Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay-Wallet. Indrullering af et betalingskort i tredjemands Google Pay-Wallet.
| Sagsnummer: | 647/2025 |
| Dato: | 27-05-2026 |
| Ankenævn: | Bo Østergaard, Bjarke Levinsky Svejstrup, Janni Visted Hansen, Rolf Høymann Olsen og Poul Erik Jensen. |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay-Wallet. Indrullering af et betalingskort i tredjemands Google Pay-Wallet. |
| Indklagede: | Lunar Bank A/S |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktioner gennemført som betalinger med et virtuelt kort via Google Pay-Wallet. Indrullering af et betalingskort i tredjemands Google Pay-Wallet.
Sagens omstændigheder
Klageren var kunde hos Lunar Bank, hvor han havde en konto -525 med et tilknyttet virtuelt Visa Debit -440 i sin Lunar Bank-app.
Banken har oplyst, at klagerens betalingskort -440 den 28. august 2025 blev indrulleret i en ny Wallet (en Google Pay-Wallet) uden for Lunar Bank-appen. Banken har anført, at dette skete ved brug af klagerens kortoplysninger, herunder kortnummer, udløbsdato og CVC-kode samt en engangskode, der blev sendt i en SMS til klagerens telefonnummer.
Banken har endvidere oplyst, at den ikke kan tilgå de specifikke SMS-data. Der vil dog altid blive sendt en SMS-kode til det nummer, som fremgår i ens bank-app, og som skal bruges hver gang, et kort forsøges tilføjet manuelt til en ny Wallet. Banken har fremlagt et eksempel på indholdet af SMS’en med engangskoden:
”Din aktiveringskode er [xxx]. Hvis kortet ikke automatisk er aktiveret i wallet-appen kan du aktivere det ved at:
1) Åbne Wallet-appen på din telefon
2) Vælge dit kort
3) Vælge ’Skift kode’
4) Indsætte aktiveringskode.
Koden udløber om 30 minutter. Hvis du har problemer, skal du kontakte support på [XXX]. …”
Klageren har bestridt, at han modtog en SMS med en aktiveringskode.
Banken har oplyst, at aktiveringen medførte en automatisk sikkerhedsforespørgsel til banken, hvorefter klagerens betalingskort blev spærret (frosset/frozen) i Lunar Bank-appen den 28. august 2025 kl. 19:06. Der blev herefter sendt en notifikation til klageren i Lunar Bank-appen. Banken har fremlagt et eksempel på indholdet af notifikationen i Lunar Bank-appen:
”Dit kort er blevet tilføjet til en ny Wallet
For en sikkerheds skyld har vi låst det. Lås det op i appen for at begynde at bruge kor…
(Åben)”
Klageren har bestridt, at han modtog en notifikation om spærringen i Lunar Bank-appen.
Den 29. august 2025 kl. 19:54 genaktiverede klageren sit kort i Lunar Bank-appen.
Banken har fremlagt en oversigt over loginoplysninger på klagerens Lunar Bank-app for perioden fra 28. august 2025 til 29. september 2025. Banken har oplyst, at de angivne tidsstempler i oversigten er angivet i tidszonen UTC, og at der skal lægges to timer til de anførte tidspunkter, da hændelserne fandt sted under dansk sommertid (UTC+2). Af oversigten fremgår, at der ikke havde været logget ind på klagerens Lunar Bank-app fra en uautoriseret enhed i perioden. Det fremgår endvidere, at klageren var logget ind på sin konto den 28. august 2025 kl. 17:02 (19:02 dansk tid) og den 29. august 2025 kl. 17:50 (19:50 dansk tid).
Banken har oplyst, at tilføjelse af et Lunar-betalingskort til en Wallet kræver stærk kundeautentifikation, enten via 1) Lunar Bank-appen, hvor kortholder logger ind i sin Lunar Bank-app ved brug af MitID, biometrisk login eller en personlig firecifret adgangskode. Under kortoversigten kan kortholder tilføje det specifikke kort til enhedens Wallet, eller 2) via enhedens Wallet-app, hvor kortholder manuelt indtaster kortoplysningerne i appen, hvorved der sendes en engangskode via SMS til det telefonnummer, der er registreret på kundens profil i banken. Denne SMS-kode skal indtastes i Wallet-appen for at bekræfte og fuldføre tilknytningen af kortet. Dette udløser en automatisk sikkerhedsforespørgsel til banken, hvorved betalingskortet bliver frosset i appen. En notifikation om tilføjelsen af kortet til en ny Wallet vil figurere i kortholders Lunar Bank-app. Kortholderen skal efterfølgende genåbne betalingskortet i Lunar Bank-appen, inden det kan bruges i den nye Wallet.
