Indsigelse mod korttransaktioner foretaget i udlandet og som er godkendt i Apple Pay og med MitID

Sagsnummer:243/2023
Dato:18-01-2024
Ankenævn:Henrik Waaben, Christina Bryanth Konge, Nanna Vetter Viberg Nielsen, Morten Bruun Pedersen og Anna Marie Schou Ringive
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod korttransaktioner foretaget i udlandet og som er godkendt i Apple Pay og med MitID
Indklagede:Jyske B
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod korttransaktioner foretaget i udlandet og som er godkendt i Apple Pay og med MitID.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han blandt andet havde et Visa/Dankort -093 med en tilknyttet konto -201 og et Visa Credit -189 med en tilknyttet konto -718.

Den 29. oktober 2022 blev der med klagerens Visa/Dankort gennemført to kortbetalinger på 569,80 EUR og 639,75 EUR svarende til i alt 9.141,42 DKK fra konto -201 til en udenlandsk betalingsmodtager D.

Banken har fremlagt en udskrift af betalingsoplysningerne for begge betalinger, hvoraf ”Apple Pay” fremgår af ”Token requester”-feltet. Banken har anført, at begge betalinger blev godkendt via klagerens Apple Pay.

Samme dag blev der med klagerens Visa Credit gennemført fem kortbetalinger på 470 EUR, 1.186,90 EUR, 1.329,99 EUR, 1.388 EUR og 929,64 EUR svarende til i alt 40.287,56 DKK fra konto -718 til betalingsmodtagerne D, E, F, G, H.

Banken har fremlagt en udskrift af betalingsoplysninger for betalingerne til betalingsmodtager D, E, og F, hvoraf ”Apple Pay” fremgår af ”Token requester”-feltet. Banken har anført, at disse betalinger blev godkendt med Apple Pay.

Banken har for så vidt angår betalingerne til betalingsmodtagerne G og H fremlagt to udskrifter fra Nets, hvoraf fremgår, hvilken MitID-tekst der fremgik af MitID inden godkendelserne af betalingerne. Banken har anført, at følgende tekst blev sendt til klagerens MitID med identifikationsnummer -2361 i forbindelse med godkendelsen af betalingen på 1.388 EUR:

”Betal 1388,00 EUR til [betalingsmodtager G] fra kort [xxx-189].”

Banken har anført, at følgende tekst blev sendt til klagerens MitID med identifikationsnummer -2361 i forbindelse med godkendelsen af betalingen på 1.329,99 EUR:

”Betal 1329,99 EUR til [betalingsmodtager H] fra kort [xxx-189].”

Banken har oplyst, at de samlede transaktioner på i alt 48.507,25 DKK var korrekt registreret og bogført.

Den 31. oktober 2022 gjorde klageren indsigelse mod betalingerne i en tro og love-erklæring. Af tro og love-erklæringen fremgik blandt andet:

”…

Øvrige oplysninger og kronologisk hændelsesforløb …

Var på 3 dags tur til Napoli, sammen med 17 andre (mænd)

3 Afrikanske mænd bliver meget nærgående udenfor en bar ved navn Bellini. jeg har min telefon i højre forlomme. Det ved jeg, da jeg ikke har meget batteri på 7-8 % og jeg vil undgå at bruge den, da jeg er bange for den løber tør for strøm.  og jeg ved ikke kan huske puk koden på telefonen, hvis den løber tør.

På et tidspunkt bliver de 3 afrikanske udseende mænd pænt nærgående (skubbe og står tæt) under forløbet tager den ene et billede af mig og jeg sige på engelsk at han skal gå væk. Han bliver ved med at tage et billede tæt på mig og jeg skubber herefter ham væk. De går og alt er i den skønneste orden (tror vi).

Ca en time eller 1,5 efter dette forløb med de afrikanske mænd opdager jeg min telefon er væk. Og tænker det er øv. Men jeg tænker det bare en telefon som ikke kan bruges uden koder og faceid. Og jeg har jo stadig mine fysiske kort. Ringer hjem senere på dagen fra en lånetelefon for at fortælle at jeg har fået stjålet min telefon. Under samtalen beder jeg min kone om lige at se hvad der er brugt på kortene. Hun kunne her oplyse at der var brugt meget store beløb i euro..

