| Sagsnummer: | 400/2025 |
| Dato: | 31-10-2025 |
| Ankenævn: | Kristian Korfits Nielsen, Iben Leisner, Janni Visted Hansen, Morten Bruun Pedersen og Jørgen Lanng. |
| Klageemne: | Afvisning - bevis § 5, stk. 3, nr. 4 Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nordea Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet betalingskort -711.
Den 11. august 2025 blev der gennemført en kortbetaling på 6.673,98 DKK med klagerens betalingskort til en udenlandsk betalingsmodtager, D, som klageren ikke kan vedkende sig.
Den 13. august 2025 blev betalingen trukket på klagerens konto.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -5332, der blev installeret på klagerens telefon den 27. november 2023.
Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 6673,98 DKK til [D] fra kort xx1711”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Ved en tro- og loveerklæring af 13. august 2025 gjorde klageren over for banken indsigelse mod betalingen og anførte blandt andet:
”Jeg tjekkede netbank og så en transaktion som jeg ikke kendte til.
Efter telefonisk henvendelse til Nordea fandt vi ud af dette køb var foretaget mandag d. 11 kl. ca. 19 og var godkendt med MitId.
I dette tidsrum var jeg til middag og derfor har jeg med sikkerhed ikke foretaget køb eller godkendelse og har aldrig været på denne forhandlers hjemmeside.
Fik straks spærret kort, MitiD og netbank.”
Den 15. august 2025 afviste banken klagerens indsigelse og anførte, at klageren selv hæftede for op til 8.000 DKK.
Den 29. august 2025 indbragte klageren sagen for Ankenævnet.
Klageren har under sagens forberedelse i Ankenævnet fremlagt logdata fra sit MitID indhentet via Digitaliseringsstyrelsen og information om den benyttede IP-adresse.
Parternes påstande
Klageren har nedlagt påstand om, at Nordea Danmark skal tilbageføre 6.673,98 DKK til hans konto.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at banken har oplyst, at betalingen blev godkendt med hans MitID den 11. august 2025 ca. kl. 19. I dette tidsrum var han til fødselsdag, og han har derfor med sikkerhed ikke foretaget noget køb eller godkendt betalingen i sin MitID-app. Han har heller aldrig været inde på D’s hjemmeside.
Af logdata fra hans MitID, som han har indhentet via Digitaliseringsstyrelsen, fremgår, at betalingen er startet fra en Windows 10 PC på Norlys-bredbånd og ikke fra hans mobiltelefon. Denne handling har han ikke foretaget i dette tidsrum, da han sad til et middagsselskab uden PC. Han har heller ikke været på en Norlys IP-adresse, som også viser en helt anden lokation end der, hvor han var til middagsselskab.
Hans kort må være blevet kompromitteret. Der var tale om et forholdsvis nyt kort, som han kun havde haft i tre uger.
Når et køb iværksættes på en PC, kommer der ingen notifikation fra MitID-appen. Han skulle derfor selv aktivt have åbnet MitID-appen manuelt umiddelbart efter, at købet blev startet. De indhentede logdata viser, at det var en web-initieret transaktion. Dette må han også afvise, da det ville kræve, at han tilfældigvis havde åbnet sit MitID og godkendt kort tid (40 sekunder) efter, at svindlen var blevet initieret.
Hændelsesforløbet er uforståeligt. Han stiller sig uforstående overfor, hvorfor banken med sikkerhed kan konkludere, at det er ham, der har foretaget og godkendt købet.
Nordea Danmark har anført, at betalingen på 6.673,98 DKK er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.
Klageren blev præsenteret for følgende tekst: ”Betal 6673, 98 kr. til [D] fra kort xx1711”. Dermed fremgik det tydeligt, at klageren blev præsenteret for betalingen med præcis angivelse af beløb og beløbsmodtager, og der kan derfor ikke være tvivl om, at klageren godkendte betalingen.
Det fremgår af udskriften fra bankens system, at det var klagerens eget MitID med serienummer -5332, der blev oprettet på klagerens enhed den 27. november 2023, som godkendte betalingen. Godkendelsen af betalingen skete fra samme enhed og med samme MitID, som klageren tidligere havde brugt til at logge på sin Netbank/Mobilbank.
Når klageren valgte at godkende betalingen på 6.673,98 DKK, som han efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i MitID-nøgleapp groft uforsvarlig adfærd fra klagerens side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet betalingskort -711.
Den 11. august 2025 blev der gennemført en kortbetaling på 6.673,98 DKK med klagerens betalingskort til en udenlandsk betalingsmodtager, D, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -5332, der blev installeret på klagerens telefon den 27. november 2023, og at klageren ved sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 6673,98 DKK til [D] fra kort xx1711”.
Klageren har blandt andet anført, at han på det tidspunkt, hvor banken påstår, at betalingen blev godkendt med MitID, var til et middagsselskab, og at han derfor med sikkerhed ikke har foretaget noget køb eller godkendt betalingen i sin MitID-app, og at han heller aldrig har været inde på D’s hjemmeside.
Banken afviste at tilbageføre beløbet til klageren med den begrundelse, at klageren selv hæftede for op til 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.