Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagsnummer: 470/2023
Dato: 27-05-2024
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Nanna Vetter Viberg Nielsen og Elizabeth Bonde.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.
Indklagede: Jyske Bank
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold

Indledning

Sagen vedrører indsigelse mod betaling gennemført med et virtuelt kort via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay. Spørgsmål om stærk kundeautentifikation og hæftelse.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor hun blandt andet havde et betalingskort -166.

Banken har anført, at banken den 7. maj 2023 kl. 13:16 sendte en SMS til klagerens telefonnummer -855 indeholdende en engangskode, som skulle anvendes til at indrullere klagerens betalingskort -166 som et virtuelt betalingskort i en Apple Pay-wallet. Af SMS’en fremgik:

”Du er ved at installere Apple Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort [-166]. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til banken. Koden er [XXX]. Er du ikke i gang med at installere Apple Pay, så kontakt straks Jyske Bank på 89892800”

Banken har anført, at klagerens betalingskort samme dag kl. 13:18 blev indrulleret som et virtuelt betalingskort i en Apple Pay-wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne for betalingskort -166 og en SMS-kode, som blev sendt i en SMS til klagerens telefonnummer -855 den 7. maj 2023.

Den 1. juni 2023 blev en virtuel udgave af klagerens betalingskort anvendt til at foretage en betaling til en udenlandsk betalingsmodtager V på i alt 4.289 AED (Emiratiske dirham) svarende til 8.302,50 DKK, som klageren ikke kan vedkende sig.

Banken har oplyst, at tredjemand loggede ind på sin Apple Pay-wallet med sit AppleID og herefter foretog betalingen med klagerens indrullerede betalingskort         -166.

Klageren har fremlagt en SMS fra banken af 1. juni 2023 kl. 21.00, hvoraf fremgår, at Nets midlertidigt havde spærret hendes betalingskort -166, da kortet var forsøgt anvendt til en betaling på 4.689 AED til en udenlandsk betalingsmodtager. Banken anmodede klageren om hurtigst muligt at meddele, om det var hende, der havde foretaget betalingen. Klageren svarede banken, at det ikke var hende, der havde foretaget betalingen. Banken svarede klageren:

”…

Dejligt at høre, at der ikke er tale om misbrug.

Dit kort er åbnet igen.

…”

Banken har fremlagt en log over registreringer for betalingskort -166, hvoraf blandt andet fremgår:

Kortoplysninger – detaljer

Kortnummer [-166] …

Spærringsoplysninger

Årsag: Bekræftet misbrug 3. mand

Spærringstidspunkt 01.06.2023  20:46:01

Supplerende tekst: Nets Kundeservice på vegne af overvågning

…”

”Logoversigt

5 hændelser fundet

Logningstidspunkt

Hændelse

 

 

01.06.2023 21:10:54

Afmelding

 

01:06:2023 20:46:01

Ændring

 

…”

”Log detaljer

Logtidspunkt    01.06.2023    21:10:54

Hændelse                             Ændring

Feltbeskrivelse

Indhold før

Indhold efter

Årsag

Formodet misbrug

Bekræftet misbrug 3. mand

Banken har anført, at klagerens betalingskort -166 blev spærret den 1. juni 2023 kl. 20:46, og at kortet forblev spærret. Bankens meddelelse om, at betalingskortet var genåbnet, var en fejl.

Den 8. juni 2023 gjorde klageren ved en tro og love-erklæring indsigelse over for banken mod betalingen. Af tro og love-erklæringen fremgår blandt andet:

”…

Betalinger …

Jeg har hverken deltaget i eller godkendt nedenstående betalinger

Kortspærring. …

Jeg blev kontaktet af nets, da de kunne se, at der var forsøgt købt produkter hos [betalingsmodtager V]

Skjult abonnement

Jeg kender slet ikke til betalingen

Udlevering af oplysninger

Nej, jeg er ikke blevet kontaktet

…”

Klageren har fremlagt en politianmeldelse sendt til National enhed for særlig kriminalitet, hvoraf fremgår:

”…

Beskriv kort hvad du har oplevet …

D. 1/6-2023 bliver mit kort spærret, da der har været en uregelmæssig aktivitet på kortet. Jyske Bank mener, at jeg d. 7/5-2023 skulle have fået en SMS fra dem, indeholdende en SMS kode til at oprette et nyt betalings-ID på en anden Apple enhed (bilag F). Der er oprettet en profil der d. 1/6-2023 har købt døre fra et firma i Dubai for AED 4.689,00, svarende til kr. 8.302,50 (bilag G). Den omtalte betalingsprofil kan kun oprettes ved, at svindleren også har mit Apple ID. Jyske Bank mener, at jeg har handlet uagtsomt ved, efter Deres vurdering at have udleveret begge disse informationer. Sagen ligger nu hos Det Finansielle Ankenævn som vurderer sagen og i den forbindelse har vi brug for at få dokumenteret, hvorvidt den i bilag F omtalte SMS er blevet sendt til mit nummer [klagerens telefonnummer] eller ej. Vi har konsulteret IT sagkyndige som siger, at det godt kan lade sig gøre, at hacke en telefon og derved omgå det normale SMS flow. Vi har kontaktet både YouSee og NETS som begge siger, at det kun er politiet der kan assistere i disse tilfælde.

…”

Den 20. juli 2023 meddelte banken klageren, at hun hæftede med op til 8.000 DKK af den ikke-vedkendte betaling, og at den ville godtgøre klageren 302,50 DKK. 

Klageren har fremlagt National enhed for særlig kriminalitets afgørelse af 8. november 2023, hvoraf fremgår, at den afviste at indlede en efterforsikring i sagen, da den vurderede, at en efterforskning ikke kunne føre til, at den kunne sigte nogen for et strafbart forhold.

Parternes påstande

Den 2. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbagebetale hende 8.000 DKK.

Jyske Bank har nedlagt påstand om frifindelse begrundet i, at klageren hæfter med op til 8.000 DKK efter betalingslovens regler, frifindelse begrundet i, at klageren hæfter for betalingen på aftaleretligt grundlag, og afvisning.

Parternes argumenter

Klageren har anført, at hun ikke har modtaget en SMS-besked fra banken om, at hun var i gang med at indrullere sit kort i Apple Pay. Hun har aldrig videresendt beskeden eller givet tredjemand oplysninger i beskeden. Hun har kontaktet sin udbyder af mobilabonnement, som afviste, at hun havde svaret på en SMS af den karakter fra hendes telefonnummer.

Banken har ikke fremlagt dokumentation for, at hun har udleveret sine betalingsoplysninger eller engangskoden. Hendes udbyder af mobilabonnement har afvist, at hun skulle have svaret på en SMS af en sådan karakter fra sit mobiltelefonnummer. Hverken Nets eller Apple har kunnet be- eller afkræfte, om der er sendt en SMS den 7. maj 2023. Den eneste måde, koden kunne være videregivet på, ville være, hvis hun havde meddelt det mundtligt til en fremmed. Dette er ikke sket.

Ifølge to IT-kyndige er det muligt at hacke en mobiltelefon uden at have direkte adgang, herunder at modtage en SMS udenom værtstelefonen, ved hjælp af mSpy-software. Hun har meldt forholdet til politiet, da dette var den eneste instans, der kunne be- eller afkræfte dette, men politiet har valgt at nedlægge sagen, da svindlen er foregået fra udlandet.

Banken tror fejlagtigt, at det er hende, der har foretaget betalingen. Det har hun ikke.

Hun har ikke oprettet en ny profil på en anden enhed. Hun har ikke givet sit AppleID til tredjemand, som derved har kunnet oprette en betalingsgateway på en ekstern enhed. Der er for mange oplysninger, hun skulle have videregivet for at betalingen kunne gennemføres. Hun var til konfirmation hele dagen den 7. maj 2023.

Banken sætter spørgsmålstegn ved, hvad der er foregået, men fastholder samtidig, at hun har handlet groft uagtsomt eller forsætligt. Det er stærkt bekymrende, at en professionel virksomhed som banken ændrer sin forklaring, og at den bygger sagen på antagelser om, hvordan svindlen kunne være sket, fremfor at fremlægge fakta, som den ikke har et klart billede over.

Sagen er beklagelig, da hun har været kunde i banken i mange år.

Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren modtog en SMS-besked fra banken med en engangskode til Apple Pay, og at hun videregav sine kortoplysninger samt engangskoden til Apple Pay, som hun fik tilsendt af banken til en svindler. Som følge heraf skete der et misbrug af klagerens betalingskort via Apple Pay på en svindlers enhed.

Indrulleringen er sket ved stærk kundeautentifikation, da der er anvendt to sikkerhedselementer. Det ene sikkerhedselement, besiddelseselementet, er, at banken har sendt en SMS indeholdende en engangskode til et SIM-kort, der var i klagerens mobiltelefon. Det andet element, videnselementet, er, at svindleren har logget ind på sin Apple-enhed ved brug af sin personlig kode eller sin biometri.

Svindlerens Apple-ID og diverse enhedsoplysninger benyttes af Apple til at lave en samlet risikovurdering af svindlerens enhed i forbindelse med indrulleringen. Denne vurdering gives til banken og angiver blandt andet om enheden tidligere ar været formodet eller bekræftet benyttet i forbindelse med misbrug. Dette har ikke været tilfældet i denne sag, da det ellers ikke var muligt at gennemføre indrulleringen ved SMS-besked.

Betalingen er gennemført ved brug af klagerens kortoplysninger og godkendt via Apple Pay installeret på tredjemands enhed på baggrund af den engangskode, klageren fik tilsendt af banken.

Reglerne for godtgørelse af betalinger, som en betaler ikke kan vedkende sig, fremgår af betalingsloven.

Betalingen er korrekt registreret og bogført og har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.

Betalingen gennemført i Apple Pay bliver enten gennemført via en personlig adgangskode eller biometri, fx fingeraftryk eller ansigtsgenkendelse. Fingeraftryk, ansigtsgenkendelse eller et personligt kodeord er omfattet af definitionen på en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31.

Ved betalingen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, da købet autentificeres ved en kombination af 1) det udstedte betalingstoken på den specifikke enhed (besiddelseselement) 2) anvendelse af ansigtsgenkendelse, fingeraftryk (iboende element) eller personlig adgangskode (videnselement) ifm. godkendelse af betalingen.

Efter betalingslovens § 100, stk. 4, nr. 3 hæfter betaleren, medmindre videregående hæftelse følger af stk. 5, med op til 8.000 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Klageren erindrer ikke at have været udsat for phishing. Klageren oplyser desuden ikke, at hun har haft mistet betalingskortet. Betalingskortet kan ikke lægges i Apple Pay uden anvendelse af engangskoden i SMS-beskeden fra banken, der genereres ved tilmelding af kortet til Apple Pay, når kortoplysningerne indtastes. Klageren må have videregivet sine kortoplysninger og engangskoden.

SMS-beskeden fra banken, som blev sendt i forbindelse med indrulleringen af klagerens kort i Apple Pay, var formuleret på en sådan måde, at klageren klart og tydeligt fik oplyst, at hun var ved at installere Apple Pay på en enhed, så der fremover kunne ske betalinger fra enheden med hendes betalingskort.

Klageren blev dermed advaret om, at formålet med og konsekvensen af SMS-beskeden var installering af Apple Pay på en enhed med hendes kortoplysninger, så der fremover kunne ske betalinger fra enheden med hendes kort.

Klageren fik desuden oplyst, hvordan hun skulle håndtere engangskoden, at den var personlig og at den ikke måtte udleveres til andre, heller ikke til banken. Engangskoden i SMS-beskeden var desuden placeret så langt nede i teksten, at den ikke umiddelbart kunne læses på en låst skærm.

Klageren var dermed nødt til at åbne beskeden for at tilgå koden og kunne ikke blot indtaste koden uden ved en læsning af teksten i SMS-beskeden forinden at blive gjort bekendt med, at hun ved indtastning af koden oprettede sit kort i Apple Pay.

Klageren blev vejledt om, hvorledes hun skulle forholde sig for at ”begrænse skaden”, hvis hun til trods for advarslen ovenfor alligevel utilsigtet havde videregivet koden og fået indrulleret sit kort i Apple Pay.

Banken har dermed med SMS-beskeden gjort, hvad den kan for at advare klageren om konsekvenserne ved at videregive engangskoden i SMS-beskeden.

Ved at ignorere advarslerne fra banken og videregive engangskoden for Apple Pay og sine kortoplysninger har klageren muliggjort oprettelse af kortet i Apple Pay samt gennemførsel af betalingen. Havde klageren læst SMS-beskeden, inden hun videregav koden, ville hun være blevet opmærksom på, at hun var i færd med at godkende oprettelse af sit kort i Apple Pay på en anden enhed, så der fremover kunne ske betalinger fra enheden med hendes kort. Dermed kunne misbruget have været undgået.

Da klageren undlod at udvise skærpet opmærksomhed i forhold til SMS-beskeden og da hun videregav sine kortoplysninger og engangskoden til Apple Pay til svindleren, har klageren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3. Banken har tidligere godtgjort klageren 302,50 DKK og er dermed ikke forpligtet til at godtgøre klageren yderligere beløb.

