Spørgsmål om hæftelse for ikke vedkendte korttransaktioner på natklub i Polen gennemført som betalinger med virtuelle kort via Apple Pay. Telefon ikke bortkommet.

Sagsnummer:53/2020
Dato:30-09-2020
Ankenævn: Vibeke Rønne, Andreas Moll Årsnes, Morten Bruun Pedersen og Søren Geckler
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Spørgsmål om hæftelse for ikke vedkendte korttransaktioner på natklub i Polen gennemført som betalinger med virtuelle kort via Apple Pay. Telefon ikke bortkommet.
Indklagede:Nordea Danmark
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører spørgsmål om hæftelse for ikke vedkendte korttransaktioner på en natklub i Polen gennemført som betalinger med virtuelle kort via Apple Pay. Telefon ikke bortkommet.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet Visa/dankort -059 og en konto med et tilknyttet MasterCard -310.

Klageren har oplyst, at han har Apple Pay installeret på sin telefon, og at han benytter Apple Pay.

Banken har fremlagt såkaldte ”tokenport-oplysninger” for klagerens Visa/dankort -059 og MasterCard -310 og har oplyst, at oplysningerne viser, at begge kort har været tilknyttet Apple Pay. Det angivne ”secure element ID” er ens for begge tokenports, hvilket betyder, at kortene var tilknyttet samme telefon - klagerens telefon, der var en iPhone X.

I januar 2020 var klageren i Warszawa i Polen. Inden sin rejse til Polen gennemførte klageren den 7. januar 2020 kl. 07:03 i Kastrup en betaling på 91,50 DKK ved brug af sit virtuelle Visa/dankort tilknyttet Apple Pay.

Banken har fra Nets indhentet en transaktionsliste, og det fremgår heraf, at der blev foretaget følgende transaktioner i Polen med klagerens virtuelle kort tilknyttet Apple Pay fra den 7. januar 2020 kl. 17:22 til den 8. januar 2020 kl. 04:27:

 

Dato og tid

Kort

Forretning

Transaktionsbeløb

Transaktionsbeløb DKK

Status

Autorisation

07-01-2020 kl. 17:22

-310

A

64,00 PLN

113,66 DKK

Gennemført

Virtual cardno. -698

07-01-2020 kl. 17:51

-310

A

69,00 PLN

122,54 DKK

Gennemført

Virtual cardno. -698

07-01-2020 kl. 21:34

-310

A

83,00 PLN

147,40 DKK

Gennemført

Virtual cardno. -698

07-01-2020 kl. 22:39

-310

B

54,00 PLN

95,90 DKK

Gennemført

Virtual cardno. -698

07-01-2020 kl. 23:26

-310

B

209,00 PLN

371,17 DKK

Gennemført

Virtual cardno. -698

07-01-2020 kl. 23:55

-310

B

3.891,00 PLN

6.910,15 DKK

Gennemført

Virtual cardno. -698

08-01-2020 kl. 00:28

-310

B

6.289,00 PLN

11.168,84 DKK

Gennemført

Virtual cardno. -698

08-01-2020 kl. 00:57

-310

B

11.051,00 PLN

19.625,83 DKK

Gennemført

Virtual cardno. -698

08-01-2020 kl. 01:42

-310

B

40.055,00 PLN

70.896,93 DKK

Gennemført

Virtual cardno. -698

08-01-2020 kl. 02:42

-310

B

80.090,00 PLN

141.044,88 DKK

Afvist - Mangende dækning

Virtual cardno.

08-01-2020 kl. 02:45

-310

B

39.785,00 PLN

70.064,56 DKK

Afvist – Manglende dækning

Virtual cardno.

08-01-2020 kl. 02:57

-059

B

80.090,00 PLN

142.337,96 DKK

Afvist – over max. beløb

Virtual cardno.

08-01-2020 kl. 03:02

-059

B

40.055,00 PLN

71.186,75 DKK

Afvist – over max. Beløb

Virtual cardno.

08-01-2020 kl. 03:04

-310

B

21.128,00 PLN

37.208,09 DKK

Afvist – Manglende dækning

Virtual cardno.

