf fremgår blandt andet:

”03-04-2025 18:16:34.423 CEST               App – autentificering lykkedes

MitID identifikationsmiddel-ID                     [-082]”

Banken har fremlagt et skærmprint fra sit system og har oplyst, at dette vedrører godkendelse i MitID. Af skærmprintet fremgår blandt andet:

”Logtidspunkt                         03.04.2025 18:16:38

Hændelse                              Identifikation”

Af endnu et skærmprint fremgår:

”Logtidspunkt                         03.04.2025 18:16:39

Hændelse                              Aktivering”

Banken har oplyst, at dette vedrører aktivering i mobilbank.

Banken har fremlagt yderligere et skærmprint fra sit system og har oplyst, at dette vedrører en SMS sendt til klageren. Af skærmprintet fremgår blandt andet:

”Logtidspunkt                         03.04.2025 18:16:39

Hændelse                              Notifikation”

Banken har fremlagt endnu et skærmprint med en kopi af SMS-beskeden, der blev sendt til klageren. Af beskeden fremgår:

”Dit Visa/Dankort [-786] er klar til brug i Apple Pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Apple Pay mærket. Venlig hilsen Jyske Bank …”

Banken har oplyst, at den sendte SMS’en til klagerens telefonnummer -277, som banken havde registreret på klagerens kundeforhold.

Ved tro og love-erklæringer af 8. april 2025 gjorde klageren indsigelse mod de tre kortbetalinger. Af indsigelsen fremgik, at klageren ikke havde udleveret oplysninger.

Banken spærrede klagerens betalingskort.

Samme dag bad banken om dokumentation i relation til indsigelsen. Klageren oplyste, at han ikke havde udleveret nogle informationer, men at kortet var blevet misbrugt.

Den 9. april 2025 bad banken klageren om yderligere oplysninger i relation til indsigelsen. Klageren oplyste blandt andet, at han ikke havde Apple Pay, og at han havde en iPhone 8.

Den 14. april 2025 afviste banken indsigelsen. Af afslaget fremgik blandt andet:

”Vores undersøgelser

Vi har ikke modtaget fx mail eller en SMS, der viser, hvordan du præcist er blevet svindlet, men i din tro- og loveerklæring oplyser du, at du ikke kender til beløbet. Vi har kunnet konstatere, at der er oprettet Apple Pay den 03.04.2025 med dit betalingskort på anden enhed end din egen (fx en anden persons telefon). Oprettelsen af Apple Pay kan kun aktiveres via din mobil/netbank. Da du har oplyst dine kortoplysninger og godkendt oprettelse i din mobil/netbank, har du muliggjort den uberettigede anvendelse. Ud fra disse forhold, er det ikke muligt for banken at få beløbet tilbageført fra forretningen.”

Den 15. april 2025 afviste klageren over for banken at have godkendt nogen af transaktionerne med MitID.

Den 9. december 2025 indbragte klageren sagen for Ankenævnet.

Klageren har oplyst, at der den 17. marts 2026 blev forsøgt foretaget en betaling på 2.099 kr. med hans betalingskort, og at betalingen blev stoppet af Nets ved spærring af kortet.

Parternes påstande

Klageren har nedlagt påstand om, at Jyske Bank skal godtgøre hans tab på 7.575,00 kr.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han den 8. april 2025 opdagede på sit kontoudtog, at der samme dag var hævet tre beløb i tre forskellige supermarkeder i by A. Der havde han ikke havde været.

Han klagede med det samme til banken, der spærrede kortet. Han fik samtidig en brugsanvisning til, hvordan han kunne klage. Dette gjorde han selvfølgelig.

Han vidste, at der i visse tilfælde kan være en hæftelse på 8.000 kr., hvis han havde oplyst nogle af sine koder. Det havde han ikke.

Banken afviste hans klage flere gange, selv efter han havde modtaget en besked fra politiet om, at banker også er underlagt betalingsloven. Denne besked sendte han videre til banken.

Den 17. marts 2026 blev der igen forsøgt foretaget en betaling på hans kort i banken. Det var medievirksomhed B, der forsøgte at hæve 2.099 kr. Det blev stoppet af Nets, der spærrede hans kort.

Han er kunde i medievirksomhed B, men han kan ikke genkende så stort et beløb. Han opdagede det, da han havde gjort et indkøb i en butik og ikke kunne betale med sit kort. Han tog derefter hen til banken for at få en forklaring. Medarbejderen i banken oprettede pludselig et midlertidigt kort via Apple Pay Wallet. Det skulle han have haft før, mente banken. Dette kort har han kunnet betale med i butikkerne.