Banken har til støtte for den subsidiære frifindelsespåstand blandt andet anført, at klageren hæfter på et aftaleretligt grundlag.

Det fremgik udtrykkeligt af SMS-beskeden fra banken, at koden skulle benyttes til at indrullere klagerens kort i en anden persons Apple Pay, så der kunne ske betalinger fra enheden med klagerens kort. Klageren udleverede frivilligt engangskoden til tredjemand. Klageren er bekendt med, at tredjemand kom i besiddelse af engangskode, da hun selv havde udleveret den til tredjemand. Klageren skulle kontakte banken, hvis hun ikke var i færd med at installere Apple Pay. Klageren spærrede først sit kort den 1. juni 2023 kl. 20:46.  

Klagerens hæftelse på et aftaleretligt grundlag følger også af principperne i Højesterets kendelser i sagerne 82/2018 og 87/2018.

Banken har til støtte for afvisningspåstanden anført, at der er sådan en usikkerhed om det faktisk passerede i sagen, herunder hvilke betalingsoplysninger klageren har fået vist i betalingsflowet, ligesom klageren afviser at have modtaget den i sagen omhandlede SMS-besked fra banken, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men må i givet fald finde sted ved domstolene. Sagen skal dermed afvises, jf. Det finansielle ankenævns vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor hun blandt andet havde et betalingskort -166.

Banken har anført, at banken den 7. maj 2023 sendte en SMS til klagerens telefonnummer -855 indeholdende en engangskode, som skulle anvendes til at indrullere klagerens betalingskort -166, som et virtuelt betalingskort i en Apple Pay-wallet. Af SMS’en fremgik: ”Du er ved at installere Apple Pay på en enhed, så der fremover kan ske betalinger fra enheden med dit kort -166. Installationskoden er personlig og må IKKE udleveres til andre, heller ikke til banken. Koden er [XXX]. Er du ikke i gang med at installere Apple Pay, så kontakt straks Jyske Bank på 89892800”

Banken har anført, at klagerens betalingskort blev indrulleret som et virtuelt beta-lingskort i en Apple Pay-wallet på tredjemands enhed, og at aktiveringen skete ved indtastning af kortoplysningerne for betalingskort -166 og en SMS-kode, som blev sendt i en SMS til klagerens telefonnummer -855 den 7. maj 2023.

Klageren har bestridt, at hun har modtaget eller videresendt SMS’en med engangskoden, og at hun har videregivet engangskoden eller sine betalingsoplysninger til tredjemand.

Den 1. juni 2023 blev en virtuel udgave af klagerens betalingskort anvendt til at foretage en betaling til en udenlandsk betalingsmodtager V på i alt 4.289 AED svarende til 8.302,50 DKK, som klageren ikke kan vedkende sig.

Banken har anført, at tredjemand loggede ind på sin Apple Pay-wallet med sit AppleID ved brug af sin personlige kode eller biometri, og at tredjemand herefter foretog betalingen med klagerens indrullerede betalingskort -166.

Klageren gjorde indsigelse mod den ikke-vedkendte betaling. Den 20. juli 2023 meddelte banken klageren, at hun hæftede med op til 8.000 DKK af den ikke-vedkendte betaling, og at den ville godtgøre klageren 302,50 DKK. 

Det følger af betalingslovens § 128, stk. 1, nr. 3, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stærk kundeautentifikation indebærer efter betalingslovens § 7, nr. 30, at betalingstjenesteudbydere skal forlange, at kunderne bruger minimum to ud af tre mulige sikkerhedselementer; noget kunden ved f.eks. et kodeord, noget kunden besidder, f.eks. en app eller SMS-engangskode modtaget via et SIM-kort, og noget kunden er f.eks. et fingeraftryk. Kortdata er synlige på kortet og dermed ikke hemmelige, og udgør derfor ikke et gyldigt sikkerhedselement.

Ankenævnet lægger, efter det som banken har oplyst, til grund, at tredjemand for at indrullere klagerens betalingskort i sin Apple Pay-wallet anvendte klagerens kortoplysninger og en engangskode, som blev sendt via SMS til et telefonnummer, som banken havde registreret på klageren.

Ankenævnet finder ikke, at der foreligger omstændigheder, der medfører, at klageren hæfter for betalingen på et aftaleretligt grundlag.

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Elizabeth Bonde, der i medfør af Ankenævnets vedtægter § 16 er tillagt to stemmer – udtaler:

Vi finder, at indrullering af et betalingskort i en Apple Pay-wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.

