Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 DKK af korttransakti-on, der blev godkendt i MItID.

Sagsnummer: 369/2025
Dato: 31-10-2025
Ankenævn: Kristian Korfits Nielsen, Iben Leisner, Janni Visted Hansen, Morten Bruun Pedersen og Jørgen Lanng.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 DKK af korttransakti-on, der blev godkendt i MItID.
Indklagede: Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet MasterCard.

Den 10. juli 2025 blev der gennemført en kortbetaling på 310,65 USD svarende til 2.012,75 DKK til en udenlandsk betalingsmodtager, A, som klageren ikke kan vedkende sig.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -5688, som blev installeret på klagerens telefon den 14. december 2024.

Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:

”Betal 310,65 USD til [A] fra kort xx4538”

Ved en tro- og loveerklæring af 12. juli 2025 gjorde klageren over for banken indsigelse mod betalingen og anførte blandt andet:

”I was taking a survey from matas based om the experience I had in the store few days ago, which took me to the cart to choose a free gift. The only thing I had to do is pay for the shipping fee. It was a normal process of confirming the amount with MitID. This is not the amount I confirmed, as it was suppose to be 28 DKK. When I swiped to confirm to pay the fee I realised that it was a scam, but it was just a second to late. I called to block my MitID and all of my cards right away.

Everything in the survey, cart and checkout looked completely like the actual matas website. I’m also wondering how they knew that I was in the matas store few days ago.

I’m usually very aware of scams and if the timeline does not align - I would not have taken the survey. They really got me.”

Den 14. juli 2025 afviste banken klagerens indsigelse og anførte, at klageren selv hæftede for op til 8.000 DKK.

Klageren anmeldte ligeledes sagen til politiet, og i en politianmeldelse af 24. juli 2025 anførte klageren blandt andet følgende i rubrikken ”Beskriv kort hvad du har oplevet:

”Jeg handlede hos Matas den 2. juli og igen den 3. juli 2025. Begge gange i deres butik på [sted]. Kort efter disse køb modtog jeg en email, der tilsyneladende kom fra Matas, hvor jeg blev opfordret til at deltage i en kundetilfredshedsundersøgelse. Da jeg netop havde foretaget køb i butikken, virkede det fuldstændig naturligt og troværdigt. Efter at have gennemført undersøgelsen, fik jeg tilbudt en tak for deltagelsengave, som kunne sendes direkte til den Matas butik, jeg havde handlet i. Alt jeg skulle gøre, var at betale porto for at få gaven leveret. Jeg fik et link, hvor jeg kunne vælge netop Matas-butikken på [sted] hvilket underbyggede oplevelsens autenticitet. Hele forløbet var professionelt udført og matchede Matas visuelle branding, kommunikation og kundetilgang. Da jeg senere blev præsenteret for en MitID-godkendelse, troede jeg, at jeg bekræftede portoen for at modtage kundegaven, ikke en betaling på 310,65 USD til en ukendt tredjepart. MitID-bekræftelsen fremstod som en rutinemæssig godkendelse af en mindre transaktion, og jeg reagerede derfor ikke mistænksomt. Derfor fandt jeg det ikke mærkeligt, at navnet i MitID-godkendelsen ikke lød bekendt, det forekom ikke unormalt. Jeg lagde heller ikke mærke til det nøjagtige beløb i USD, fordi jeg var overbevist om, at det drejede sig om en porto på et mindre beløb. Jeg handlede i god tro og blev narret af et meget overbevisende svindelsetup. Som følge af denne hændelse har jeg straks handlet ansvarligt ved at slette den svindelmail, jeg modtog, lukkede mine kort og MitID samt genskabe mine adgangskoder til min e-mail for at sikre mine digitale identiteter og minimere risikoen for yderligere misbrug. Jeg har desuden videresendt svindelmailen til Matas kundeservice og gjort dem opmærksomme på situationen, så de kan advare andre kunder og forhindre, at flere bliver udsat for samme svindel.”

Parternes påstande

Den 22. august 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 2.012,75 DKK.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun altid har været opmærksom på digital svindel og har undervist sine forældre i at spotte det. Denne svindel var imidlertid så veludført, at selv hun blev narret.

Kort tid før hændelsen, hvor hun blev udsat for svindel, handlede hun i en Matas-butik to gange. Det faktum, at hun modtog en e-mail vedrørende en kundeundersøgelse fra Matas umiddelbart efter sine køb, gjorde situationen meget troværdig.