Banken har endvidere oplyst, at da der ikke var logget på klagerens Lunar Bank-app fra en uautoriseret enhed i perioden op til eller under de bestridte transaktioner, er det metoden via enhedens Wallet-app, der blev anvendt ved tilføjelsen af klagerens kort til tredjemands Google Pay-Wallet. Dette indebærer, at tredjemand har haft adgang til klagerens kortoplysninger og efterfølgende har fået delt den SMS-engangskode, der blev sendt til klagerens telefonnummer.
Den 12. september 2025 i tidsrummet mellem kl. 14:07 og 21:11 blev den virtuelle udgave af klagerens betalingskort -440 i en Google Pay-Wallet anvendt til at foretage 14 betalinger til flere betalingsmodtagere på i alt 11.290,65 kr., som klageren ikke kan vedkende sig.
Klageren har oplyst, at han ikke modtog klar information fra banken om, hvorfor hans kort blev spærret den 28. august 2025. Han foretog ikke de ikke-vedkendte transaktioner, og han videregav ikke sine kortoplysninger, pinkode eller øvrige sikkerhedsoplysninger til tredjemand. Han godkendte heller ikke, at hans kort blev tilføjet en anden Wallet.
Banken har oplyst, at kortbetalingerne er korrekt registrerede og bogførte og ikke ramt af tekniske svigt eller andre fejl.
Den 13. september 2025 gjorde klageren indsigelse til banken mod de ikke-vedkendte transaktioner og fik sit kort spærret.
Den 15. september 2025 stillede banken klageren en række opfølgende spørgsmål til hans indsigelse. Den 22. september 2025 sendte klageren en udfyldt tro- og loveerklæring til banken og besvarede de opfølgende spørgsmål. Klageren skrev blandt andet, at han ikke havde modtaget en e-mail, der bad ham afgive sine kortoplysninger, og at der ikke var andre, der havde kendskab til hans kortoplysninger eller adgang til hans mobiltelefon.
Den 10. oktober 2025 godtgjorde banken klagerens tab med fradrag af en selvrisiko på 8.000 kr., hvorfor banken tilbageførte 3.290,65 kr. til klagerens konto.
Samme dag klagede klageren over bankens afgørelse.
I perioden 13. til 17. oktober 2025 korresponderede klageren og banken, og den 22. oktober 2025 fastholdt banken sin afgørelse om, at klageren selv hæftede for 8.000 kr.
Parternes påstande
Den 14. december 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal tilbageføre 8.000 kr. til ham.
Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at han ikke har handlet groft uagtsomt, og at han derfor ikke ifalder en selvrisiko på 8.000 kr. Han har ikke foretaget de omtvistede betalinger og har ikke videregivet sine kortoplysninger, pinkode eller øvrige sikkerhedsoplysninger til tredjemand. Han har heller ikke godkendt, at hans betalingskort blev tilføjet en anden Wallet.
Bankens spærring af hans kort skete, uden at han modtog klar information om årsagen hertil eller om, at kortet var blevet tilføjet en anden Wallet. Først efterfølgende blev han bekendt med, at der havde fundet uautoriserede transaktioner sted.
Banken baserer sin afgørelse på en antagelse om, at han modtog og videregav en SMS-aktiveringskode i forbindelse med tilføjelse af hans kort til en Wallet. Han modtog aldrig en sådan SMS. Banken har selv oplyst, at banken ikke kan dokumentere, om den konkrete SMS blev sendt eller modtaget på hans telefon, men anfører alene, at en sådan SMS “altid sendes”. Dette er efter hans opfattelse ikke tilstrækkeligt til at løfte bevisbyrden for, at han modtog eller videregav en aktiveringskode.
