Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 301/2025 |
| Dato: | 27-11-2025 |
| Ankenævn: | Katrine Waagepetersen, Bjarke Levinsky Svejstrup, Jimmy Bak, Rolf Høymann Olsen og Poul Erik Jensen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Sydbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Sydbank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -451.
Klageren har oplyst, at hun modtog en e-mail, der fremstod som værende fra Andel Energi med en betalingspåmindelse på 322 DKK, hvor klageren blev bedt om at godkende betalingen med MitID. Klageren har yderligere oplyst, at e-mailen så troværdig ud, og at hun betalte beløbet.
Den 15. maj 2025 blev der gennemført en kortbetaling på 500 USD svarende til 3.421,34 DKK med klagerens betalingskort -451 til en udenlandsk betalingsmodtager, W, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt i klagerens MitID nøgleapp med id-nummer -753, som var installeret på klagerens iPhone 17. Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 500,00 USD til [betalingsmodtager W] fra kort [-451]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf blandt andet fremgår, at MitID -753 blev aktiveret 10. maj 2025.
Klageren har anført, at hun ikke har godkendt betalingen bevidst, og at betalingen er et resultat af identitetstyveri og svindel. Den 15. maj 2025 gjorde klageren indsigelse mod betalingen. I forbindelse med klagerens indsigelse har klageren blandt andet oplyst følgende:
”… Jeg skriver for at gøre indsigelse mod en uberettiget transaktion, der er blevet reserveret på min konto. Den 15. maj, modtog jeg en e-mail fra det, jeg troede var Andel Energi A/S med en betalingspåmindelse. E-mailen så troværdig ud, og jeg forsøgte straks at betale beløbet på 322 kr., da jeg normalt betaler mine regninger til tiden og ikke ønsker at fremstå som en dårlig betaler. Under betalingsprocessen blev jeg bedt om at godkende betalingen med MitID. Da skærmen ikke forsvandt efter godkendelsen, kontaktede jeg Andel Energi telefonisk. Under samtalen opdagede jeg, at jeg var blevet udsat for svindel. Samtidig modtog jeg en SMS fra Sydbank med besked om, at der var blevet reserveret 500 USD på min konto. Jeg kontaktede straks Sydbank, fik spærret mit betalingskort og har siden fået udstedt et nyt MitID. Jeg gør hermed indsigelse mod den pågældende transaktion/reservation, da jeg ikke har godkendt den bevidst, og da den er et resultat af identitetstyveri og svindel. …”
Banken har oplyst, at klageren har fremlagt et skærmprint fra betalingsprocessen, hvor det fremgår, at klageren skal åbne sin MitID app og godkende, hvor man kan se, at skærmbilledet er fabrikeret af svindleren.
Den 15. maj 2025 sendte banken en sms til klageren i forbindelse med betalingen. Af sms’en fremgik følgende:
”… Den 15.05 kl. 12.14 er der reserveret 500,00 USD til [betalingsmodtager W] på dit Mastercard -451… ”
Banken har oplyst, at det ikke var muligt at tilbagekalde betalingen efter klagerens godkendelse i MitID.
Klageren gjorde indsigelse mod bankens afgørelse.
Parternes påstande
Den 28. juni 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal godtgøre hende 500 USD.
Sydbank har nedlagt påstand om frifindelse
Parternes argumenter
Klageren har anført, at hun blev narret til at godkende beløbet på 500 USD. Hændelsen udgør ikke grov uagtsomhed, da hun handlede i god tro og reagerede straks. Hun ønsker, at banken pålægges at tilbageføre beløbet.
Hun blev ført bag lyset af en professionelt udført phishing, som udgav sig for at være Andel Energi.
Hun godkendte betalingen i god tro, da hun troede, det drejede sig om 322 DKK, hvilket fremgik af phishinghjemmesiden. Hun kontaktede straks både elselskabet og banken, da hun fattede mistanke straks efter betalingen, da hjemmesiden ikke registrerede hendes betaling, som den normalt gør. På det tidspunkt var det umuligt for hende at forstå, at transaktionen bagved var 500 USD til betalingsmodtager W og ikke 322 DKK til Andel Energi, som er hendes elselskab.