Svindlen, han blev udsat for i april 2025, har affødt en kommentar fra politiet om, at de svindlere, der har gjort det, p.t. er varetægtsfængslede, og at de også har svindlet med mange andre menneskers konti.

Jyske Bank har til støtte for frifindelsespåstanden anført blandt andet, at Visa/Dankort -786, som blev brugt til godkendelse af betalingerne, blev oprettet i Apple Pay den 3. april 2025 kl. 18:16 på enheden ”iPhone”, der var svindlerens enhed. Oprettelsen startede i Apple Wallet på den omhandlede iPhone. Herefter blev oprettelsen fortsat i klagerens netbank/mobilbank, hvor der blev logget ind med klagerens kode/Face ID eller fingeraftryk i mobilbanken eller MitID i netbanken. Banken lægger til grund, at klageren må have oprettet kortet i den fremmede Apple Pay Wallet, hvorefter kortet blev misbrugt til betalinger fra den fremmede Wallet.

Banken formoder, at oprettelsen startede ved, at klageren modtog en phishing SMS eller e-mail med et link, hvor han blev bedt om at opdatere sine kortoplysninger eller lignende. Den side, hvor han via linket indtastede sine kortoplysninger, er kontrolleret af svindlerne, der herefter aflurede hans kortoplysninger og indtastede dem i Apple Wallet på enheden ”iPhone”. Banken formoder, at klageren herefter via den falske hjemmeside, hvor han indtastede kortoplysningerne, blev anmodet om at åbne sin mobilbank. Banken har dog ikke nærmere oplysninger herom, da disse handlinger skete i klagerens sfære og dermed uden for bankens miljø/løsninger.

Uanset på hvilken baggrund kortoplysningerne blev indtastet, skete oprettelsen af kortet i Apple Pay efterfølgende i klagerens mobilbank/netbank. Åbning af mobilbanken/netbanken skete enten med en personlig kode/Face ID/fingeraftryk eller med MitID.

Klageren mødte det billede, der fremgår af flowet for oprettelse af betalingskort i Apple Pay, under punkt 2, hvor klageren blev anmodet om at færdiggøre godkendelsen i netbanken/mobilbanken. Det fremgår af oversigten, at det var klagerens Visa/Dankort -786, der blev forsøgt tilføjet. Efter at klageren havde trykket på ”Færdiggør godkendelse”, fik han forevist den tekst, der fremgår af punkt 3, hvor han blev anmodet om at fortsætte godkendelsen i netbanken/mobilbanken, jf. teksten ”Jyske Bank-app”. Efter at have klikket på ”Næste” blev klageren anmodet om at åbne sin netbank/mobilbank, jf. punkt 4. Herefter fortsatte oprettelsen i netbanken/mobilbanken, hvor klageren blev anmodet om at godkende, at hans Visa/Dankort blev tilføjet i Apple Pay på ”iPhone”, og hvis han ikke havde forsøgt at tilføje kortet til Apple Pay, skulle han straks afvise oprettelsen og ringe til banken. Efter at have swipet ”Godkend” blev klageren mødt af det billede, der fremgår af punkt 5, hvoraf det fremgik, at han ved at swipe ”Godkend”, godkendte, at hans kort blev aktiveret i Wallet på enheden ”iPhone”, hvilket fremgår af feltet ”Enhed”. Efter denne godkendelse blev klageren ført over i MitID, jf. punkt 6, hvor oprettelsen blev afsluttet med en godkendelse i den MitID-app, der ender på -082, jf. punkt 7 og 8, og som var oprettet på klagerens iPhone 8 Plus den 6. juni 2024. Banken lægger til grund, at det er klagerens MitID-app.

Oprettelsen af klagerens kort i Apple Pay skete med stærk kundeautentifikation, idet oprettelsen af den elektroniske version af klagerens fysiske betalingskort (”token”) i Apple Wallet skete med stærk kundeautentifikation, og idet oprettelsen af kortet i Wallet (iPhone) blev godkendt med klagerens MitID-app, jf. den fremlagte dokumentation. Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31, og opfylder ligeledes kravene til stærk kundeautentifikation, jf. § 7, nr. 30.

Klageren blev i godkendelsesflowet for oprettelsen flere gange gjort opmærksom på, at han var ved at oprette sit Visa/Dankort -786 i Apple Pay. Klageren blev desuden i forbindelse med godkendelse af oprettelsen af kortet i sin MitID, lige inden godkendelsen med MitID, forevist teksten "Jyske Bank, Godkend følgende? Visa/Dankort, [-786] Tilføjes i Apple Pay på iPhone" Klageren modtog desuden umiddelbart efter oprettelsen en SMS, hvoraf det fremgik, at "Dit Visa/Dankort [-786] er klar til brug i Apple Pay. Det kan bruges alle steder, hvor du ser et kontaktløst symbol eller Apple Pay mærket.” Klageren kunne dermed ikke være i tvivl om, at han havde oprettet sit kort i Apple Pay.