Kan ikke rigtig forstå det da jeg har alle mine kort på mig. Hun ringer ind til Jyske og får alle mine kort spæret.

Det der nok er sket er at det var min telefon der blev taget billeder med af de afrikanske mænd og at det nok meget sandsynligt at det var for at låse telefonen op med faceid.

Har anmeldt det til politiet i Napoli.

Hvordan har nøglekortet været opbevaret?

Havde ikke nøglekortet med. (fysisk form)

Hvordan har adgangskoden været opbevaret?

Faceid på mobiltelefonen.

Har nøglekortet og NemID adgangskode været lånt ud på noget tidspunkt?

Nej

Hvornår blev du første gang opmærksom på de transaktioner, som du ikke kan godkende?

29.10.2022 ved 14,15 ca.

Har du på noget tidspunkt udleveret dine NemID eller nøglekort oplysninger pr. mail, SMS, telefonisk eller på anden vis? [] Ja [X] Nej

Har du mistanke til nogen bestemte personer?

Hvis ja, hvem? … 3 Afrikanske/italienske mænd i Napoli.

…”

Den 31. oktober 2022 blev klagerens Visa/Dankort -093 og Visa Credit -189 spærret.

Banken afviste herefter klagerens indsigelse. Af bankens afvisning fremgik:

”…

Vi har behandlet indsigelsen og må meddele dig, at vi ikke har mulighed for at behandle din sag.

Ved gennemgang af sagen kan vi konstatere, at de transaktioner du gør indsigelse mod, er godkendt og accepteret ved brug af dine personlige sikkerhedskoder, ligesom betalingerne er korrekt registreret og bogført.

Du oplyser, at du alene har mistet din mobiltelefon.

Vi finder det ikke sandsynligt, at en tredjemand under de oplyste omstændigheder kunne misbruge dine personlige oplysninger.

…”

Den 21. november 2022 gjorde klagerens repræsentant indsigelse mod bankens afvisning.

Den 22. december 2022 fastholdt banken sin afvisning af klagerens indsigelse.

Den 1. februar 2023 gjorde klagerens repræsentant på ny indsigelse mod bankens afvisning.

Den 27. februar 2023 fastholdt banken på ny sin afvisning af klagerens indsigelse.

Den 18. april 2023 har klageren indbragt sagen for Ankenævnet.

Samme dag har klagerens repræsentant blandt andet oplyst:

”…

Aftenen forløb således, at Klager og hans venner først var på en restaurant tæt på deres hotel. Herefter gik de på en bar.

Udenfor den pågældende bar blev de antastet af tre afrikanske mænd, som på forskellig vis var meget pågående. Disse afrikanske mænd tog blandt andet fotos af Klager og han venner med deres egen telefon, inden de forlod Klager. Det er Klagers opfattelse, at disse afrikanske mænd tog Klagers telefon, men Klager noterede sig det ikke på tidspunktet.

Herefter gik Klager tilbage på hotellet og opdagede her, at hans telefon var væk. Klager gik derfor tilbage til baren for at se, om den var glemt der. Baren var imidlertid lukket, hvorfor Klager besluttede at vende tilbage til baren som det første dagen efter. Klager havde på dette tidspunkt ikke overvejet, at hans telefon kunne være stjålet.

Næste morgen gik Klager på ny tilbage til baren, men denne var ikke åbnet. Derfor ringede han fra sin vens telefon hjem til sin hustru, som – da hun var på arbejde – ikke tog telefonen. Da Klager senere fik fat i hans hustru, tjekkede hun parrets netbank og kunne se, at der var foretaget flere betydelige hævninger – fra tyske hjemmesider, som skulle levere bl.a. dyrt tøj på forskellige adresser i Italien.

…”

Banken har fremlagt sine Dankort og Visa/Dankort kortbestemmelser af marts 2023. Af disse fremgår blandt andet:

”…

9.2. Kort i wallet

Du skal kontakte Jyske Bank snarest muligt for at spærre dit kort på mobilen hvis:

  • Du mister din telefon
  • Du opdager, at dit kort på mobilen er blevet misbrugt
  • Du på anden måde får mistanke om, at dit kort i en wallet måske kan blive misbrugt.