Det afgørende er, at hun ikke afgav informeret samtykke. God tro og hurtig reaktion bør veje tungere end, at hun teknisk har trykket “godkend” på sin mobil.
Derudover anfægter hun bankens vurdering af, at der foreligger grov uagtsomhed. Hun har handlet som en almindelig forbruger, der er blevet udsat for vildledning, og hun har dokumenteret, hvordan phishinghjemmesiden udnyttede et kendt elselskabs identitet og beløb.
Hun undrer sig over, at banken ikke kan stoppe en tyv, selvom man når at melde det, inden tyven får adgang til pengene. Det virker som et lidt uforståeligt system.
Hun fastholder, at hun aldrig har godkendt betalingen. Det eneste, hun godkendte i MitID-appen, var en transaktion på 322,00 DKK til Andel Energi, som hun blev præsenteret for via en falsk, men troværdig phishinghjemmeside. Hun blev ikke informeret om en betaling på 500 USD til betalingsmodtager W, og det strider imod kravet om informeret samtykke jf. betalingslovens § 82.
Det er ikke tilstrækkeligt, at banken blot henviser til, at en betaling blev teknisk godkendt i MitID. Bankens ansvar er også at dokumentere, at godkendelsen blev givet på baggrund af klar og korrekt information om beløb og modtager. Det har banken ikke gjort. Hun anmoder om fuld dokumentation for, at hun blev præsenteret for teksten “Betal 500,00 USD til [betalingsmodtager W]”, inden godkendelsen i MitID. Hun er 100 % sikker på, at dette ikke er tilfældet, for så ville hun aldrig have betalt den.
Beløbet skal tilbageføres, da der ikke foreligger gyldigt samtykke.
Sydbank har til støtte for frifindelsespåstanden anført, at klageren godkendte betalingen i sin MitID nøgleapp. Klageren har i sagen bekræftet, at hun godkendte en betaling i sin MitID nøgleapp, det er dog klagerens opfattelse, at hun alene godkendte en betaling på 322 kr. til Andel Energi A/S.
Alle MitID nøgleapps har et unikt ID-nummer. Den relevante betaling blev godkendt i den unikke MitID nøgleapp, der kun findes på klagerens telefon.
Ved at godkende betalingen i sin MitID-app, hvor både beløbet og betalingsmodtageren klart fremgik, har klageren ved groft uforsvarlig adfærd muliggjort svindlerens betaling. Klageren hæfter derfor for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.
Det er ikke afgørende om klageren har givet et informeret samtykke eller ej. Det afgørende er om klageren har udvist groft uforsvarlig adfærd.
Betalingen blev gennemført straks efter klagerens godkendelse i MitID-appen. Betalingen skete til betalingsmodtager W, der umiddelbart ser ud til at sælge online gavekort. Banken formoder, at svindleren modtog det/de gavekort umiddelbart efter betalingen.
Bankerne er generelt forpligtet til at sende betalingsbeløb til forretningerne, når en betaling er godkendt. Dette gælder også selvom konto/kortet bliver spærret, inden beløbet bliver trukket på kundens konto. Hvis betalingsmarkedet ikke var bygget op på denne måde, ville forretningerne ikke kunne udlevere de ”købte” varer uden at løbe en stor risiko, når de modtog en betaling.
Ankenævnets bemærkninger
Klageren var kunde i Sydbank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -451.
Klageren har oplyst, at hun modtog en e-mail, der fremstod som værende fra Andel Energi med en betalingspåmindelse på 322 DKK, hvor klageren blev bedt om at godkende betalingen med MitID. Klageren har yderligere oplyst, at e-mailen så troværdig ud, og at hun betalte beløbet.
Den 15. maj 2025 blev der gennemført en kortbetaling på 500 USD svarende til 3.421,34 DKK med klagerens betalingskort -451 til en udenlandsk betalingsmodtager, W, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt i klagerens MitID nøgleapp med id-nummer -753, som var installeret på klagerens iPhone 17. Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen.
Klageren har anført, at hun ikke har godkendt betalingen bevidst, og betalingen er et resultat af identitetstyveri og svindel.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Katrine Waagepetersen, Bjarke Levinsky Svejstrup og Jimmy Bak – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 500 USD med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 500 USD og betalingsmodtager W, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 3.046,34 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.