Efter vores opfattelse er kravet til stærk kundeautentifikation kun opfyldt, hvis minimum to sikkerhedselementer vedrører samme kunde.

Ved indrullering af kort i Apple Pay og Google Pay bruges i praksis to forskellige løsninger, henholdsvis indrullering via kortholderens mobilbank og indrullering via wallet-appen. Ved indrullering via kortholderens mobilbank er kravet til stærk kundeautentifikation opfyldt, idet minimum to sikkerhedselementer vedrører samme kunde. Det samme er tilfældet ved indrullering via wallet-appen, hvis indrulleringen er sket med stærk kundeautentifikation, som tilhører kortholderen.

Vi finder det ikke godtgjort, at indrulleringen af klagerens betalingskort -166 i tredjemands Apple Pay-wallet er sket ved stærk kundeautentifikation. Det bemærkes herved, at det forhold, at tredjemand loggede ind via sin enheds AppleID, ikke indebærer, at der er anvendt stærk kundeautentifikation, idet dette element ikke tilhører klageren men tredjemand.

Ifølge betalingslovens § 100, stk. 1 hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Ifølge betalingslovens § 100, stk. 7 hæfter betalingsudbyderen uanset betalingslovens § 100, stk. 3-5, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Det følger herudover af betalingslovens bilag 1, pkt. 5, at udstedelse eller indløsning af betalingsinstrumenter udgør en betalingstjeneste.

Formålet med betalingslovens bestemmelser om krav om stærk kundeautentifikation, herunder § 100, stk. 7, og § 128, stk. 1, er blandt andet at højne sikkerheden og øge forbrugerbeskyttelsen ved at iværksætte foranstaltninger til at beskytte fortroligheden og integriteten af betalingstjenestebrugeres personaliserede sikkerhedsoplysninger og anvendelse af betalingstjenesten.

Selv om der, som anført af mindretallet, er foretaget to processer for at gennemføre misbruget af klagerens betalingskort, nemlig indrulleringen af klagerens kort i tredjemands wallet, og tredjemands brug af wallet-løsningen, finder vi, at de to processer i relation til hæftelsesspørgsmålet må betragtes samlet, hvorfor misbruget kan være omfattet af betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Vi har herved navnlig lagt vægt på den nære sammenhæng mellem de to processer, idet misbruget af klagerens betalingskort er muliggjort ved indrulleringen af dette i tredjemands wallet, og på formålet med betalingslovens § 100.

Da indrulleringen ikke er sket med stærk kundeautentifikation, og da der ikke efter sagens oplysninger er grundlag for at antage, at klageren har handlet svigagtigt, finder vi, at banken hæfter for tredjemands misbrug af klagerens betalingstjeneste, jf. betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.

Et medlem – Nanna Vetter Viberg Nielsen – udtaler:

Selve indrulleringen af klagerens betalingskort -166 i tredjemands Apple Pay-wallet og den efterfølgende betalingstransaktion på 4.289 AED svarende til 8.302,50 DKK den 1. juni 2023 skal anses som to forskellige processer, når det kommer til vurdering af stærk kundeautentifikation, hvilket der skal tages højde for i forbindelse med vurderingen af, hvilken del af betalingslovens § 100 et misbrug skal vurderes efter. Det er således min opfattelse, at § 100, stk. 7 ikke regulerer indrullering af et betalingskort i wallet, men alene regulerer brugen af kortet via wallet.

Betalingslovens § 128 stiller krav til, at udbydere af betalingstjenester skal anvende stærk kundeautentifikation, men regulerer ikke forholdet mellem udbyderen og betaleren.

Forholdet mellem udbyderen og betaleren er derimod udtrykkeligt reguleret i bestemmelsen i betalingslovens § 100, som fastlægger tabsfordelingen mellem betaleren og udbyderen, hvis der er sket uberettiget anvendelse af en betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Efter de foreliggende oplysninger finder jeg det godtgjort, at klageren selv har videregivet den engangskode, der var nødvendig for at installere hendes betalingskort -166 i Apple Pay på tredjemands enhed og som muliggjorde misbrug på betalingskortet. Jeg har herved lagt vægt på oplysningerne fra banken om, at SMS-koden var sendt til klagerens telefon.

Jeg finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i SMS-beskeden om, at hun var ved at installere sit betalingskort -166 i Apple Pay, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Jeg stemmer derfor for, at klageren ikke får medhold i klagen.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Jyske Bank skal inde 30 dage godtgøre klageren 8.000 DKK med valør fra datoen for debiteringen.

Klageren får klagegebyret tilbage.