Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 433/2025
Dato: 20-04-2026
Ankenævn: Kristian Korfits Nielsen, Christina Bryanth Konge, Signe Kjørup Carlsson, Morten Bruun Pedersen og Martin Hare Hansen
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Danske Andelskassers Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Danske Andelskasser Bank, hvor han blandt andet havde en konto og betalingskort -179. Af udskrift fra MitID fremgår, at klageren havde installeret MitID -062 på en iPhone 16.

Klageren har oplyst, at han på hotelformidler A’s hjemmeside havde bestilt tre overnatninger fra den 21. til den 24. august 2025 på hotel A i Italien. Ved bookinger på hotelformidler A’s hjemmeside betalte man nogle gange straks, andre gange nogle dage før check-in, og andre gange blev betalingen opkrævet ved check-in på hotellet. Hotel A var det tredje hotel, klageren og hans familie skulle overnatte på på deres ferie. Klokken 22 om aftenen to dage inden check-in blev han kontaktet telefonisk af person A fra et italiensk nummer på WhatsApp. Klageren fik tilsendt et billede med sin reservation, navn, mobiltelefonnummer og en kopi af sit betalingskort, hvor fire af tallene var sløret, men blandt andet udløbsdato var synlig og korrekt. Person A meddelte ham, at betalingen for hotelopholdet ikke var gennemført grundet en fejl i hotellets system. Hvis han ikke bookede igen, ville han miste sin reservation, og alle andre hoteller var udsolgte. Person A meddelte ham, at han ikke behøvede at oplyse sine betalingskortoplysninger pr. e-mail eller telefon, da de allerede havde disse. Klageren skulle alene godkende et beløb via MitID. Klageren godkendte i god tro for at sikre reservationen og ferien sammen med sin familie.

Den 20. august 2025 kl. 15:10 blev der gennemført en betaling på 1.261 EUR svarende til 9.524,01 DKK med betalingskort -179 til betalingsmodtager R i Litauen, som klageren ikke kan vedkende sig.

Banken har fremlagt en e-mail fra Nets, hvoraf fremgår:

”Date and time: 20.08.2025 15:10

Amount: 1261.00 EUR

Approved method: mitid.code_app (071)

IP address: [-.3]

IP Country: ES (SPAIN)

Text sent to MitID app: Betal 1261,00 EUR til [betalingsmodtager R] xxx[-179]

…”

Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår blandt andet:

”20-08-2025 15:10:17 …      App – autentificering lykkedes

MitID identifikationsmiddel-ID                     [-062]

…”

Klageren har fremlagt en e-mail af 20. august 2025 fra hotel A, hvoraf fremgår, at klageren skulle være påpasselig med e-mails, tekstbeskeder eller andre beskeder, hvori han anmodes om personlige oplysninger, betalingsoplysninger, eller som indeholder mistænkelige links. Hotellet ville aldrig anmode om følsomme oplysninger gennem uofficielle kanaler. Hvis klageren modtog mistænkelige beskeder, skulle han kontakte hotellet.

Den 21. august 2025 blev betalingen på 9.524,01 DKK bogført på klagerens konto.

Klageren har oplyst, at han læste i en avis, at bookingsystemer for hoteller i Italien var blevet hackede. Han tjekkede sin samtale i WhatsApp, som var blevet slettet, og han blokerede herefter straks sit betalingskort og kontaktede banken.

I en tro og love-erklæring af 21. august 2025 oplyste klageren, at han hverken havde deltaget i eller godkendt transaktionen på 1.261,00 EUR, og at betalingskort -179 var i hans besiddelse på tidspunktet for den ikke-godkendte transaktion.

Af indsigelsesblanketten Indsigelse Q&A fremgår blandt andet:

”…

Beskriv hvad der er sket: […]

Blev kontaktet på whatsapp med betalingen til hotellet ikke var gået igennem. De havde kopi af reservation og kortet, alt passede. Blev bedt om at godkende transaktionen igen

 

Har du kortet på købstidspunktet? […]

Ja, og det er kun mig, der har haft adgang til mit kort

 

Hvor opbevarede du dit kort? […]

Andet

 

Specificer […]

pengeboks på hotellet

 

Vælg en indsigelsesårsag for hver transaktion, og beskriv, hvorfor du gør indsigelse mod købet. […]

Jeg har ikke foretaget dette køb.

 

Er du på noget tidspunkt blevet kontaktet og bedt om at bekræfte/oplyse dit betalingskort eller dine personlige oplysninger? […]

Ja, på telefon

…”

Banken har oplyst, at banken den 22. august 2025 meddelte klageren, at den ville dække 1.524,01 DKK, og at klageren hæftede for 8.000 DKK.

Ved e-mail af 22. august 2025 gjorde klageren indsigelse mod bankens afgørelse.

Den 12. september 2025 fastholdt banken, at klageren hæftede for 8.000 DKK.

Parternes påstande

Den 12. september 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Andelskassers Bank skal godtgøre ham 8.000 DKK.

Danske Andelskassers Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at alle hoteller var udsolgte i det område, hvor han og hans familie skulle holde ferie. Da han blev kontaktet på WhatsApp, havde person A oplysninger om hans reservation, hans navn, mobiltelefonnummer og kopi af hans betalingskort.