08-01-2020 kl. 03:26

-059

B

11.051,00 PLN

19.582,03 DKK

Gennemført

Virtual cardno. -269

08-01-2020 kl. 03:43

-310

B

15.463,00 PLN

27.371,55 DKK

Gennemført

Virtual cardno. 698

08-01-2020 kl. 04:27

-310

B

2.594,00 PLN

4.568,24 DKK

Afvist – Manglende dækning

Virtual cardno.

Banken har oplyst, at det i bankens systemer er registreret, at det er klagerens telefon, der har været brugt til at gennemføre transaktionerne. Endvidere er de gennemførte transaktioner korrekt registret og bogført og har ikke været ramt af tekniske svigt eller andre fejl.

Ved indsigelsesblanketter af 11. januar 2020 gjorde klageren over for banken indsigelse mod de otte gennemførte transaktioner til B markeret med fed skrift i oversigten ovenfor og anførte, at han hverken havde deltaget i eller godkendt transaktionerne. Transaktionerne var blevet trukket på hans konti med i alt 158.362,73 DKK. Han oplyste, at han brugte Visa/dankort -059 sidste gang den 7. januar 2020 kl. 07:00 i Københavns Lufthavn, og at han brugte MasterCard -310 sidste gang den 8. januar 2020 kl. 18:30 hos SAS. Han spærrede Visa/dankort -059 den 8. januar 2020 kl. 09:00 og MasterCard -310 den 9. januar 2020 kl. 06:30. Klageren oplyste endvidere, at en bartender på en bar, A, som han havde besøgt i Polen, havde haft adgang til hans kort. På indsigelsesblanketterne anførte klageren blandt andet:

”Der er foretaget og forsøgt foretaget en del større og mindre transaktioner i polske zloty til [B], som jeg intet kendskab har til.

Dette er også sket på mit Visakort. Jeg var på en bar i Warszawa (A), hvor bartenderen påstod, at mit Visakort ikke virkede, hvorfor jeg brugte mit Mastercard i stedet for. Der er gennemført køb på mit Mastercard, som jeg kan stå inde for til [A], men jeg frygter, at bartenderen har affotograferet eller på anden vis afkodet begge mine kort og derefter misbrugt det.”

Klageren har i øvrigt oplyst, at hans telefon ikke var bortkommet. Han var i besiddelse af sin telefon, da han forlod A. Han var ligeledes i besiddelse af sin telefon i tidsrummet fra den 7. januar 2020 kl. 22:39 til den 8. januar 2020 kl. 04:27.

Ved to enslydende mails af 14. januar 2020 til klageren vedrørende henholdsvis indsigelsen vedrørende Visa/dankort -059 og MasterCard -310 afviste banken at tilbageføre de ikke vedkendte hævninger og anførte blandt andet:

”Vi har desværre ikke mulighed for at hjælpe. Betalingerne er gennemført med Apple Pay fra et IOS device med navnet [Klagerens iPhone X] med telefonnummer […]. Godkendelse af betalingerne er sket med FaceID eller Touch ID, hvilket må betyde, at betalingerne er foretaget af dig selv. Vi kan se, at du tidligere har anvendt Apple Pay fra samme telefon og kort.

Når betalingerne er godkendt ved brug af biometriske data som Face ID eller Touch ID har vi ikke mulighed for at trække betalingerne tilbage fra forretningen.

Vi afviser derfor sagen.”

Den 8. februar 2020 indbragte klageren sagen for Ankenævnet.

Under sagens forberedelse i Ankenævnet har banken oplyst, at Apple Pay er en betalingsløsning udviklet af Apple Inc., hvor kortholderen kan knytte sine betalingskort til en digital wallet – en app udviklet af Apple Inc. - på sin Apple-enhed, fx Apple iPhone, Apple iPad eller Apple Watch og foretage betalinger kontaktløst hos betalingsmodtagere uden at bruge sit fysiske kort.

Det kræver stærk kundeautentifikation at tilknytte sine betalingskort til Apple Pay, hvis man er kunde i Nordea Danmark. Banken kræver brug af NemID for at knytte Nordea-betalingskort til Apple Pay.