Banken har alene dokumenteret, at der blev sendt en SMS til hans registrerede telefonnummer. Dette dokumenterer imidlertid ikke, at han modtog, læste eller anvendte den pågældende kode. Det dokumenterer heller ikke, at det var ham, der godkendte tilføjelsen af kortet til en Wallet.
Han modtog heller ikke en notifikation i Lunar Bank-appen om, at hans kort var blevet tilføjet en ny Wallet. Banken har ikke dokumenteret, at en sådan notifikation faktisk blev leveret til hans enhed.
Han genåbnede kortet den 29. august 2025, men det kan ikke anses som groft uforsvarlig adfærd. På tidspunktet for genåbningen var han ikke bekendt med misbruget, havde ikke modtaget nogen advarsel om svindel og havde ingen information om årsagen til spærringen. Han havde på tidspunktet for genåbningen af kortet ingen indikation på, at hans sikkerhedsoplysninger var blevet kompromitteret, og han genåbnede kortet i den tro, at der var tale om en teknisk fejl. De uautoriserede transaktioner fandt først sted den 12. september 2025.
Banken har på denne baggrund vurderet, at han har handlet groft uagtsomt. Banken har imidlertid ikke dokumenteret, hvilke konkrete handlinger eller undladelser denne vurdering bygger på.
Han har i dialogen med banken anmodet om dokumentation for, hvornår og hvordan kortet blev tilføjet en anden Wallet, herunder hvilken form for sikkerhedsgodkendelse der i givet fald blev anvendt. Han har ikke modtaget dokumentation, der afklarer dette. Banken henviser til sine systemlogninger, men disse dokumenterer alene, at der blev forsøgt på at tilføje kortet til en Wallet. Logningerne dokumenterer ikke, at det var ham, der foretog handlingen, eller at han videregav sine kortoplysninger eller en SMS-kode.
På den baggrund er betingelserne for at statuere grov uagtsomhed efter betalingsloven ikke opfyldt. Efter betalingslovens § 100 påhviler det banken at godtgøre, at betingelserne for hæftelse ud over selvrisikoen på 8.000 kr. er opfyldt. Der foreligger ikke dokumentation for, at han bevidst eller ved grov tilsidesættelse af sikkerhedsregler har muliggjort misbruget. Hæftelse kan derfor alene ske efter reglerne om almindelig selvrisiko ved betalingskortmisbrug.
Lunar Bank A/S har til støtte for frifindelsespåstanden blandt andet anført, at klageren hæfter for selvrisikoen på 8.000 kr., idet misbruget blev muliggjort af klagerens groft uforsvarlige adfærd, jf. betalingslovens § 100, stk. 4, nr. 3. Klagerens adfærd afviger væsentligt fra, hvad der med rimelighed kan forventes af en almindeligt forsigtig bruger af betalingstjenester.
For at tredjemand har kunnet tilføje klagerens kort til en fremmed Wallet, har det været en forudsætning, at klageren har udleveret sine fulde kortoplysninger, herunder kortnummer, udløbsdato, CVC-kode samt den engangskode, som blev sendt via SMS til klagerens registrerede telefonnummer. Dette er den eneste tekniske mulighed, da der ikke er konstateret uautoriseret adgang til klagerens Lunar Bank-app. Derimod var klageren selv logget ind på sin Lunar Bank-app umiddelbart inden kortet blev frosset og på tidspunktet for genaktiveringen af kortet.
Det må desuden lægges til grund, at klageren aktivt har tilsidesat bankens sikkerhedsforanstaltninger. Efter tilføjelsen af kortet til en ny Wallet blev kortet automatisk frosset, og klageren modtog samtidig en tydelig notifikation i Lunar Bank-appen om, at kortet var blevet låst, da det var blevet tilføjet en ny Wallet. På trods af denne advarsel har klageren alligevel genåbnet kortet, hvilket muliggjorde de ikke-vedkendte transaktioner.
Bankens systemlogninger dokumenterer utvetydigt, at klagerens kort blev frosset som en direkte konsekvens af, at det blev forsøgt tilføjet til en ny Wallet via SMS-kode. Loggen viser ligeledes, at kortet efterfølgende blev genåbnet fra klagerens egen Lunar Bank-app, hvortil der ikke er registreret uautoriseret adgang.
