Indsigelse mod transaktioner gennemført som betaling med klagerens MasterCard via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay-wallet ved brug af aktiveringskode sendt til klageren med SMS.
| Sagsnummer: | 310/2023 |
| Dato: | 12-12-2023 |
| Ankenævn: | Henrik Waaben, Christina Bryanth Konge, Karin Duerlund, Jacob Ruben Hansen og Anna Marie Schou Ringive. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod transaktioner gennemført som betaling med klagerens MasterCard via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay-wallet ved brug af aktiveringskode sendt til klageren med SMS. |
| Indklagede: | Lån & Spar Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Sagen vedrører indsigelse mod transaktioner gennemført som betaling med klagerens MasterCard via Apple Pay. Indrullering af et betalingskort i tredjemands Apple Pay-wallet ved brug af aktiveringskode sendt til klageren med SMS.
Sagens omstændigheder
Klageren var kunde i Lån & Spar Bank, hvor han havde en konto med et tilknyttet MasterCard.
Den 24. april 2023 blev der foretaget to transaktioner af hver 506,71 EUR, svarende til i alt 7.666,52 DKK, med klagerens MasterCard tilknyttet en Apple Pay-løsning, som klageren ikke kan vedkende sig.
Om baggrunden for transaktionerne har klageren oplyst, at han om formiddagen den 24. april 2023 bestilte en vare til 70 EUR på en hjemmeside hos firma A, i hvilken forbindelse han indtastede sit kortnummer, udløbsdato og CVC-koden bag på kortet, adresse, e-mailadresse samt telefonnummer. Umiddelbart efter blev det bekræftet på hjemmesiden, at bestillingen var gået igennem. Ved 15-tiden konstaterede han, at han ikke havde modtaget en bekræftelse på bestillingen via e-mail. Da han forsøgte at tilgå hjemmesiden igen, var den forsvundet. Han opdagede i den forbindelse, at han havde modtaget en SMS fra banken, hvori han blev oplyst om en transaktion på 506,71 EUR, og at han kunne få sit betalingskort spærret, hvis han ikke havde foretaget transaktionen. Han ringede straks til banken, men sad i en lang telefonkø. Da han endelig kom igennem til banken, fik han oplyst, at der i mellemtiden var reserveret endnu et beløb på 506,71 EUR til firma B i Luxemburg, og at hans betalingskort derfor var blevet spærret. Han kender ikke firma B. Han bad banken annullere de to reservationer, men fik oplyst, at det ikke kunne lade sig gøre. Efterfølgende opdagede han, at banken allerede kl. 14:00 og kl. 14:01 havde sendt to enslydende SMS’er indeholdende en kode og meddelelse om, at hvis han ikke havde rekvireret koden, skulle han kontakte banken. Han havde også kl. 14:01 modtaget en SMS, hvoraf fremgik, at hans MasterCard var klar til brug i Apple Pay. Der stod intet i SMS’erne om, hvor og til hvad han eventuelt skulle bruge den pågældende SMS-kode. Dagen efter så han, at de to gange 506,71 EUR var blevet trukket af firma B.
Banken har oplyst, at transaktionerne blev korrekt bogført og registreret.
Banken har endvidere oplyst, at transaktionerne blev gennemført ved brug af Apple Pay oprettet på baggrund af de kortoplysninger, som klageren indtastede på firma A’s hjemmeside samt ved brug af aktiveringskoden til Apple Pay sendt via SMS fra banken til klagerens telefonnummer. Banken har oplyst følgende om SMS’erne:
|
Timestamp |
… |
Content |
|
2023-04-24 14:01:58 |
… |
Dit Mastercard kort som slutter med 1799 er nu klar til brug i Apple Pay |
|
2023-04-24 14:01:50 |
… |
Du aktiverer nu dit kort i Apple Pay. Koden må ALDRIG udleveres. Koden er [nummer]. Ring til +045 33782000, hvis du ikke har bestilt koden. |
Banken har oplyst, at der kun blev sendt SMS-kode til klagerens telefonnummer.
Den 25. april 2023 gjorde klageren indsigelse mod de to transaktioner i en tro- og loveerklæring. Det fremgår blandt andet heraf, at klageren ikke var blevet kontaktet og bedt om at bekræfte/oplyse sit betalingskort eller personlige oplysninger.
Den 27. april 2023 afviste banken klagerens indsigelse. Banken henviste blandt andet til, at klageren ikke kunne redegøre for, hvordan en tredjemand havde fået adgang til aktiveringskoden til Apple Pay, og at dokumentationen i sagen talte for, at klageren havde medvirket til oprettelsen af Apple Pay, hvorefter han hæftede med en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4.
Banken har oplyst, at klageren den 1. maj 2023 tilknyttede Apple Pay til sit Visa/Dankort:
|
Timestamp |
… |
Content |
|
2023-05-01 21:53:47 |
… |
Dit Visa kort som slutter med 0068 er nu klar til brug i Apple Pay |
|
2023-05-01 21:53:44 |
… |
Du aktiverer nu dit kort i Apple Pay. Koden må ALDRIG udleveres. Koden er [nummer]. Ring til +045 33782000, hvis du ikke har bestilt koden. |
Parternes påstande
Den 21. maj 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal betale 7.666,52 DKK til ham.
