| Sagsnummer: | 128/2023 |
| Dato: | 06-09-2023 |
| Ankenævn: | Vibeke Rønne, Inge Kramer, Mette Lindekvist Højsgaard, Tina Thygesen og Lisbeth Baastrup Burgaard |
| Klageemne: | Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod hæftelse for ikke vedkendte korttransaktioner til kryptovalutabørs gennemført som betalinger med virtuelt kort. |
| Indklagede: | Lunar Bank A/S |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod hæftelse for ikke vedkendte korttransaktioner til kryptovalutabørs gennemført som betalinger med virtuelt kort.
Sagens omstændigheder
Klageren blev kunde i Lunar Bank den 21. november 2022. Klageren oprettede et virtuelt kort i sin Lunar mobilapp. Af en udskrift fra bankens system fremgår, at kortet blev oprettet den 22. november 2022 kl. 9.07.
Den 22. og den 25. november 2022 blev der foretaget henholdsvis tre betalinger og én betaling med klagerens virtuelle kort til en kryptovalutabørs, C, som klageren ikke kan vedkende sig:
|
Transaktionsdato |
Transaktionsbeløb DKK |
Transaktionsbeløb EUR |
|
22. november 2022 |
5.132,04 |
688,67 |
|
22. november 2022 |
758,58 |
101,79 |
|
22. november 2022 |
769,64 |
103,28 |
|
25. november 2022 |
14.188,46 |
1.903,95 |
|
I alt |
20.848,72 |
2.797,69 |
Banken har oplyst, at transaktionerne blev korrekt registreret, bogført og ikke var ramt af tekniske svigt eller andre fejl.
Banken har fremlagt en udskrift fra sit system, hvoraf fremgår, at transaktionerne blev godkendt med 3D secure.
Banken har endvidere fremlagt udskrifter fra sit system af klagerens Lunar mobilapp, hvoraf det blandt andet fremgår, at der ved brug af pinkode den 21. november 2022 blev foretaget ”successful_password_validation” og ”successful_signin_password_ challenge”, at der i perioden fra den 22. til den 28. november 2022 flere gange blev logget ind på klagerens Lunar mobilapp ved brug af biometrisk godkendelse, at log in i alle tilfælde blev foretaget fra device/enhed -231, og at log in i de fleste tilfælde skete fra IP-adresse -155. Banken har oplyst, at det virtuelle kort skiftede CVC kode hver time, at CVC koden var nødvendig for at gennemføre de omtvistede transaktioner, og at CVC koden alene var synlig i klagerens Lunar mobilbank.
Banken har fremlagt illustration, der viser skærmbilledet, når kunder i Lunar Bank åbner deres Lunar mobilapp. Det fremgår heraf, at saldoen på kontoen samt de seneste transaktioner vises på skærmen.
Banken har fremlagt et kontoudtog, hvoraf det fremgår, at de omtvistede transaktioner blev bogført på klagerens konto henholdsvis den 26. og den 29. november 2022.
I beskeder af 28. november 2022 skrev klageren til banken:
”… Jeg er blevet udsat for svindel …”
”… Pengene er trukket gennem min wallet uden jeg selv har foretaget mig noget, men gennem en hjemmeside. [B].com. Jeg har slettet kortet fra jer i min wallet, jeg opdagede det ved at min anden bank skrev de havde afvist betalinger og lukket mit kort. …”
”… Jeg har forgæves forsøgt at få hjælp ved et eller andet [C], der hvor der står pengene er brugt, der fik jeg bare den besked de ikke kunne hjælpe mig og at de kun kunne se hvor pengene var ført hen. …”
Af en udskrift fra bankens system fremgår, at kortet blev spærret den 29. november 2022 kl. 11.16.
Den 2. december 2022 oplyste klageren til banken:
”Jeg har selv oprettet kontoen og så ville jeg samle min opsparing hos jer. …”
Ved indsigelsesblanket af 8. december 2022 gjorde klageren over for banken indsigelse mod de fire transaktioner. Af indsigelsesblanketten fremgik blandt andet:
”… Tror det starter i starten af sidste måned, hvor en af mine børn sidder med min telefon. Da jeg får den tilbage er den på en eller anden side der hedder [B].com. Jeg har aldrig set siden før, så anede ikke hvad det var, så lukkede den bare ned.
I et stykke tid derefter, syntes jeg, at min telefon opfører sig utroligt mærkeligt. Jeg fik ofte ikke notifikationer om beskeder, mails osv, men havde lige opdateret min telefon, så tænkte det måske var derfor.