…”

Banken har fremlagt sine Visa Credit kortbestemmelser af marts 2023. Af disse fremgår blandt andet:

”…

2.9. Din pligt til at få kortet spærret

Du skal straks spærre dit kort, hvis

  • Du mister dit fysiske kort eller din mobile enhed med et Visa Credit på
  • En anden får kendskab til en af dine personlige sikkerhedsforanstaltninger, f.eks. din pinkode
  • Du opdager, at kortet er blevet misbrugt
  • Du får mistanke om, at kortet er blevet kopieret
  • Du på anden måde får mistanke om, at kortet kan risikere at blive misbrugt

…”

Banken har fremlagt en udskrift ”Om avanceret Face ID-teknologi” af 4. maj 2022. Heraf fremgår blandt andet:

”…

Face ID sammenlignes med dybdeoplysninger, som ikke findes i udskrifter eller digitale 2D-fotos. Det er designet til at yde beskyttelse mod snyd med masker eller andre teknikker via brugen af avancerede neurale netværk, der registrerer snyd. Face ID kan også registrere opmærksomhed, og Face ID med mundbind vil altid bekræfte opmærksomhed. Face ID kan se, om dine øjne er åbne, og om din opmærksomhed er rettet mod enheden. Det gør det vanskeligt for en anden person at låse din enhed op uden din viden (f.eks. når du sover).

…”

Parternes påstande

Klageren har nedlagt påstand om, at Jyske Bank primært skal godtgøre klageren 48.507,25 DKK, og subsidiært 48.132,25 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært at klageren hæfter med 8.000 DKK af tabet for hvert betalingskort og tertiært afvisning.

Parternes argumenter

Klageren har anført, at banken som betalingsudbyder hæfter for hans tab som følge af andres uberettigede anvendelse af en betalingstjeneste, jf. betalingslovens § 100, stk. 1. Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter han maksimalt med 375 DKK, jf. betalingslovens § 100, stk. 3.

Han fik stjålet sin mobiltelefon, hvor betalingskortet var tilknyttet. Der blev foretaget omfattende hævninger på hans konti uden hans viden eller accept. Hævningerne er foretaget i euro og fra hjemmesider under et internationalt domæne, og de bestilte varer var bestilt til levering forskellige steder i Italien. Hævningerne udgjorde omfattende beløb, hvilket indikerer et misbrug og ikke et sædvanligt købsmønster. Ingen af de købte varer er leveret til ham.

Der foreligger således utvivlsomt hævninger, som må kategoriseres som et misbrug i betalingslovens forstand, som banken som betalingsudbyder hæfter for, jf. betalingslovens § 100, stk. 1.

Det påhviler ikke ham at dokumentere, hvordan misbruget har været teknisk muligt at foretage. Det påhviler ikke ham som forbruger at redegøre for overfor banken, hvordan nogle afrikanske mænd har kunnet foretage misbruget. Han skal alene dokumentere, at der rent faktisk er sket et misbrug. Denne bevisbyrde er løftet.

Han har ikke udvist nogen form for uagtsomhed i forbindelse med misbruget, og han har heller ikke handlet groft uagtsomt, hvorfor betalingslovens § 100, stk. 2, og stk. 4-5 ikke finder anvendelse. Han konstaterede først næste dag efter forudgående forespørgsel på baren, at hans telefon var væk. Han spærrede straks herefter sine betalingskort. Der gik derfor ikke lang tid mellem, at han konstaterede, at han havde mistet sin telefon og til, at han spærrede sine betalingskort.

Jyske Bank har til støtte for afvisningspåstanden anført, at der ikke foreligger en uberettiget anvendelse af de i sagen omhandlede betalingskort.

Betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Klagerens Apple Pay er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31.