Lån & Spar Bank har nedlagt påstand om principal frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han har været udsat for svindel.
Det er bankens påstand, at han inden for et minut fra kl. 14:00 til 14:01 skulle have modtaget og videregivet SMS-aktiveringskoden, uden at han vidste hvortil eller til hvem. Hvis han havde set SMS’erne og forsøgt at gøre anskrig over for banken, havde han ikke haft en chance for at komme i kontakt med banken, inden hans MasterCard var klar til brug i Apple Pay. SMS’erne dokumenterer, at banken er bekendt med, at en tredjepart kan bestille en kode til brug for Apple Pay. Det viser også, at han umuligt kunne have nået at videregive oplysningerne til en uvedkommende tredjepart, selv hvis han havde set SMS’erne umiddelbart ved modtagelse af dem, og før de uautoriserede træk skete.
Hvorfor skulle han bede om en kode til aktivering af sit MasterCard i Apple Pay, når betalingskortet allerede var tilknyttet og fuldt funktionsdygtigt i dette betalingssystem? Og hvordan skulle han kunne have udleveret koden til en bedrager, han ikke kendte?
Han finder det urimeligt, at han forventes at kunne forklare, hvordan en kriminel tredjemand har skaffet sig adgang til Apple Pay via hans kortoplysninger og telefonnummer. Han har lang erfaring med køb på internettet, og han har aldrig tidligere har været udsat for uautoriseret træk fra sine konti, men han er ikke IT-ekspert. Hvordan svindlerne var i stand til at skaffe sig adgang, er han ikke i stand til at udrede. Han ved med absolut sikkerhed, at hverken hans kone eller han selv rekvirerede eller videregav koden til svindlere.
Sagsforløbet tyder på to alvorlige sikkerhedsbrister hos banken. For det første, at det på grundlag af ganske almindelige kortoplysninger ved køb på internettet er muligt for kriminelle at franarre banken oplysninger til brug ved uautoriserede træk via Apple Pay. Det skal understreges, at banken ikke har sandsynliggjort eller dokumenteret, at dette ikke kan lade sig gøre. Tværtimod taler ordlyden i de omtalte SMS’er for, at banken ved, at det kan lade sig gøre for svindlere at bestille koden. For det andet er det angiveligt ikke muligt for banken at standse reservationer med henblik på uautoriserede træk, straks når disse bliver opdaget af banken og/eller kortholderen. Disse brister bør lukkes. Inden det sker, er det urimeligt, at en ganske almindelig bankkunde skal bøde for disse brister. Det ansvar påhviler banken. Det er følgelig hans krav, at banken dækker hans tab og indsætter et beløb på hans konto, der svarer til de to uautoriserede træk.
Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren afgav sine betalingsoplysninger til en svindler via phishing.
Klageren burde have undersøgt firma A’s hjemmeside grundigere på Trustpilot, Google m.m. inden afgivelse af sine oplysninger. Klageren udviste grov uagtsomhed ved ikke at undersøge forholdet nærmere.
Klageren har erkendt, at han modtog SMS-koden. SMS-koden er en personlig sikkerhedsforanstaltning.
Indsigelsesafdelingen sluttede sagen, da det med stor sandsynlighed var klageren selv, der på en eller anden måde videregav/fik afluret SMS-koden til oprettelsen af Apple Pay. Det kan i hvert fald lægges til grund, at Apple Pay blev oprettet med indtastning af SMS-koden, der utvivlsomt blev sendt til og modtaget af klageren.
Klageren har ved at indtaste, og herved videregive, sine betalingsoplysninger og SMS-koden, ved groft uforsvarlig adfærd muliggjort transaktionerne, jf. betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 DKK af tabet som følge af transaktionerne.
Til støtte for afvisningspåstanden har banken anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Den 24. april 2023 blev klagerens MasterCard anvendt via Apple Pay til at foretage to transaktioner på hver 507,71 EUR, svarende til i alt 7.666,52 DKK til en betalingsmodtager i udlandet. Klageren kan ikke vedkende sig transaktionerne.
Baggrunden for transaktionerne var, at klageren indtastede sine kortoplysninger, herunder CVC-koden, på en hjemmeside, hvorfra han troede, at han var ved at bestille en vare. I tidsmæssig forbindelse hermed blev klagerens MasterCard tilknyttet Apple Pay ved brug af aktiveringskoder sendt med SMS til klagerens telefonnummer, hvorefter transaktionerne blev gennemført.
Banken har anført, at klageren udleverede sine kortoplysninger samt aktiveringskoden til Apple Pay til en tredjemand, som benyttede oplysningerne til at tilføje klagerens betalingskort til Apple Pay og herefter foretog transaktionerne.
Klageren har bestridt, at han udleverede SMS-aktiveringskoden til Apple Pay.
Der foreligger modstridende oplysninger om, hvilke oplysninger klageren videregav til tredjemand. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder omkring tredjemands tilføjelse af klagerens betalingskort til ApplePay forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.