Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 103/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Inge Kramer, Signe Kjørup Carlsson, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Lægernes Bank A/S |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Lægernes Bank A/S, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -486.
Klageren har oplyst, at hun på et ikke nærmere oplyst tidspunkt modtog en SMS, der fremstod som værende fra GLS. Af SMS’en fremgik, at en pakke var mislykket på grund af manglende postnummer. Klageren indtastede de efterspurgte oplysninger via linket som stod i SMS’en, da hun ventede en pakke.
Den 26. januar 2026 blev der gennemført en kortbetaling på 1.394 CHF (schweizerfranc) svarende til 11.517,78 DKK med klagerens betalingskort -486 til en udenlandsk betalingsmodtager, betalingsmodtager X, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -378, som var installeret på klagerens mobiltelefon den 26. januar 2024. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 1394,00 CHF til [betalingsmodtager X] fra kort [-486]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren har anført, hun ikke har godkendt eller deltaget i transaktionen. Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 28. januar 2026. Af denne fremgår blandt andet:
”Beskriv hvad der er sket:
Jeg gør indsigelse mod den pågældende transaktion, da der er tale om svindel.
Jeg modtog en SMS, som fremstod som værende fra GLS og lå i samme beskedtråd som tidligere legitime GLS-beskeder. I beskeden stod, at levering af en pakke var mislykket på grund af manglende postnummer, og at oplysningerne skulle opdateres via et link. Da jeg på tidspunktet ventede en pakke, handlede jeg i god tro og klikkede på linket.
Jeg blev herefter bedt om at godkende via MitID, hvilket jeg opfattede som en almindelig bekræftelse i forbindelse med levering. Jeg var ikke klar over, at der var tale om en betaling eller en finansiel transaktion. Først få sekunder efter godkendelsen gik det op for mig, at der var tale om en transaktion på 1.100 CHF. Jeg kontaktede straks banken, som spærrede mit kort.
Jeg har ikke haft til hensigt at foretage eller godkende denne betaling, og jeg har ikke frivilligt overført penge eller ønsket at give tredjemand adgang til min konto.
Jeg anmoder derfor om, at beløbet tilbageføres, da der er tale om en uautoriseret betaling som følge af svindel.”
[…]
Her har du mulighed for at give yderligere oplysninger til din indsigelse eller give oplysninger, hvis du ønsker at gøre indsigelse i mod transaktioner, som du ikke kunne vælge før
Jeg har vedhæftet skærmdokumentation af SMS-beskeden, som førte til hændelsen. Beskeden fremstod som værende fra GLS og lå i samme beskedtråd som tidligere legitime GLS-beskeder, hvilket gjorde den særligt troværdig. Da jeg på tidspunktet ventede en pakke, handlede jeg i god tro og var ikke klar over, at der var tale om svindel eller en betalingstransaktion.”
Den 29. januar 2026 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 3.517,78 DKK til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse.
Parternes påstande
Den 6. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Lægernes Bank A/S skal godtgøre hende 8.000 kr.
Lægernes Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun modtog en SMS, som fremstod som værende fra GLS og lå i samme beskedtråd som tidligere legitime GLS-beskeder. Beskeden oplyste, at levering af en pakke var mislykket på grund af manglende postnummer, og at oplysningerne skulle opdateres via et link. Hun ventede på tidspunktet en pakke og klikkede på linket i god tro.
Betingelser for groft uforsvarlig adfærd er ikke opfyldt, da groft uforsvarlig adfærd er en skærpet ansvarsnorm, som forudsætter en kvalificeret og væsentlig tilsidesættelse af almindelig agtpågivenhed. Det er ikke tilstrækkeligt, at en kunde i en svindelsituation begår en fejl eller bliver manipuleret gennem phishing. En enkeltstående fejl i en professionelt tilrettelagt svindelkontekst kan ikke uden videre sidestilles med groft uforsvarlig adfærd. Der må foretages en konkret vurdering af hændelsesforløbet, svindlens karakter og kundens handlemåde.
Hun anerkender bankens bemærkning om, at oplysningerne om beløb og betalingsmodtager fremgik af MitID-godkendelsen, og at hun ideelt set burde have reageret allerede i selve godkendelsesøjeblikket. Det gik op for hende få sekunder efter, hvad der var sket. Da hun så teksten og forstod, at hun utilsigtet havde godkendt en betaling, reagerede hun straks og handlede omgående.
Hun kontaktede banken øjeblikkeligt, tydeligt chokeret, og forsøgte omgående at stoppe tabet.
Alle kan begå fejl i en professionelt tilrettelagt svindelsituation, da det er menneskeligt og det afgørende må være, hvordan man reagerer, når fejlen opdages. Når man handler ansvarligt og forsøger at begrænse tabet sekundet efter, at man bliver klar over situationen, kan dette ikke sidestilles med grov uansvarlighed. Groft uforsvarlig adfærd må forudsætte en langt mere markant tilsidesættelse af almindelig agtpågivenhed, f.eks. passivitet eller manglende reaktion, selv efter at forholdet står klart.