I samme periode havde jeg åbnet en konto hos Lunar bank hvor jeg ville sætte min opsparing ind på. For at spare overførsels gebyr, flyttede jeg pengene gennem mobilepay. Og så tænkte jeg ikke videre over at mine penge stod der og var sikre.
Pludselig vælter det så ind med beskeder på min telefon, både fra lunar og en eller anden app/hjemmeside som hedder [C] med nogle overførsler af penge og crypto. Jeg har hverken overflyttet penge eller crypto. Jeg kontakter straks Lunar … De sagde at pengene var blevet trukket gennem google-pay. Jeg har brugt det lidt på mit andet visakort fra [klagerens andet pengeinstitut], men kun lagt det ind fra Lunar, men aldrig brugt det.
Lunar nævnte noget om jeg havde godkendt nogle betalinger, men det har jeg ikke, for anede intet om det. …”
Klageren oplyste endvidere, at hans mobiltelefon var i hans besiddelse på tidspunktet for de ikke-vedkendte transaktioner, at han ikke havde indtastet personlige oplysninger i modtagne mails eller SMS’er med links, at han opdagede misbruget den 28. november 2022, og at han benyttede IP-adresse nr. -118. Klageren anmeldte endvidere sagen til politiet.
Den 19. december 2022 skrev banken til klageren:
”… Vi har lige et par yderligere spørgsmål i sagen:
Du skriver at du flyttede pengene på kontoen gennem Mobilepay, for at undgå overførselsgebyr, men midlerne stammer ikke fra dig selv. Hvordan kan det være?
Vi kan se at der er forsøgt overført til [C] over flere dage fra d.22/11/2022-25/11/222. Hvordan kan det være at du ikke har reageret før d. 28/11/2022?”
Klageren svarede:
”… Jeg sendte pengene fra min egen konto til min søster og datter som så sendte dem videre gennem MobilePay for at slippe for evt gebyr.
Jeg har skrevet til jer tidligere at jeg intet har vidst om disse transaktioner, og har ikke fået hverken besked gennem lunar appen eller mail vedr disse. Først d 28/11 vælter der ind med mails og notifikationer om disse transaktioner og jeg reagerer med det samme de kom. Som om de var været blokeret i at nå frem til mig. Men aner jo ikke hvordan det fungerer eller hvad der er sket med min telefon i den tid.”
Den 24. og 25. januar 2023 skrev klageren til banken:
”Eftersom det var mit virtuelle kort som var blevet misbrugt, er det så muligt at åbne mit fysiske kort …”
”… Det er ikke på det kort der er sket misbrug, men på det virtuelle kort jeg havde som lå i min wallet på telefonen. …”
Den 24. januar 2023 afviste banken indsigelsen:
”Vi har haft din indsigelse på kort: 1699 med samlet beløb: 20.848,72 kr. til behandling og sagen er desværre afvist. Vi kan ikke imødekomme din kortindsigelse, da transaktionerne er sket på baggrund af virtuelle kort, som kun kan oprettes, hvis man er i besiddelse af din telefon og har adgang til din personlige kode (som også kan være touch eller face ID). Et virtuelt kort har bl.a. en dynamisk CCV kode, der skifter hver time, og derfor er det ikke sandsynligt, at kortoplysningerne er blevet offentliggjort eller videregivet utilsigtet og dermed føre til 3. mandsmisbrug.
Derudover er transaktionerne godkendt med 3D-Secure. …”
Klageren fastholdt indsigelsen.
Parternes påstande
Den 14. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal tilbageføre de ikke vedkendte hævninger.
Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning og tertiært hæftelse efter betalingslovens § 100, stk. 4, nr. 1.
Parternes argumenter
Klageren har anført, at hans telefon blev hacket i november 2022. Han har intet med transaktionerne til C at gøre.
Han havde kort før transaktionerne åbnet en konto hos banken og overført sin opsparing. Kort tid efter var hans opsparing forsvundet uden hans viden. Han aner ikke, hvordan det skete. Han forstår slet ikke, at det kan lade sig at gøre at bruge hans kort gennem wallet.
Banken skriver i sit indlæg i klagesagen om en masse teknisk, som han ingen forstand har på.
Han føler sig rigtig godt og grundigt snydt oven på skete, og at banken ikke vedkender sig deres ansvar.
Han forsøgte at kontakte C, men de var ikke villige til at gøre noget som helst.
Han gjorde alt, hvad banken bad ham om med at slette apps, lukke kontoen og nulstille sin telefon, så det ikke ville ske igen.
Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at der ikke er tale om uautoriserede transaktioner omfattet af betalingslovens § 100. Det er ubestridt, at klageren selv bestilte kortet og oprettede sig som kunde.