Ved transaktionerne godkendt i MitID blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30. Ved transaktionerne godkendt i Apple Pay blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købet autentificeres ved en kombination af det udstedte betalingstoken på den specifikke enhed, hvilket udgjorde et besiddelseselement, og anvendelse af ansigtsgenkendelse eller fingeraftryk, hvilket udgjorde det iboende element, eller ved indtastning af en personlig adgangskode, hvilket udgjorde et videnselement i forbindelse med godkendelse af betalingen.

Det er klageren, der skal dokumentere, at der er tale om misbrug. Klageren har oplyst, at han mener, at de personer, der tog hans telefon, har brugt den til at tage billeder af ham og herefter åbne telefonen via disse billeder. Ifølge udskrift ”Om avanceret Face ID-teknologi” kan mobiltelefonens Face ID-system ikke aktiveres ved fysiske eller digitale 2D-billeder, da den aktiveres ved registrering af dybdeoplysninger. Klagerens telefon har derfor ikke kunnet åbnes ved brug af billeder af klageren. Klageren har ikke dokumenteret, at hans telefon er blevet misbrugt via Face ID.

Betalinger godkendt i Apple Pay kræver godkendelse i Apple Pay wallet ved anvendelse af Face ID eller kode. Det er ikke muligt at godkende handlinger med ansigtsgodkendelse på baggrund af 2D-billeder, hvorfor godkendelserne heri ikke kan være sket som klageren har oplyst.

Klageren har oplyst, at han ikke har videregivet sine personlige koder til telefonen eller Apple Pay wallet, hvorfor det heller ikke ved brug af personlige koder har været muligt uberettiget at gennemføre betalinger i Apple Pay.

Klageren har heller ikke godtgjort omstændigheder, der sandsynliggør eller dokumenterer, hvordan svindlerne har kunnet få adgang til klagerens personlige kode til hans Apple Pay wallet.

Betalingerne, som er godkendt med klagerens betalingskort i MitID, kræver godkendelse med enten MitID, Face ID eller kode. Banken har godtgjort, at det ikke er muligt at godkende handlinger med ansigtsgodkendelse på baggrund af 2D-billeder, hvorfor den mulige godkendelse af betalingerne, som klageren anfører, ikke kan lade sig gøre.

Selv hvis det skulle lykkedes svindlere at åbne klagerens telefon, hvilket bestrides at være tilfældet, så er det en forudsætning for at gennemføre betalinger i MitID, at svindlerne, udover kortoplysningerne, er i besiddelse af klagerens MitID-brugernavn og kode til MitID, ligesom det forudsættes, at de potentielle svindlere har haft et grundlæggende kendskab til, hvordan der sker godkendelse af handlinger i MitID, der er en dansk løsning. Det forekommer usandsynligt, at potentielle svindlere har haft et så indgående kendskab til MitID til, at de kan foretage godkendelser i MitID.

Klageren har desuden ikke godtgjort omstændigheder, hvorefter svindlerne har kunnet få adgang til klagerens kortoplysninger, men har tværtimod oplyst i sin tro og love-erklæring, at hans fysiske kort var i hans lomme og ikke blev stjålet eller var bortkommet.

Klageren har samlet set dermed ikke dokumenteret, at de i sagen omhandlede betalinger, godkendt i MitID, er sket som følge af misbrug. Banken er dermed ikke forpligtet til at godtgøre Klageren noget beløb.

Banken har til støtte for sin subsidiære påstand anført, at klageren hæfter, jf. betalingslovens § 100, stk. 4, nr. 1, med 8.000 DKK af tabet, da han har undladt at underrette banken snarest muligt efter, at han blev bekendt med tyveriet af hans mobiltelefon.

Hæftelsesreglerne i betalingslovens § 100, stk. 4, nr. 1, gælder for hvert betalingsinstrument, hvorfor klageren hæfter med op til 8.000 DKK af tabet for både klagerens Visa/Dankort og Visa Credit kort.

Klageren oplyser, at han om natten den 28. oktober 2022 blev opmærksom på, at hans telefon var væk. Klageren burde dermed have reageret snarest muligt efter, at han blev bekendt med tyveriet ved at kontakte banken og spærre sine kort. Han ventede imidlertid med at spærre sine betalingskort til ca. kl. 15 den følgende dag.