Det samlede forløb viser, at klageren har handlet groft uforsvarligt ved både at videregive fortrolige oplysninger og bevidst ophæve de sikkerhedsforanstaltninger, der skulle beskytte ham mod misbrug. Betingelserne i betalingslovens § 100, stk. 4, nr. 3, er dermed opfyldt, og klageren hæfter for selvrisikoen på 8.000 kr.
Denne kombination af handlinger udgør en væsentlig tilsidesættelse af almindelig forsigtighed og kvalificeres derfor som groft uagtsom adfærd i henhold til betalingslovens § 100, stk. 4, nr. 3.
Lunar Bank har til støtte for afvisningspåstanden anført, at sagen alene bør afgøres på baggrund af yderligere bevisførelse i form af parts- og vidneforklaringer.
Bevisførelsen er nødvendig for at fastlægge sagens faktiske omstændigheder, hvilket har betydning for hæftelsesspørgsmålet.
Sådan bevisførelse kan ikke finde sted i Ankenævnet, men alene ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Lunar Bank, hvor han havde en konto med et tilknyttet virtuelt Visa Debit -440 i sin Lunar Bank-app.
Banken har oplyst, at der den 28. august 2025 blev aktiveret et virtuelt betalingskort via en Google Pay-Wallet. Banken har anført, at dette skete ved brug af klagerens kortoplysninger, herunder kortnummer, udløbsdato og CVC-kode samt en engangskode, der blev sendt i en SMS til klagerens telefonnummer.
Klageren har bestridt, at han modtog en SMS med en aktiveringskode.
Banken har oplyst, at aktiveringen medførte en automatisk sikkerhedsforespørgsel til banken, hvorefter klagerens betalingskort blev spærret/frosset i Lunar Bank-appen den 28. august 2025 kl. 19:06. Der blev herefter sendt en notifikation til klageren i Lunar Bank-appen om, at hans kort var blevet spærret i forbindelse med tilføjelsen af det til en Wallet.
Klageren har bestridt, at han modtog en notifikation om spærringen i Lunar Bank-appen.
Den 29. august 2025 genaktiverede klageren sit kort i Lunar Bank-appen.
Den 12. september 2025 blev en virtuel udgave af klagerens betalingskort -440 i en Google Pay-Wallet anvendt til at foretage 14 betalinger til flere betalingsmodtager på i alt 11.290,65 kr., som klageren ikke kan vedkende sig.
Klageren gjorde indsigelse mod betalingerne. Banken godtgjorde klagerens tab med fradrag af en selvrisiko på 8.000 kr., hvorfor banken tilbageførte 3.290,65 kr. til klagerens konto.
Klageren har anført, at han ikke foretog de ikke-vedkendte transaktioner, at han ikke videregav sine kortoplysninger, pinkode eller øvrige sikkerhedsoplysninger til tredjemand, og at han ikke godkendte, at hans kort blev tilføjet en anden Wallet.
Ankenævnet finder, at indrullering af et betalingskort i en Google Pay-Wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3.
Ved indrullering af betalingskortet via Google Pay-Wallet-appen er kravet til stærk kundeautentifikation opfyldt, når minimum to sikkerhedselementer vedrører samme kunde er anvendt.
Ankenævnet lægger som anført af banken til grund, at indrulleringen er sket ved brug af klagerens kortoplysninger, en engangskode, som blev sendt til klagerens telefonnummer (besiddelse) og ved klagerens efterfølgende fjernelse af en automatisk etableret spærring på betalingskortet ved login med password i sin Lunar Bank-app (viden). Ankenævnet finder det godtgjort, at indrulleringen af klagerens betalingskort -440 i tredjemands Google Pay-Wallet er sket ved stærk kundeautentifikation, da videns- og besiddelseselementet er opfyldt.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Klageren har bestridt at have udleveret sine betalingskortoplysninger, og at han har godkendt indrulleringen af sit betalingskort i Google Pay-Wallet på tredjemands enhed. Ankenævnet finder på baggrund heraf, at en afklaring af de nærmere omstændigheder omkring tredjemands indrullering af klagerens betalingskort i en Google Pay-Wallet på tredjemands telefon forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.