De omtvistede transaktioner blev godkendt med 3D secure. De omtvistede transaktioner blev foretaget med et virtuelt kort med en dynamisk CVC kode, som skifter en gang i timen og alene er synlig i klagerens Lunar mobilbank én time før transaktionerne. Ingen andre end klageren har logget på klagerens Lunar mobilbank. Der er ikke registreret andre enheder end klagerens telefon i klagerens Lunar mobilapp. Det ville derfor alene være muligt for tredjemand at få adgang til kortoplysningerne, såfremt tredjemand var i besiddelse af klagerens telefon efter, at klageren selv havde logget på Lunar mobilappen med sit biometriske login.
IP-adressen for de omtvistede transaktioner var klagerens IP-adresse.
Der er intet, der tyder på phishing eller anden utilsigtet videregivelse af oplysninger, hvorfor klagerens påstand om mulig hacking ikke stemmer overens med sagens faktiske omstændigheder.
Lunar Bank A/S har til støtte for afvisningspåstanden anført, at sagen alene kan afgøres på baggrund af parts- og vidneforklaringer, jf. Ankenævnets vedtægter § 5, stk. 3. Den påståede svindel er ikke teknisk mulig. Det var alene muligt at få adgang til kortoplysningerne gennem klagerens Lunar mobilbank en time forinden initieringen af transaktionerne. Da der ikke er registreret andre end klageren i klagerens mobilbank, vil en parts- og vidneforklaring være nødvendig for at få fastlagt klagerens mulige involvering.
Lunar Bank A/S har til støtte for den tertiære påstand anført, at betalingslovens § 100, stk. 4, nr. 1, finder anvendelse for den omtvistede transaktion foretaget den 25. november 2022. Klagerens underretningspligt indtrådte efter den 22. november 2022, da klageren blev bekendt med misbruget, men undlod at underrette banken eller spærre det virtuelle kort.
Fra den første påstået uberettigede anvendelse fandt sted, til klageren kontaktede Lunar Bank, gik der seks dage. Fra den 23. november 2022 (dagen efter de tre første omtvistede transaktioner) til og med den 27. november 2022 (dagen inden klageren kontaktede banken) var klageren registreret logget på sin Lunar mobilapp 18 gange, hvoraf de 11 gange var i perioden mellem den 23. og den 25. november 2022 kl. 12.08, hvor den fjerde transaktion blev foretaget til C. Alle login var godkendt med klagerens biometriske data (touch ID eller ansigtsgenkendelse). Når Lunar mobilapp åbnes, er det første, kunderne ser, summen af midler på deres konto samt de senest foretagne transaktioner. Dette ses helt automatisk, uden at kunden skal scrolle, klikke eller foretage nogen anden aktiv handling. Klageren har derfor med sikkerhed set transaktionerne samt de manglende penge fra summen på sin konto i ovennævnte periode og blev dermed bekendt med det påståede misbrug.
Klagerens underretningspligt indtrådte efter transaktionerne til C den 22. november, men før den sidste transaktion til C den 25. november 2022, da klageren 11 gange loggede på sin Lunar mobilapp, hvor nævnte informationer fremgik klart og tydeligt. Det påståede misbrug den 25. november 2022 kunne således være undgået, såfremt klageren havde iagttaget sin underretningspligt. Det fremgår af Ankenævnets praksis, at kravet om underretning "snarest muligt" fortolkes restriktivt. Betaleren skal underrette udbyderen inden for meget kort tid, maksimalt en til halvanden time, jf. f.eks. Ankenævnets afgørelse nr. 293/2013.
Ankenævnets bemærkninger
Det lægges efter det foreliggende til grund, at klageren den 21. november 2022 oprettede sig som kunde i Lunar Bank, og at klageren den 22. november 2022 oprettede et virtuelt kort i sin Lunar mobilapp.
Den 22. og den 25. november 2022 blev der foretaget henholdsvis tre betalinger og én betaling på i alt 20.848,72 DKK med klagerens virtuelle kort til en kryptovalutabørs, C, som klageren ikke kan vedkende sig.
Transaktionerne blev godkendt med sikkerhedsløsningen 3D secure. Banken har oplyst, at klagerens virtuelle kort skiftede CVC kode hver time, at CVC koden var nødvendig for at gennemføre de omtvistede transaktioner, at koden alene er synlig i klagerens Lunar mobilbank, at der er ikke registreret andre enheder end klagerens telefon i klagerens Lunar mobilapp, og at log in i klagerens Lunar mobilbank blev godkendt med klagerens biometri.
Ankenævnet lægger til grund, at transaktionerne er korrekt registrerede og bogførte. Af lov om betalinger § 98 følger, at registrering af brug af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.
Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmis-brug.
Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.