Tilknytning af kort til Apple Pay skal enten ske med Nordea Mobilbank eller Nordea Wallet. Kortet skal være ”synligt” i kortholders Mobilbank eller Wallet i banken – en tredjemands Mobilbank eller Wallet kan således ikke anvendes til aktivering af kortholderens kort i Apple Pay.

På denne måde bliver betalingskortet bundet til kortholderens iPhone og digitale wallet – såkaldt ”device-binding” – hvorved kortoplysningerne alene kan benyttes fra den fysiske iPhone via Apple Pay.

Efterfølgende godkendelse af betaling med Apple Pay sker - som hovedregel - ved brug af biometri (enten aflæsning af fingeraftryk eller ansigts-genkendelse) eller undtagelsesvist ved indtastning af kundens personlige, hemmelige kode (telefonens lås-op-kode) – alt afhængig af hvilken iPhone-model, der benyttes.

Af bankens Regler for dankort og Visa/dankort gældende fra 1. januar 2019 fremgik blandt andet:

” 3.6 Registrering af kortdata hos en forretning eller en udbyder af en digital wallet

Du har mulighed for at registrere dine kortdata hos den enkelte forretning eller hos en udbyder af en digital wallet, så du ikke behøver at indtaste dine kortdata, når du godkender fremtidige køb hos en forretning eller på internettet. Du skal følge anvisningerne fra forretningen eller udbyderen af den digitale wallet.

Du kan registrere dine kortdata i Nordea Wallet på din Android- og/eller iOS-mobiltelefon. Læs mere om hvordan du bruger Nordea Wallet på din mobiltelefon på nordea.dk/wallet.

Du kan se hvilke udbydere af digitale wallets, der er godkendt, og som du kan tilmelde Dankort-delen af dit Visa/Dankort til på http://dankort.dk/Pages/Dankort-i-apps.aspx.”

En næsten tilsvarende bestemmelse fandtes i punkt 3.7 i Regler for Nordeas kreditkort.

Da klageren knyttede sit Visa/dankort -059 og sit MasterCard -310 til Apple Pay, accepterede han herudover Regler for brug af Nordeas betalingskort i digitale wallets. Heraf fremgår blandt andet:

1. Generelt

Disse regler udgør et tillæg til de regler, der er gældende for det kort, du vil aktivere. Såfremt der er uoverensstemmelse mellem disse regler og kortreglerne, er kortreglerne gældende. De gældende regler finder du på www.nordea.dk.

4.1 Godkendelse af betalingstransaktion

Betaleren er dig, som har den digitale wallet, og betalingsmodtageren er forretningen.

Du vælger selv det kort, der skal anvendes i den digitale wallet. Betalingstransaktioner gennemføres ved, at du holder den mobile enhed op til betalingsterminalens læser. Godkendelse af betalingstransaktionen sker biometrisk – eller alternativt med pinkode – for den digitale wallet for kontaktløs betalinger. Alle betalingstransaktioner bliver trukket på det kort, som du har valgt i den digitale wallet for det pågældende køb.

For betalinger gælder de beløbsgrænser og regler, der er fastsat i kortreglerne.

4.2 Ansvar for uautoriserede transaktioner

Ved uautoriserede transaktioner i en digital wallet er bankens ansvar for misbrug underlagt reglerne for det valgte kort. En digital wallet benytter biometri eller en pinkode.

5. Regler og ansvar for brug

Ud over kortreglerne gælder det, at en digital wallet - som er tilgæn- gelig på din mobile enhed – er personlig og ikke må overdrages til eller anvendes af andre. En digital wallet skal håndteres på betryggende vis ligesom fx kontanter og fysiske kort.

Du skal sikre tilstrækkelig kontrol med og opsyn med den mobile enhed, hvor den digitale wallet er installeret, for at forhindre uautoriseret brug. Du skal ligeledes træffe alle rimelige foranstaltninger for at sikre den mobile enhed, hvor den digitale wallet er installeret.