Alt ved afsender, layout og sammenhæng virkede troværdigt. Hun blev manipuleret til at tro, at hun blot godkendte en mindre porto-betaling. Hun hæfter sig normalt ikke ved, at virksomhedens navn i MitID ikke altid matcher butikken direkte. Derfor vækkede navnet i MitID-godkendelsen ikke mistanke.

Hendes godkendelse af betalingen var ikke groft uagtsom, men skete snarere på baggrund af den tillid, som hun havde til Matas som en velkendt og respektabel virksomhed. Hun henviser i den forbindelse til praksis, der slår fast, at forbrugere ikke kan holdes ansvarlige for svindel, som udnytter deres gode tro og tillid til etablerede mærker.

Banken er hurtig til at konkludere, at hun har handlet uagtsomt uden at tage højde for den konkrete kontekst, hvorunder godkendelsen fandt sted. Den præsentation, hun modtog, blev opfattet som en simpel og ufarlig godkendelse af portoen, og ikke en betaling til en ukendt part. Det er i strid med de forventninger, forbrugere som hende har til gennemsigtighed og sikkerhed ved finansielle transaktioner, når de præsenteres for en uventet omkostning på så stort et beløb, uden klart at være blevet informeret om transaktionens reelle karakter.

Ifølge betalingsloven §§ 100-101 kan kortholder kun hæfte for op til 375 DKK, medmindre der er handlet groft uforsvarligt. Grov uforsvarlighed kræver en adfærd, der i væsentlig grad afviger fra, hvad en fornuftig person ville gøre i situationen. Hun har handlet i god tro ud fra et scenarie, der fremstod legitimt og naturligt i forbindelse med hendes nylige køb. Hun traf hurtigt alle nødvendige foranstaltninger, efter hun opdagede, at hun var blevet svindlet. Forholdene viser, at der ikke foreligger groft uforsvarlig adfærd.

Nordea Danmark har anført, at betalingen var korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Det var klageren selv, som godkendte betalingen på 310,65 USD, og hun hæfter derfor med op til 8.000 DKK.

Klageren godkendte betalingen med sit eget identifikationsmiddel -5688, som blev oprettet den 14. december 2024 på klagerens telefon, og som først blev spærret den 10. juli 2025 efter foretagelsen af kortbetalingen. Kortbetalingen blev godkendt med klagerens egen personlige sikkerhedsforanstaltning i form af MitID brugernavn og adgangskode, samt godkendelse i klagerens MitID-app.

Klageren blev præsenteret for teksten: ’’Betal 310,65 USD til [A]”, som var tydelig omkring beløb, betalingsmodtager samt kortnummer.

Når klageren valgte at godkende et beløb på 310,65 USD, som hun var tydelig oplyst om, hvad angik, og efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i MitID groft uforsvarlig adfærd fra hendes side, hvorfor hun hæfter med en selvrisiko på op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet MasterCard.

Den 10. juli 2025 blev der gennemført en kortbetaling på 310,65 USD svarende til 2.012,75 DKK til en udenlandsk betalingsmodtager, A, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun den 2. og 3. juli 2025 havde handlet hos Matas. Den 10. juli 2025 modtog hun en e-mail, som fremstod som en kundeundersøgelse fra Matas, hvor hun efter udfyldelse heraf kunne vælge en gave som tak for hjælpen. Hun skulle kun betale for portoen, som var angivet til 28 DKK. Hun godkendte efterfølgende et beløb i sin MitID-app, men indså kort efter, at hun havde været udsat for svindel.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -5688, som blev installeret på klagerens telefon den 14. december 2024, og at klageren ved sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 310,65 USD til [A] fra kort xx4538”.

Klageren har anført, at alt ved afsender, layout og sammenhæng virkede troværdigt. Hun blev manipuleret til at tro, at hun blot godkendte en mindre porto-betaling. Hun hæfter sig normalt ikke ved, at virksomhedens navn i MitID ikke altid matcher butikken direkte. Derfor vækkede navnet i MitID-godkendelsen ikke mistanke.

Banken afviste at tilbageføre beløbet til klageren med den begrundelse, at klageren selv hæftede for op til 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Iben Leisner og Janni Visted Hansen – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 310,65 USD med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 310,65 USD og beløbsmodtageren A, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Jørgen Lanng – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 1.637,75 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.