Af bilaget med betalingsdetaljerne fremgår for hver betaling under overskriften ”Token requestor”, at der er tale om ”Apple Pay”. Det vil sige, at alle betalingerne blev godkendt med den virtuelle udgave af det fysiske betalingskort i iPhone.

Herudover blev betalingerne godkendt med stærk kundeautentifikation, idet godkendelse af betalinger i Apple Pay sker ved en kombination af den enhed, hvorpå kortet er oprettet i Apple Pay Wallet, og enten adgangskode eller Face ID eller fingeraftryk/øvrig biometri. Betalingerne blev godkendt ved en kombination af den elektroniske version af det fysiske betalingskort (”token”), der blev oprettet med stærk kundeautentifikation på iPhone, jf. ovenfor, samt enten biometri (Face ID, fingeraftryk), eller kode. Betalingstokenet udgør ”besiddelseselementet”, jf. forordning (EU) 2018/389 af 27. november 2017 (konsolideret den 12.09.2023), artikel 4, stk. 1, jf. artikel 7. Face ID, fingeraftryk eller koden udgør henholdsvis iboende egenskab eller viden, jf. henholdsvis forordningens artikel 8 og 6. Ved transaktionerne blev der således anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Betalingstransaktionerne er desuden korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Klageren har ved groft uforsvarlig adfærd muliggjort misbruget af sit kort i Apple Wallet, idet klageren selv har oprettet sit betalingskort i den fremmede Apple Pay Wallet. Klageren blev i forbindelse med oprettelsen flere gange udtrykkeligt gjort opmærksom på, at han var ved at oprette sit betalingskort i en Apple Pay Wallet, således at der kunne ske betalinger med kortet fra den fremmede Wallet. Trods advarslerne fra banken oprettede klageren kortet i Apple Pay Wallet på iPhone, og muliggjorde dermed ved groft uforsvarlig adfærd den uberettigede anvendelse. Klageren hæfter derfor med op til 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Da klagerens tab er mindre end 8.000 kr., betyder det, at han selv skal dække hele tabet. Sagen kan sammenlignes med Ankenævnets praksis omkring oprettelse af MitID på en fremmed enhed, for eksempel sag 604/2023.

Banken har til støtte for afvisningspåstanden anført, at der en sådan uenighed om det faktisk passerede, herunder omstændighederne i forbindelse med klagerens videregivelse af kortoplysningerne til svindleren, at en afgørelse af sagen forudsætter en bevisførelse i form af parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men må i givet fald finde sted ved domstolene, hvorfor sagen skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde en konto med et tilknyttet Visa/Dankort -786.

Den 3. april 2025 blev der oprettet en virtuel kopi af klagerens betalingskort -786 i Apple Pay på tredjemands enhed.

Den 4. april 2025 blev der med en virtuel kopi af klagerens betalingskort -786 foretaget tre betalinger på 3.480,25 kr., 2.106,95 kr. og 1.988,45 kr., i alt 7.575.65 kr. Transaktionerne blev bogført på klagerens konto den 8. april 2025. Af en udskrift for klagerens konto fremgår, at transaktionerne vedrørte køb i tre forskellige dagligvarebutikker. Klageren kan ikke vedkende sig transaktionerne.

Banken har fremlagt en række skærmprint, der viser flowet for oprettelse af betalingskort i Apple Pay samt skærmprint fra sine systemer med hændelserne i forbindelse med oprettelsen af klagerens betalingskort i Apple Pay og skærmprint fra klagerens MitID-log.

Banken har anført, at klageren muliggjorde misbruget af betalingskortet ved groft uforsvarlig adfærd, idet han selv oprettede sit betalingskort i tredjemands Apple Pay Wallet. Klageren blev i forbindelse med oprettelsen flere gange udtrykkeligt gjort opmærksom på, at han var ved at oprette sit betalingskort i en Apple Pay Wallet, således at der kunne ske betalinger med kortet fra tredjemands Wallet. Klageren hæfter derfor med op til 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Klageren har anført, at han intet kendskab har til betalingerne, og at han ikke har udleveret oplysninger. 

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Der er uenighed mellem klageren og banken om, hvordan klagerens betalingskort blev indrulleret på tredjemands enhed, herunder om klageren i sin mobilbank eller netbank godkendte indrulleringen af sit betalingskort på tredjemands enhed. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til Apple Pay Wallet på tredjemands enhed forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage