Indsigelse mod transaktioner gennemført som betalinger med virtuelt kort via Apple Pay samt betalinger via MobilePay efter telefonisk henvendelse.

Sagsnummer:238/2022
Dato:21-02-2023
Ankenævn:Henrik Waaben, Inge Kramer, Karin Duerlund, Morten Bruun Pedersen og Poul Erik Jensen
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod transaktioner gennemført som betalinger med virtuelt kort via Apple Pay samt betalinger via MobilePay efter telefonisk henvendelse.
Indklagede:Frøslev-Mollerup Sparekasse
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Sagen vedrører indsigelse mod transaktioner gennemført som betalinger med virtuelt kort via Apple Pay samt betalinger via MobilePay efter telefonisk henvendelse.

Sagens omstændigheder

Klageren var kunde i Frøslev-Mollerup Sparekasse, hvor hun havde et betalingskort.

I perioden fra den 20. til den 21. maj 2022 blev der med klagerens betalingskort foretaget 11 transaktioner på i alt 24.736 kr. Der var syv forskellige betalingsmodtagere af transaktionerne. Endvidere blev der i perioden med klagerens betalingskort foretaget transaktioner via MobilePay til nogle af klageren ukendte betalingsmodtagere.

Om baggrunden for transaktionerne har klageren oplyst, at hun blev kontaktet af en person, der oplyste, at hendes MobilePay var blevet hacket, hvorfor vedkommende skulle bruge nogle oplysninger for at spærre kontoen.

Sparekassen har anført, at klageren til en tredjemand udleverede loginoplysninger (CPR-nummer og kode) til hendes NemID, et nøglenummer fra klagerens NemID-nøglekort samt en engangskode sendt til klagerens telefonnummer. Tredjemand benyttede oplysningerne til at tilføje klagerens betalingskort til Apple Pay på sin telefon, hvorefter tredjemand foretog transaktionerne.

Sparekassen har anført, at det fremgår af klagerens NemID-logbog, at der den 20. maj 2022 kl. 14:00 blev udstedt et nøglenummer fra klagerens NemID-nøglekort. Nøglenummeret blev i forlængelse heraf anvendt kl. 14:01 samme dag, hvorefter der blev givet adgang til brugeren.

Af logbog for klagerens NemID fremgår bl.a.:

 

NemID

Hændelse

Tidspunkt

Kilde

-70

Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering

20-05-2022 14:01:31

-72

-70

Ny hardware automatisk accepteret

20-05-2022 14:01:31

-72

-70

Nøgle til nøglenummer -49 er accepteret

20-05-2022 14:01:31

-72

-70

Nøglenummer -49 udstedt

20-05-2022 14:00:41

-72

-70

Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering

18-05-2022 14:54:38

-82

Sparekassen har anført, at det fremgår af klagerens ”Wallethistorik”, at der den 20. maj 2022 kl. 14:27 blev sendt to engangskoder til klagerens telefonnummer, der slutter på cifrene 96, hvorefter der straks blev aktiveret en token via Apple Wallet.

Af historikken for klagerens kort i wallet fremgår:

Status/hændelse

Dato

Tid

Foretaget af

Token slettet

23.05.2022

11:08:16

x15

Bruger spærret

23.05.2022

09:37:14

x15

Token spærret

23.05.2022

09:37:14

x15

Fysisk kort spærret. Walletkort spærret.

23.05.2022

09:37:13

00 NAVN UKENDT

Token aktiveret.

20.05.2022

14:29:39

x15

Engangskode sendt til: x96

20.05.2022

14:27:47

x51

Engangskode sendt til: x96

20.05.2022

14:27:09

x51

Token deaktiveret

20.05.2022

14:27:03

x15

Grøn - godkendt

20.05.2022

14:26:55

x15

Sparekassen har endvidere oplyst, at det af SMS’erne med engangskoderne fremgik:

”Du er ved at tilføje dit kort til Apple Pay. […] Koden er personlig og må ALDRIG oplyses til nogen. Koden udløber om 30 minutter. Har du ikke anmodet om denne sms, bedes du kontakte banken.”

Sparekassen har oplyst, at den blev kontaktet af klageren telefonisk den 23. maj 2022. Klageren oplyste, at hun var blevet snydt af en person, som havde udgivet sig for at være en IT-supporter eller lignende. Sparekassen og klageren blev enige om at spærre hendes betalingskort og netbank for at forhindre yderligere misbrug af hendes betalingsoplysninger. Der blev herefter bestilt nye betalingskort til klageren.

