Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 88/2025 |
| Dato: | 15-08-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Kritte Sand Nielsen, Signe Kjørup Carlsson, Rolf Højmann Olsen og Ann-Mari Faldt Agerlin. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af en korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -1572.
Den 1. januar 2025 blev der gennemført en kortbetaling på 2.000 USD svarende til 14.419,40 DKK med klagerens betalingskort -1572 til en betalingsmodtager, E, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han havde modtaget en SMS, der fremstod som værende fra Brobizz. Af SMS’en fremgik, at han skulle forny sine kortoplysninger. Efter at han afgav oplysninger, blev han bedt om at verificere via MitID. Da han åbnede MitID via ansigtsgenkendelse, blev han smidt af. Efterfølgende gik det op for ham, at han var blevet bedraget. Han loggede herefter ind på bankens hjemmeside, og inden for 30 sekunder spærrede han sit betalingskort.
Banken har anført, at kortbetalingen blev gennemført ved brug af MitID, der var installeret på klagerens telefon. Ved autorisationen af betalingen fremgik betalingsmodtager og beløbet tydeligt. Banken har fremlagt udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen den 1. januar 2025. Af teksten fremgik:
”Betal 2000,00 USD til [E] fra kort xx1572”
Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.
Klageren har oplyst, at han gjorde indsigelse overfor banken den 6. januar 2025.
Banken har oplyst, at det fremgår af bankens systemer, at betalingen blev godkendt med klagerens MitID-app -3543.
Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.419 DKK til klagerens konto.
Parternes påstande
Den 11. februar 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbagebetale 8.000 DKK.
Danske Bank har nedlagt påstand om frifindelse, subsidiær afvisning.
Parternes argumenter
Klageren har anført, at MitID aldrig åbnede, og at han ikke godkendte et beløb på 2.000 USD. Han ville aldrig godkende et beløb i en udenlandsk valuta på 2.000 USD til et ukendt firma
Han åbnede MitID, og i det øjeblik han loggede ind, eksploderede/blitzede MitID og lukkede ned. Der var ikke angivet noget beløb. Han blev bedt om at verificere kortet via MitID. Da han blev klar over, at noget var galt, spærrede han sit kort cirka 10 sekunder efter.
Det er en uhensigtsmæssig tilgang, banken har til hans beskrivelse. Der er en brist i systemet.
Det er en "lesson learned" for banken, hvis det er lykkedes hackerne at få MitID til at lukke ned efter, at der var blevet logget på via ansigtsgenkendelse, men uden at have godkendt nogen beløb.
Han er nok ikke den eneste, der har oplevet denne brist hos Nets i forbindelse med, at man logger ind på MitID med egen adgangskode, og at skærmen pludselig forsvinder samtidig med, at et beløb godkendes. Bristen blev opdaget af Nets, som af forskellige årsager ikke finder det belejligt at fremkomme med disse informationer i offentligheden.
En statistik over phishing vil måske kunne danne en oversigt og lede til en anerkendelse pr. kulance fra banken.
Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Transaktionen blev gennemført ved klagerens indtastning af kortoplysninger og godkendelse med MitID. Det er ikke muligt at gennemføre en betaling, som skal godkendes i MitID, uden at betaleren swiper i MitID-app’en.
Transaktionen blev gennemført med stærk kundeautentifikation.
Beløbsmodtager og beløb fremgik af MitID-godkendelsesvinduet ved transaktionen.
Klageren må anses for at have handlet groft uforsvarligt, hvorfor han selv hæfter for 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Banken har allerede godtgjort klageren den del af beløbet, der overstiger 8.000 DKK.
Banken har løftet bevisbyrden efter § 98 i betalingsloven.
Banken har ikke mulighed for at stoppe betalinger, når de først er modtaget, jf. betalingslovens § 111.
Nets’ sikkerhedsekspert har overfor banken angivet, at de ikke kan genkende et sådant problem med MitID, som klager har beskrevet. Banken har i øvrigt ikke handlet ansvarspådragende.
Danske Bank har til støtte for afvisningspåstanden anført, at det påhviler klageren at bevise, at hans MitID var blevet misbrugt/hacket ved transaktionen.
Klageren har ikke løftet denne bevisbyrde, og sagen beror derfor på, om klageren selv har foretaget transaktionen. Det vil herefter kun være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige forklaringer.
Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -1572.
Den 1. januar 2025 blev der gennemført en kortbetaling på 2.000 USD svarende til 14.419,40 DKK med klagerens betalingskort -1572 til en betalingsmodtager, E, som klageren ikke kan vedkende sig.
Klageren har oplyst, at han den 1. januar 2025 havde modtaget en SMS, der fremstod som værende fra Brobizz. Af SMS’en fremgik, at han skulle forny kortoplysninger. Efter han afgav oplysninger, blev han bedt om at verificere via MitID. Da han åbnede MitID via ansigtsgenkendelse, blev han smidt af. Efterfølgende gik det op for ham, at han var blevet bedraget. Han loggede herefter ind på bankens hjemmeside, og inden for 30 sekunder spærrede han sit betalingskort.
Klageren har yderligere oplyst, at der en uge efter spærring af betalingskortet var trukket 2.000 USD på hans konto. Han gjorde den 6. januar 2025 indsigelse overfor banken.
Banken har anført, at kortbetalingen blev gennemført ved brug af MitID, der var installeret på klagerens telefon. Ved autorisationen af betalingen fremgik betalingsmodtager og beløbet tydeligt.
Banken har oplyst, at transaktionen var korrekt registreret og bogført, og ikke var ramt af tekniske svigt eller andre fejl.
Banken godtgjorde klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 6.419 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Kritte Sand Nielsen og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 2.000 USD med sit MitID.
Vi finder, at Danske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 2.000 USD og beløbsmodtageren E, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Ann-Mari Faldt Agerlin – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel. Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at Danske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at Danske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at Danske Bank skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.