Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-Wallet. Klageren var mindreårig.
| Sagsnummer: | 505 /2025 |
| Dato: | 23-02-2026 |
| Ankenævn: | Bo Østergaard, Jonas Thestrup Nielsen, Janni Visted Hansen og Rolf Høymann Olsen. |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-Wallet. Klageren var mindreårig. |
| Indklagede: | Lunar Bank |
| Øvrige oplysninger: | OF |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay. Indrullering af et betalingskort i tredjemands Google Pay-Wallet.
Sagens omstændigheder
Klageren, der var født i august 2009, var kunde i Lunar Bank, hvor han blandt andet havde en konto -201 med et tilknyttet virtuelt Visa Debit betalingskort -343 i sin Lunar Bank-app.
Banken har oplyst, at der den 5. september 2025 blev aktiveret et virtuelt betalingskort via en Google Pay-Wallet. Banken har anført, at dette skete ved brug af klagerens kortoplysninger, herunder kortnummer, udløbsdato og CVC-kode og en engangskode, som blev sendt som SMS til klagerens telefonnummer -785.
Banken har fremlagt et eksempel på indholdet af SMS’en med engangskoden, hvoraf fremgår:
”…
Din aktiveringskode er [XXX].
Hvis kortet ikke automatisk er aktiveret i wallet-appen kan du aktivere det ved at:
1) Åbne Wallet-appen på din telefon
2) Vælge dit kort
3) Vælge ’Skift kode’
4) Indsætte aktiveringskode.
Koden udløber om 30 minutter. Hvis du har problemer, skal du kontakte support på [XXX].
…”
Banken har anført, at aktiveringen medførte en automatisk sikkerhedsforespørgsel til banken, hvorefter klagerens betalingskort blev spærret (frosset/frozen) i Lunar Bank-appen. Der blev herefter sendt en notifikation til klageren i Lunar Bank-appen. Banken har fremlagt en udskrift af indholdet af notifikationen, hvoraf fremgår:
”Dit kort blev tilføjet til en ny Wallet
For en sikkerheds skyld har vi låst det. Lås det op i appen for at begynde at bruge kor…
[ÅBEN]”
Banken har fremlagt kortdetaljer for klagerens betalingskort, hvoraf fremgår blandt andet:
”Activity
Card ordered Customer
19/09/24 15:35
Card frozen Customer
05/09/25 17:12
Reason: Weak tokenization authentication
Card activated
05/09/25 17:14 Customer
…”
Banken har fremlagt en oversigt over loginoplysninger på klagerens Lunar Bank-app for perioden fra den 1. august til den 30. september 2025, hvoraf fremgår, at klagerens Lunar Bank-app blev tilgået af iPhones med modelnumre 11,2, 12,1 og 14,7 (iPhone XS, iPhone 11 og iPhone 14). Herudover fremgår, at der tre gange den 5. september 2025 i tidsrummet 17:10 til 17:24 blev logget ind med password på klagerens Lunar Bank-app fra en iPhone 11. Banken har anført, at der på intet tidspunkt blev logget ind på klagerens Lunar Bank-app fra en uautoriseret enhed, at klageren var logget ind på sin Lunar bank-app, da betalingskortet blev aktiveret igen, og at det var klageren, der aktiverede betalingskortet.
Klageren har anført, at hændelserne af den 5. september 2025 er ubekendte for ham. Han foretog ingen handlinger den 5. september 2025.
Den 23. september 2025 blev en virtuel udgave af klagerens betalingskort -343 i en Google Pay-Wallet anvendt til at foretage tre kontaktløse betalinger til en udenlandsk betalingsmodtager A på i alt 2.899,96 ZAR (Sydafrikanske rand) svarende til 1.069,77 DKK, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han den 24. september 2025 gjorde indsigelse mod to af betalingerne og samtidig spærrede betalingskortet.
Af bankens fremlagte kortdetaljer for klagerens betalingskort fremgår, at klagerens betalingskort blev spærret den 24. september 2025. Det fremgår herudover, at betalingskortet blev genåbnet den 26. september 2025. Klageren har oplyst, at han genåbnede betalingskortet, da han skulle foretage et køb på 10 kr., og at han efterfølgende spærrede betalingskortet på ny.
Klageren har oplyst, at han den 29. september 2025 konstaterede den tredje uberettigede betaling, hvorfor han gjorde indsigelse mod denne. Af bankens fremlagte kortdetaljer for klagerens betalingskort fremgår, at klagerens betalingskort blev spærret den 29. september 2025. Banken har anført, at dens systemer viser, at der ikke blev registreret eller anmeldt trækninger den 29. september 2025, og at de bestridte transaktioner fandt sted den 23. september 2025.