Sparekassen har endvidere oplyst, at parterne talte sammen den 24. maj 2022, hvor klageren blev oplyst om muligheder for at gøre indsigelse mod transaktionerne. Klageren blev informeret om, at hun skulle gøre indsigelse over for MobilePay via deres hjemmeside, og sparekassen sendte et link til klageren, hvor hun kunne fremsætte indsigelse over for Nets.

Klageren gjorde over for sparekassen indsigelse mod transaktionerne. Af indsigelsesblanketten fremgik:

Beskriv hvad der er sket

Jeg blev kontaktet tlf. af en person, der sagde at min mobilepay var blevet hacket og derfor skulle bruge nogle oplysninger, så kontoen kunne spærres.

Havde du kortet på købstidspunktet?

Ja, og det er kun mig, der har haft adgang til mit kort.

Er der andre personer, der har adgang til dit kort?

Ingen.

Har andre haft adgang til din PIN-kode

Ingen.”

Nets afviste indsigelserne.

Sparekassen tilbageførte 16.736,00 kr. til klagerens konto, svarende til det samlede beløb på 24.736 kr., der var overført via Apple Wallet, fratrukket 8.000 kr.

MobilePay tilbageførte 6.900 kr. til klagerens konto.

Klageren har anmeldt sagen til politiet.

Sparekassen har oplyst, at klageren i juni 2022 rettede henvendelse til sparekassen vedrørende det af sparekassen tilbageførte beløb, og at sparekassen henviste klageren til Ankenævnet.

Af sparekassens ”Brugerregler – Visa/Dankort” af 13. oktober 2021 fremgår:

10. Dit ansvar ved misbrug af dit Visa/Dankort

10.2 Hæftelse og selvrisiko

Du skal dække tab op til 8.000 kr., i tilfælde af at dit Visa/Dankort har været misbrugt af en anden person, og der i den forbindelse er anvendt personlig sikkerhedsforanstaltning, og

  • Du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”

Parternes påstande

Den 18. juni 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Frøslev-Mollerup Sparekasse skal tilbageføre 9.165 kr.

Frøslev-Mollerup Sparekasse har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun ikke er enig i sparekassens afgørelse.

En ukendt gerningsmand hævede penge på hendes Visakort og MobilePay. Det samlede beløb udgjorde 31.701 kr. Hun mangler at få de sidste 9.165 kr., som sparekassen har afvist at tilbageføre.

Det er ikke hende, men hackere, der anmodede om kode til Apple Wallet – hun ved slet ikke, hvad det er. Hackeren må have hacket sig ind i mobilen for at kunne anmode om sådan nogle koder. Hun er en ældre dame og har slet ikke kendskab til disse ting.

Frøslev-Mollerup Sparekasse har anført, at klageren har udvist groft uforsvarlig adfærd, og at betingelserne for anvendelsen af betalingslovens § 100, stk. 4, er opfyldt.

Det fremgår af klagerens fremstilling af sagen, at klageren af sparekassen har fået tilbagebetalt 6.900 kr. på MobilePay samt 16.736 kr. på sit Visakort. Sparekassen har ikke tilbagebetalt beløb fra MobilePay, og transaktioner til og fra MobilePay er et mellemværende mellem MobilePay og klageren. Sparekassen kan således ikke forholde sig til, hvorvidt MobilePay har krævet en selvrisiko for at tilbagebetale de pågældende beløb, der er overført via MobilePay.

Det fremgår af betalingslovens § 100, at udbyderen af betalingstjenesten som udgangspunkt hæfter for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af § 100, stk. 2-5.

Transaktionerne er korrekt registreret og bogført, og var ikke ramt af tekniske svigt eller andre fejl.

Det fremgår af § 100, stk. 4, at klageren hæfter med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis sparekassen kan godtgøre, at betalingstjenestens sikkerhedsforanstaltning har været anvendt, og at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Dette fremgår tillige af sparekassens brugerregler for Visa/Dankort pkt. 10.2, som blev accepteret af klageren ved bestilling af betalingskort.

Af forarbejderne til betalingslovens § 100 (lovforslag nr. L157 fremsat den 15. marts 2017) fremgår, at ”§ 100, stk. 4, omhandler de tilfælde, hvor den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, eksempelvis en pinkode eller en enhed til generering af engangskoder, og betaler samtidig har udvist en adfærd, der har muliggjort den uberettigede anvendelse, uden at yderligere hæftelse følger af stk. 5.” Herudover fremgår ”Hvis der er knyttet en personlig sikkerhedsforanstaltning til en betalingstjeneste, er det af afgørende betydning for at hindre andres uberettigede brug af betalingsinstrumentet, at denne behandles fortroligt og ikke røbes for andre. Den personlige sikkerhedsforanstaltning er således nøglen til benyttelsen af betalingstjenesten. Brugeren må derfor ikke overlade eller oplyse denne sikkerhedsforanstaltning til andre, jf. lovforslagets § 93.”