Det fremgår ligeledes af kortbestemmelserne for Visa/Dankort og Visa Credit, at han snarest muligt skulle spærre sit kort på mobilen, hvis han mistede sin mobiltelefon. I praksis fortolkes kravet om underretning "snarest muligt" restriktivt. Betaleren skal underrette udbyderen inden for meget kort tid, maksimalt 1-1½ timer. Misbruget af klagerens betalingskort skete fra kl. 07:26. Hvis klageren havde spærret sine betalingskort, da han blev opmærksom på, at hans telefon var bortkommet, kunne misbruget dermed have været undgået. Klageren bør derfor hæfte med samlet 16.000 DKK af tabet.

Banken har til støtte for sin tertiære påstand anført, at der foreligger en sådan usikkerhed om det i sagen passerede, at en afgørelse heraf forudsætter bevisvurdering i form af parts- og vidneforklaringer. En sådan bevisvurdering kan ikke ske for Ankenævnet, men må i givet fald finde sted ved domstolene. Sagen påstås afvist, jf. Det finansielle ankenævns vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han blandt andet havde et Visa/Dankort -093 med en tilknyttet konto -201 og et Visa Credit -189 med en tilknyttet konto -718.

Den 29. oktober 2022 blev der med klagerens Visa/Dankort og Visa Credit gennemført i alt syv betalinger. To kortbetalinger på 569,80 EUR og 639,75 EUR svarende til i alt 9.141,42 DKK blev overført fra konto -201 til en udenlandsk betalingsmodtager D og fem kortbetalinger på 470 EUR, 1.186,90 EUR, 1.329,99 EUR, 1.388 EUR og 929,64 EUR svarende til i alt 40.287,56 DKK fra konto -718 til betalingsmodtagerne D, E, F, G, H.

Fem af betalingerne blev godkendt via Apple Pay, og to af betalingerne blev godkendt med MitID. Banken har fremlagt betalingsoplysninger vedrørende betalingerne, der blev godkendt via Apple Pay, og har fremlagt udskrifter fra Nets, der viser hvilken tekst, der fremgik af MitID inden godkendelse. Banken har anført, at betalingerne, som blev godkendt via Apple Pay, blev godkendt i klagerens Apple Pay, og at betalingerne, som blev godkendt via MitID, blev godkendt med klagerens MitID.

Klageren gjorde indsigelse mod betalingerne og oplyste i sin tro og love-erklæring, at han på en tur til Napoli bemærkede, at tre afrikanskudseende mænd var nærgående. En af mændene tog under forløbet billeder af ham, hvorefter han anmodede mændene om at gå væk. Halvanden time efter forløbet opdagede klageren, at hans mobiltelefon var forsvundet, men han tænkte ikke, at telefonen kunne misbruges uden koder eller Face ID, og da han stadig havde sine fysiske kort. Klageren ringede fra en lånetelefon til sin hustru senere på dagen for at fortælle, at han havde fået stjålet sin mobiltelefon. Under samtalen konstaterede klageren, at der var blevet foretaget store betalinger i euro.

Den 31. oktober 2022 blev klagerens Visa/Dankort -093 og Visa Credit -189 spærret.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingsloven § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at godkendelse af betalingerne i klagerens MitID og Apple Pay skete ved anvendelse af personlige sikkerhedsforanstaltninger, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Klageren har anført, at han har lidt et tab som følge af tredjemands uberettigede anvendelse af hans betalingskort, hvorfor banken hæfter for det fulde tab eller det fulde tab fratrukket 375 DKK, da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, jf. betalingslovens § 100, stk. 1 og 3.

Banken har anført, at klageren ikke har godtgjort, at han har lidt et tab som følge af tredjemands uberettigede anvendelse af hans betalingskort. 

Efter betalingslovens § 100, stk. 1, hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5.

Efter betalingslovens § 100, stk. 3, hæfter betaleren med op til 375 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, medmindre videregående hæftelse følger af stk. 4 og 5.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af betalingslovens § 100, stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, eller om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter delvist for tabet, jf. betalingslovens § 100, stk. 3, og betalingslovens § 100, stk. 4, eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse, herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.