Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 190/2026
Dato: 27-05-2026
Ankenævn: Bo Østergaard, Bjarke Levinsky Svejstrup, Jimmy Bak, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
Indklagede: Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -9638.

Den 12. januar 2026 blev der gennemført en kortbetaling på 9.355,75 kr. med klagerens betalingskort -9638 til en betalingsmodtager, T, som klageren ikke kan vedkende sig.

Klageren har anført, at hun på et ikke nærmere oplyst tidspunkt havde modtaget en phishing-henvendelse, hvor hun indtastede kortoplysninger, dog ikke år og dato, i den tro, at det var legitimt. Kortet blev efterfølgende spærret straks. Hun har aldrig godkendt en transaktion på 9.355,75 kr.

Sparekassen har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app og har fremlagt transaktionsdetaljer fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 9355,75 DKK til [betalingsmodtager T] fra kort xx9638”

Sparekassen har fremlagt e-mailkorrespondance mellem sparekassen og Nets i perioden fra den 16. til den 28. januar 2026. I e-mail af 16. januar 2026 fra meddelte Nets, at Nets ikke kunne finde transaktionen ud fra de foreliggende oplysninger. Af Nets’ e-mail af 19. januar 2026 fremgik, at transaktionen blev gennemført den 12. januar 2025. I e-mail af 28. januar 2026 til Nets gjorde sparekassen opmærksom på, at årstallet var forkert, idet det skulle være 2026. I e-mail til sparekassen af samme dag rettede Nets årstallet til 2026.

Sparekassen har oplyst, at transaktionen var korrekt registreret og bogført.

Klageren gjorde indsigelse mod transaktionen.

Den 27. januar 2026 godtgjorde sparekassen klagerens tab med fradrag af 8.000 kr., hvorfor den tilbageførte 1.355,75 kr. til klagerens konto.

Klageren gjorde indsigelse mod sparekassens afgørelse. Sparekassen fastholdt sin afgørelse og anførte blandt andet, at transaktionen var godkendt med klagerens MitID -9595, der var aktiveret den 30. september 2025.

 

Klageren anmeldte endvidere sagen til politiet og rettede henvendelse til betalingsmodtager T.

Parternes påstande

Den 9. marts 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal godtgøre hende 8.000 kr.

Sparekassen Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun ikke har godkendt den pågældende transaktion. Hun har aldrig set beløbet på 9.355,75 kr. eller betalingsmodtager ”T” i MitID.

Sparekassen har løftet ikke sin bevisbyrde for, at der foreligger en MitID-godkendt betaling.

Sparekassens afgørelse bygger primært på forklarende e-mailkorrespondance fra Nets samt en registrering i hendes MitID-GDPR-rapport af typen “App – autentificering lykkedes”. Denne registrering indeholder imidlertid hverken beløb, betalingsmodtager eller tjenesteudbyder og dokumenterer alene, at en autentificering har fundet sted – ikke at der er godkendt en betaling.

MitID anvendes også ved login i netbank og ved spærring af betalingskort. Omkring det pågældende tidspunkt loggede hun netop ind for at spærre sit kort efter mistanke om misbrug. Sparekassen har ikke dokumenteret en entydig teknisk sammenhæng mellem MitID hændelsen og den konkrete betaling.

Hun har heller ikke modtaget en SMS med kode for at godkende beløbet.

Ved en betaling, hun selv har foretaget på 12.640 kr., fremgik et tydeligt autentifikationsforløb med SMS-kode, aktiv godkendelse og bekræftelse. Den omtvistede betaling fulgte ikke et tilsvarende flow. Dette rejser tvivl om, hvorvidt den overhovedet er godkendt af hende.

Den eneste dokumentation fra sparekassen er en mailkorrespondance med fejl fra Nets. Den fremlagte dokumentation fra Nets består af almindelige forklarende e-mails og ikke af systemgenererede 3D Secure-logfiler eller anden objektiv teknisk dokumentation. Dokumentationen var desuden inkonsistent, herunder med uoverensstemmelser i datoangivelser. Først kunne Nets ikke finde transaktionen, så oplyste Nets årstallet 2025, som manuelt blev ændret til 2026.

Efter betalingslovens § 98 påhviler det sparekassen at dokumentere, at en betalingstransaktion er korrekt registreret, gennemført og godkendt. Efter betalingslovens § 100 forudsætter hæftelse, at sparekassen kan dokumentere, at den personlige sikkerhedsforanstaltning er anvendt til en bevidst godkendelse af den konkrete betaling.

Transaktionen, som sparekassen påstår, at hun har godkendt, vedrører en rejsebooking med følgende karakteristika: Passagernavn: ikke hendes navn, e-mailadresse: ikke hendes, IP-adresse ved booking: ikke hendes. Hun har ingen relation til personen eller rejsen.

Der foreligger flere objektive indicier på tredjemandsmisbrug: anden IP-adresse, e-mail og passagernavn. Der er ingen betalingsdata i MitID-log med godkendelse eller beløb og modtager, ingen SMS med godkendelse af beløb og modtager eller kode og ingen 3 D logfil, kun korrespondance mellem sparekassen og Nets.

Sparekassens afgørelse bygger derfor på antagelser og ikke på entydig teknisk dokumentation. Der foreligger ikke dokumentation for, at MitID er anvendt til godkendelse af betalingen, at beløb og modtager blev vist i forbindelse med en MitID-godkendelse, at SMS med modtager blev sendt til hende, og at hun har foretaget en bevidst og informeret godkendelse.

Hun kontaktede banken og søgte at få betalingen stoppet, meldte sagen til politiet og kontaktede betalingsmodtager T for at få pengene retur. Sparekassen kunne have stoppet transaktionen via Nets.

Sparekassen Danmark har anført, at betalingsloven fastsætter grænserne for sparekassens forpligtelser til at godtgøre kunder for visse betalinger.

Klageren har autoriseret betalingen ved at swipe i sin MitID-app.

Sparekassen hæfter som udbyder af betalingstjenester for tab som følge af andres uberettigede anvendelse af en betalingstjeneste.

Klageren burde have reageret på tekst og beløb i MitID-appen.

Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse af kortet og hæfter derfor for 8.000 kr.af tabet ved den uberettigede anvendelse af kortet.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -9638.

Den 12. januar 2026 blev der gennemført en kortbetaling på 9.355,75 kr. med klagerens betalingskort -9638 til en betalingsmodtager, T, som klageren ikke kan vedkende sig.

Klageren har anført, at hun på et ikke nærmere oplyst tidspunkt havde modtaget en phishing-henvendelse, hvor hun indtastede kortoplysninger, dog ikke år og dato, i den tro, at det var legitimt. Kortet blev efterfølgende spærret straks. Hun har aldrig godkendt en transaktion på 9.355,75 kr.

Sparekassen har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 9355,75 DKK til [betalingsmodtager T] fra kort xx9638”.

Den 27. januar 2026 godtgjorde sparekassen klagerens tab med fradrag af 8.000 kr., hvorfor den tilbageførte 1.355,75 kr. til klagerens konto.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.