Helt generelt bemærkes, at det kræver en stærk kundeautentifikation at tilknytte sit betalingskort til Apple Wallet, og det kræver brug af NemID for at knytte sine betalingskort hertil.

Klageren havde telefonisk kontakt med tredjemand, som havde til hensigt at besvige klageren. Tredjemand fik klageren til at videregive klagerens unikke nøglenummer til NemID den 20. maj 2022 klokken 14:00, og nøglenummeret blev accepteret klokken 14:01. Det fremgår af den i sagen fremlagte logbog.

Det fremgår af wallethistorikken, at der blev fremsendt engangskoder til klagerens telefonnummer med henblik på oprettelse af Apple Wallet den 20. maj 2022 kl. 14:27. Det fremgår også af wallethistorikken, at der blev aktiveret et token kl. 14:29 – to minutter efter engangskoderne blev fremsendt til klageren. Klageren havde derfor straks efter modtagelsen af engangskoden videregivet denne til tredjemand, som kunne oprette en Apple Wallet med klagerens betalingsoplysninger. Tredjemand havde herefter adgang til betalingstjenesten. Klageren røbede ”nøglen” til benyttelsen af betalingstjenesten, på trods af at det fremgik af SMS-beskeden, at koden var personlig og aldrig måtte videregives. Dette svarer praktisk set til, at klageren overleverede sit betalingskort til tredjemand samt udleverede pinkoden.

Engangskoderne blev overgivet til tredjemand med henblik på aktivering af Apple Wallet. Besiddelse af klagerens fysiske kort var derfor ikke nødvendig for at foretage betalinger.

Klageren videregav således ad to omgange personlige sikkerhedsforanstaltninger til tredjemand – både loginoplysninger (CPR-nummer og pinkode) og nøglenummeret til NemID og herefter engangskoden til oprettelse af Apple Wallet. Betalingstjenestens sikkerhedsforanstaltninger blev således anvendt af tredjemand.

Ankenævnets bemærkninger

I perioden fra den 20. til den 21. maj 2022 blev der med klagerens betalingskort foretaget 11 transaktioner på i alt 24.736 kr. fra klagerens konto i Frøslev-Mollerup Sparekasse til syv betalingsmodtagere. Endvidere blev der med klagerens betalingskort foretaget transaktioner via MobilePay. Klageren kan ikke vedkende sig transaktionerne.

Baggrunden for transaktionerne var, at klageren var blevet kontaktet telefonisk af en person, der oplyste, at hendes MobilePay var blevet hacket, hvorfor vedkommende skulle bruge nogle oplysninger, så kontoen kunne spærres. I en indsigelsesblanket til sparekassen oplyste klageren, at ingen andre havde haft adgang til hendes betalingskort eller pinkode.

Sparekassen har anført, at klageren til en tredjemand udleverede loginoplysninger (CPR-nummer og kode) til hendes NemID, et nøglenummer til klagerens NemID-nøglekort samt en engangskode sendt til klagerens telefonnummer. Tredjemand benyttede oplysningerne til at tilføje klagerens betalingskort til Apple Pay på sin telefon, hvorefter tredjemand foretog transaktionerne.

Sparekassen tilbageførte 16.736,00 kr. til klagerens konto, og MobilePay tilbageførte 6.900 kr. Transaktionerne fra klagerens konto udgjorde herefter 9.165 kr.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at der mangler oplysninger i sagen om, hvilke af klagerens oplysninger tredjemand kom i besiddelse af og om forholdene omkring tredjemands tilføjelse af klagerens betalingskort til ApplePay på sin telefon og de efterfølgende transaktioner. Ankenævnet finder derfor, at en afklaring af de nærmere omstændigheder forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnet har ikke taget stilling til et eventuelt krav mod MobilePay, der er et norsk selskab og dermed ikke er undergivet Ankenævnets kompetence.   

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.

 

Internationale netværk

Vedtægter

Ankenævnets nævnsmedlemmer

Vejledninger til klageportalen

Behandling af personoplysninger

Kontakt os  

Sekretariatet for det finansielle ankenævn
St. Kongensgade 62, 2. sal
1264 København K

sek@fanke.dk
Tlf. 35 43 63 33
Telefontid kl. 10.00 -12.00

Henvendelse til Sekretariatet skal ske
skriftligt eller telefonisk.