Hun udviste dermed ikke passivitet, ligegyldighed eller forsømmelse, men handlede prompte og ansvarligt for at afværge yderligere misbrug.
Phishing-svindel er i dag udbredt og udføres professionelt med det formål at vildlede almindelige kunder gennem troværdige afsenderkontekster og manipulation.
Betalingslovens forbrugerbeskyttelse tilsiger, at den maksimale hæftelse på 8.000 DKK alene bør anvendes i tilfælde, hvor kundens adfærd klart overstiger almindelig uagtsomhed. Hun handlede i god tro, blev udsat for en særligt vildledende phishing-metode og reagerede straks, da hun opdagede forholdet.
Lægernes Bank A/S har til støtte for frifindelsespåstanden anført, at klageren i henhold til betalingslovens § 100, stk. 4, hæfter med op til 8.000 DKK af tabet blandt andet hvis en betaler ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Den ikke vedkendte kortbetaling blev godkendt med klagerens MitlD. Ved godkendelsen af kortbetalingen har klageren udviste groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionen, hvorfor klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.
Betalingstransaktionen er korrekt registreret og bogført, og den har ikke været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Det bemærkes i den forbindelse, at registrering af brugen af et betalingsinstrument efter § 98, stk. 2, ikke i sig selv udgør bevis for, at betaleren har godkendt transaktionen, har handlet svigagtigt eller har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Klageren har anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, ved brug af et eksisterende MitlD-app nr. -378 i forbindelse med godkendelse af transaktionen.
Godkendelsesanmodningen blev sendt til den enhed, hvor klagerens MitID-app nr. -378 var installeret. Gennemførelsen af godkendelsen forudsætter en aktiv handling i form af swipe i MitID-appen. Under disse omstændigheder må det lægges til grund, at det alene var klageren, der foretog den fysiske godkendelse af transaktionen. Det bemærkes i den forbindelse, at godkendelsen skete med samme MitID-bruger-id, som blev anvendt ved klagerens efterfølgende indgivelse af indsigelse til banken.
Forud for godkendelsen af transaktionen fremgik følgende besked i MitlD-app'en "Betal 1394,00 CHF til [betalingsmodtager X] fra kort [-486]". Klageren har i sit indsigelsesskema til banken samt det fremsendte klageskema til Det finansielle ankenævn oplyst, at hun modtog en SMS, der fremstod som værende fra ”GLS” med et tilhørende link, som klageren klikkede på. Klageren har endvidere oplyst, at klageren accepterede betalingsanmodningen med sit MitID.
Der var imidlertid ingen overensstemmelse mellem den i MitID-appen viste betalingsmodtager og beløbsangivelse i CHF og den af klager beskrevne henvendelse vedrørende GLS. Klageren burde således have indset, at der forelå uoverensstemmelse mellem den forventede handling og den konkrete betalingsanmodning, og burde på den baggrund have undladt at godkende transaktionen.
Det bemærkes i den forbindelse, at der ikke foreligger oplysninger om, at klageren befandt sig i en presset eller hastende situation på tidspunktet for godkendelsen. Godkendelsen skete som led i klagers egen håndtering af den modtagne SMS og det tilhørende link, og der forelå således ikke omstændigheder, der kunne begrunde en mindre agtpågivenhed. Under disse omstændigheder må klagerens godkendelse af betalingsanmodningen anses for at udgøre groft uforsvarlig adfærd.
Sammenfattende gør banken således gældende, at klageren ved godkendelsen af transaktionen udviste en groft uforsvarlig adfærd, som medførte, at den omtvistede transaktion blev gennemført, hvorfor klageren selv hæfter med en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Til støtte for afvisningspåstanden har banken anført, at klageren ikke på det foreliggende grundlag har løftet sin bevisbyrde, og at en stillingtagen til sagens afgørelse forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer. Da en sådan bevisførelse ikke kan ske for Ankenævnet, jf. nævnets vedtægter § 5, stk. 3, nr. 4, bør klagers klage afvises.
Ankenævnets bemærkninger
Klageren var kunde i Lægernes Bank A/S, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -486.
Klageren har oplyst, at hun på et ikke nærmere oplyst tidspunkt modtog en SMS, der fremstod som værende fra GLS. Af SMS’en fremgik, at en pakke var mislykket på grund af manglende postnummer. Klageren indtastede de efterspurgte oplysninger via linket som stod i SMS’en, da hun ventede en pakke.
Den 26. januar 2026 blev der gennemført en kortbetaling på 1.394 CHF svarende til 11.517,78 DKK med klagerens betalingskort -486 til en udenlandsk betalingsmodtager, betalingsmodtager X, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -378, som var installeret på klagerens mobiltelefon den 26. januar 2024. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen.
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 28. januar 2026.
Den 29. januar 2026 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 3.517,78 DKK til klagerens konto.
Klageren gjorde indsigelse mod bankens afgørelse.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Inge Kramer og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.394 CHF svarende til 11.517,78 DKK med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.394 CHF og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.