Ved e-mail af 1. oktober 2025 anmodede banken klageren om oplysninger vedrørende omstændighederne for indsigelsen.
Klageren oplyste, at han ikke havde været i korrespondance med betalingsmodtager A, at han på dagen var i skole og til sport, at han ikke havde svaret på en e-mail, hvor han blev anmodet om at oplyse sine kortoplysninger, og at andre ikke havde kendskab til hans kortoplysninger, telefon eller betalingskort.
Klageren har fremlagt en kvittering for anmeldelse til politiet af 1. oktober 2025, hvoraf fremgår blandt andet, at klageren anmeldte en sag om databedrageri begået den 23. september 2025.
Den 10. oktober 2025 afviste banken klagerens indsigelse.
Samme dag fastholdt klageren sin indsigelse.
Den 16. oktober 2025 fastholdt banken sin afgørelse af 10. oktober 2025.
Parternes påstande
Den 16. oktober 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal godtgøre ham tabet.
Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han ikke har handlet groft uforsvarligt. Han har handlet hurtigt og forsvarligt ved at spærre betalingskortet, indrapportere hævningerne og kontakte banken, så snart han blev opmærksom på misbruget. Da banken ikke svarede ham, kontaktede han banken telefonisk.
Begivenhederne af 5. september 2025, som banken har redegjort for, var ukendte for ham. Han foretog ingen handlinger denne dag. Hvis der er registreret ”Weak tokenization authentification”, skyldes det et svindelforsøg fra tredjemand og ikke ham.
Banken har ikke dokumenteret, at han har videregivet en SMS-kode eller på anden måde muliggjort misbruget. Banken har ikke fremlagt teknisk dokumentation, såsom IP-adresse, enhedsdata, SMS-log eller lignende, der viser, at han selv havde bekræftet aktiveringen. Af bankens fremlagte kortdetaljer fremgår alene ”Customer” som handlingstype. Dette beviser ikke, hvem der reelt foretog handlingen. Loginoplysninger er ikke bevis for handling. Det forhold, at han loggede ind på sin Lunar Bank-app, dokumenterer ikke, at han selv genåbnede betalingskortet.
Banken behandlede ham som en voksen, selvom han er mindreårig. Han blev under telefonsamtaler instrueret i ikke at bruge højttaler, og at han skulle tale med banken uden sin værge. Dette er i strid med god skik og værgemålsloven. Det udgør ikke groft uforsvarlig adfærd, at han med sin unge alder ikke opdagede et teknisk forhold tre uger inden selve misbruget. Det kan ikke forventes, at han forstår tekniske processer eller kan håndtere digitale sikkerhedssystemer. Banken har ikke udvist særlig omhu over for dette.
Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at klageren, for at tredjemand kunne tilføje klagerens betalingskort i sin Wallet og bruge betalingskortet, skulle udlevere sine kortoplysninger og engangskoden, der fremgik af SMS’en, som blev sendt til klagerens registrerede telefonnummer og genåbne det ved tilføjelsen automatisk spærrede betalingskort i Lunar Bank-appen. Dette er den eneste tekniske mulighed, da der ikke er konstateret en uautoriseret adgang til klagerens Lunar Bank-app.
Klageren har tilsidesat bankens sikkerhedsforanstaltninger efter betalingskortet blev tilføjet til tredjemands Wallet, idet klageren genåbnede betalingskortet på trods af notifikationen i Lunar Bank-appen om, at betalingskortet var blevet låst, da det var tilføjet til en ny Wallet. Det er teknisk umuligt for tredjemand at genåbne betalingskortet i Lunar Bank-appen uden at have adgang til klagerens fysiske telefon og loginoplysninger. Klagerens handlinger har muliggjort de bestridte transaktioner.
At loggen benævner aktøren som “Customer”, er standardterminologi, der bekræfter, at handlingen er foretaget af den loggede brugerprofil. Sammenholdt med fraværet af fremmede enheder, udgør dette tilstrækkeligt bevis for, at handlingen er foretaget fra klagerens egen enhed.
Klageren hæfter for det fulde tab, da misbruget er muliggjort af klagerens groft uforsvarlige adfærd. Klagerens adfærd afviger væsentlig fra, hvad der med rimelighed kan forventes af en almindelig forsigtig bruger af betalingstjenester.