Han var presset og stresset, da værelset ellers ville blive booket til anden side, og han og familien var på restaurant sent om aftenen. Beløbet, der blev opkrævet, var ca. det samme, som han huskede det. Han havde ikke reservationen i hånden, og roaming var langsom, så han kunne ikke kontakte hotel A og få bekræftet, hvornår opholdet skulle betales.  

Han studsede over, at der i teksten på betalingen fremgik Litauen, men han vidste ikke, hvem der ejede hotellerne i det område i Italien, hvor de skulle bo. Han vidste ikke, hvor ejerne kommer fra, eller hvilke banker de bruger, da det godt kunne være udenlandske ejere. Alt passede, og han skulle ikke opgive betalingsoplysninger.

Betalingskortet har ikke været ude af hans hænder, og han har ikke givet nogle oplysninger i hverken e-mail eller via telefonen til andre. Han har handlet i god tro og ikke groft uforsvarligt.

Danske Andelskassers Bank har anført, at betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Klagerens MitID -062 blev anvendt til at godkende betalingen. MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Der blev ved transaktionen anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ud fra klagerens beskrivelse af hændelsesforløbet og oplysningerne i MitID-portalen har klagerens MitID på tidspunktet for transaktionen ikke været installeret på tredjemands enhed eller været spærret. Der er heller ikke oplysninger om, at klagerens telefon var stjålet på tidspunktet for transaktionen.

Da transaktionen er godkendt med MitID -062, efter klageren blev præsenteret for MitID-teksten i sit MitID, har han handlet groft uforsvarligt, jf. betalingslovens § 100, stk. 4, nr. 3, hvorfor han hæfter med 8.000 DKK. Der er taget højde for, at transaktionen skyldes tredjemands uberettigede anvendelse, og at klagerens godkendelse af transaktionen muliggjorde misbruget.

Ankenævnets bemærkninger

Klageren var kunde i Danske Andelskasser Bank, hvor han blandt andet havde en konto og betalingskort -179. Af udskrift fra MitID fremgår, at klageren havde installeret MitID -062 på en iPhone 16.

Klageren har oplyst, at han på hotelformidler A’s hjemmeside havde bestilt tre overnatninger fra den 21. til den 24. august 2025 på hotel A i Italien. Ved bookinger på hotelformidler A’s hjemmeside betalte man nogle gange straks, andre gange nogle dage før check-in, og andre gange blev betalingen opkrævet ved check-in på hotellet. Hotel A var det tredje hotel, klageren og hans familie skulle overnatte på på deres ferie. Klokken 22 om aftenen to dage inden check-in blev han kontaktet telefonisk af person A fra et italiensk nummer på WhatsApp. Klageren fik tilsendt et billede med sin reservation, navn, mobiltelefonnummer og en kopi af sit betalingskort, hvor fire af tallene var sløret, men blandt andet udløbsdato var synlig og korrekt. Person A meddelte ham, at betalingen for hotelopholdet ikke var gennemført grundet en fejl i hotellets system. Hvis han ikke bookede igen, ville han miste sin reservation, og alle andre hoteller var udsolgte. Person A meddelte ham, at han ikke behøvede at oplyse sine betalingskortoplysninger pr. e-mail eller telefon, da de allerede havde disse. Klageren skulle alene godkende et beløb via MitID. Klageren godkendte i god tro for at sikre reservationen og ferien sammen med sin familie.

Den 20. august 2025 kl. 15:10 blev der gennemført en betaling på 1.261 EUR svarende til 9.524,01 DKK med betalingskort -179 til betalingsmodtager R i Litauen, som klageren ikke kan vedkende sig.

Banken har fremlagt en e-mail fra Nets, hvoraf fremgår blandt andet, at der i MitID fremgik følgende tekst ved betalingen: ”Betal 1261,00 EUR til [betalingsmodtager R] xxx[-179]”.

Den 21. august 2025 blev betalingen på 9.524,01 DKK bogført på klagerens konto.

Klageren har oplyst, at han læste i en avis, at bookingsystemer for hoteller i Italien var blevet hackede. Han tjekkede sin samtale i WhatsApp, som var blevet slettet, og han blokerede herefter straks sit betalingskort og kontaktede banken.

I tro og love-erklæring af 21. august 2025 oplyste klageren, at han hverken havde deltaget i eller godkendt transaktionen på 1.261,00 EUR, og at betalingskort -179 var i hans besiddelse på tidspunktet for den ikke-godkendte transaktion.

Banken har oplyst, at banken den 22. august 2025 meddelte klageren, at den ville godtgøre ham 1.524,01 DKK, og at klageren hæftede for 8.000 DKK.

Ved e-mail af 22. august 2025 gjorde klageren indsigelse mod bankens afgørelse.

Den 12. september 2025 fastholdt banken, at klageren hæftede for 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Christina Bryanth Konge og Signe Kjørup Carlsson – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren har godkendt betalingen på 1.261 EUR med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 1.261 EUR og beløbsmodtager R, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Martin Hare Hansen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.