6. Tab af den mobile enhed m.m.

Mister du din mobile enhed, har du mistanke om, at andre har fået kendskab til din kode til en digital wallet, eller har du mistanke om, at andre uretmæssigt bruger den mobile enhed, skal du straks spærre dit kort. Banken spærrer det tokeniserede kort, når den har modtaget din anmodning om spærring. Selvom det tokeniserede kort spærres, ændres funktionen på det fysiske kort ikke, og det fysiske kort er fortsat aktivt. Opsiges aftalen, eller spærres kortet i henhold til kortreglerne, ophører muligheden for at bruge det tokeniserede kort i en digital wallet.

…”        

Parternes påstande

Klageren har nedlagt påstand om, at Nordea Danmark skal tilbageføre de omtvistede transaktioner.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at der er sket misbrug af hans kort. Han kender hverken noget til de omtvistede transaktioner eller til, hvad de vedrører.

Efter at han havde besøgt baren, A, gik han tilbage til sit hotel. Han har ikke besøgt B, der angiveligt skulle være en natklub. På de tidspunkter, hvor de ikke vedkendte transaktioner angiveligt skulle have fundet sted, lå han i sin seng og sov.

Han har Apple Pay installeret og benytter det normalt gerne, men han kan på ingen måde anerkende at have foretaget de omtvistede betalinger via Apple Pay. Modtageren, B, er ham totalt ubekendt, og når man ser på transaktionerne og hans normale transaktionsmønster, synes det meget klart, at der er tale om svindel. Han har aldrig foretaget så mange og så store transaktioner til én modtager på så kort tid. Samtidig synes det ligeledes mistænkeligt, at flere af beløbene er identiske på de to kort.

Han har ikke tidligere kunnet se tidspunkterne for de enkelte transaktioner, men når man kigger på de fremlagte udskrifter, så synes det endnu tydeligere, at der er tale om svindel/misbrug. På MasterCardet er der foretaget transaktioner af højere og højere beløb, indtil de blev for store og blev afvist og derefter mindre og mindre, indtil man nåede et beløb, der kunne trækkes, hvorefter der prøves en gang mere. På Visakortet er der startet med et højt beløb og derefter mindre, indtil det går igennem.

Som anført i indsigelsesblanketterne er han overbevist om, at informationerne fra begge hans kort på en eller anden måde er blevet afluret og derefter misbrugt. Mistanken om svindel er derfor også anmeldt til politiet.

Nordea Danmark har anført, at klageren har knyttet sine kort til betalingsløsningen Apple Pay, jf. beskrivelsen ovenfor.

Klageren har bekræftet, at han har ”installeret” og ”normalt gerne bruger” Apple Pay.

Da det er registreret, at betalingerne er gennemført ved brug af Apple Pay fra klagerens telefon, og da klageren har oplyst, at han var i besiddelse af sin telefon i hele perioden fra den 7. januar 2020 til den 8. januar 2020, kan det lægges til grund, at betalingerne er fortaget af klageren selv,

De omtvistede transaktioner blev korrekt registreret, bogført og var ikke ramt af tekniske svigt eller andre fejl,

Det er således ikke sandsynliggjort, at de omtvistede transaktioner skyldes tredjemandsmisbrug,

Ankenævnets bemærkninger

Klageren har gjort indsigelse mod otte transaktioner svarende til i alt 158.362,73 DKK, der blev foretaget med Apple Pay på en natklub, B, i Polen. Ved transaktionerne blev der foretaget aflæsning af klagerens virtuelle kort tilknyttet Apple Pay på klagerens telefon ved godkendelse med biometri (ifølge det oplyste enten aflæsning af fingeraftryk eller ansigts-genkendelse).

Ankenævnet lægger til grund, at transaktionerne er korrekt registrerede og bogførte. Af lov om betalinger § 98 følger, at registrering af brug af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93. Uanset at betalingerne blev gennemført ved aflæsning af klagerens virtuelle kort tilknyttet Apple Pay på hans telefon ved godkendelse med biometri, kan det efter omstændighederne ikke udelukkes, at der var tale om misbrug.

Afgørelsen af sagen beror på, om der må antages at være tale om tredjemandsmis-brug.

Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.