Det er altid tilladt for en værge at overvære en samtale og yde bistand. Banken beklager, hvis der måtte være sket en situation, hvor dette ikke blev imødekommet.
Banken har til støtte for afvisningspåstanden anført, at sagen alene kan afgøres på baggrund af yderligere bevisførelse i form af parts- og vidneforklaringer. Dette er nødvendigt for at fastlægge sagens faktiske omstændigheder, som har betydning for hæftelsesspørgsmålet. Da en sådan bevisførelse ikke kan finde sted i Ankenævnet, men alene ved domstolene, bør sagen afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren, der var født i august 2009, var kunde i Lunar Bank, hvor han blandt andet havde en konto -201 med et tilknyttet virtuelt Visa Debit betalingskort -343 i klagerens Lunar Bank-app.
Banken har oplyst, at der den 5. september 2025 blev aktiveret et virtuelt betalingskort via en Google Pay-Wallet. Banken har anført, at dette skete ved brug af klagerens kortoplysninger, herunder kortnummer, udløbsdato og CVC-kode og en engangskode, som blev sendt som SMS til klagerens telefonnummer -785, og klagerens genåbning via Lunar Bank-appen af betalingskortet, der ved tilføjelsen automatisk var blevet spærret.
Banken har fremlagt en udskrift af indholdet af en notifikation sendt til klageren i Lunar Bank-appen, hvoraf fremgår, at klagerens betalingskort var blevet tilføjet til en ny Wallet, og at banken for en sikkerheds skyld havde spærret betalingskortet, hvorfor det skulle låses op i Lunar Bank-appen for at anvende betalingskortet.
Banken har fremlagt kortdetaljer for klagerens betalingskort, hvoraf fremgår blandt andet, at klagerens betalingskort blev spærret den 5. september 2025 kl. 17:12 og genåbnet samme dag kl. 17:14.
Banken har fremlagt en oversigt over loginoplysninger på klagerens Lunar Bank-app for perioden fra den 1. august til den 30. september 2025, hvoraf fremgår blandt andet, at der tre gange den 5. september 2025 i tidsrummet 17:10 til 17:24 blev logget ind på klagerens Lunar Bank-app fra en iPhone 11. Banken har anført, at der på intet tidspunkt blev logget ind på klagerens Lunar Bank-app fra en uautoriseret enhed, at klageren var logget ind på sin Lunar bank-app, da betalingskortet blev aktiveret igen, og at det var klageren, der aktiverede betalingskortet.
Klageren har anført, at hændelserne af den 5. september 2025 er ubekendte for ham. Han foretog ingen handlinger den 5. september 2025.
Den 23. september 2025 blev en virtuel udgave af klagerens betalingskort -343 i en Google Pay anvendt til at foretage tre kontaktløse betalinger til en udenlandsk betalingsmodtager A på i alt 2.899,96 ZAR (Sydafrikanske rand) svarende til 1.069,77 DKK, som klageren ikke kan vedkende sig.
Klageren gjorde indsigelse mod betalingerne. Banken afviste at godtgøre klagerens tab.
Ankenævnet finder, at indrullering af et betalingskort i en Google Pay-Wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.
Ved indrullering af betalingskortet via Google Pay-Wallet-appen er kravet til stærk kundeautentifikation opfyldt, når minimum to sikkerhedselementer vedrører samme kunde er anvendt.
Ankenævnet lægger som anført af banken til grund, at indrulleringen er sket ved brug af klagerens kortoplysninger, en engangskode, som blev sendt til klagerens telefonnummer (besiddelse) og ved klagerens efterfølgende fjernelse af en automatisk etableret spærring på betalingskortet ved login med password i sin Lunar Bank-app (viden). Ankenævnet finder det godtgjort, at indrulleringen af klagerens betalingskort -343 i tredjemands Google Pay-Wallet er sket ved stærk kundeautentifikation, da videns- og besiddelseselementet er opfyldt.
Ankenævnet lægger som ubestridt til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Da klageren var mindreårig på tidspunktet for tredjemandsmisbruget, finder betalingslovens § 100 om tabsfordelingen ikke anvendelse, da klagerens retsstilling ikke vil blive forbedret ved anvendelsen af betalingslovens § 100 i forhold til de almindelige regler.
Ankenævnet finder på den baggrund, at det ikke kan pålægges klageren at bære tabet som følge af tredjemands misbrug.
Ankenævnets afgørelse
Lunar Bank skal inden 30 dage godtgøre klageren 1.069,77 DKK med valør fra datoen for debiteringen.
Klageren får klagegebyret tilbage.