Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 191/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Katrine Waagepetersen, Jonas Thestrup Nielsen, Jimmy Bak, Elizabeth Bonde og Kim Korup Eriksen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort -4087.
Den 28. januar 2026 blev der gennemført en kortbetaling på 15.000 kr. med klagerens betalingskort til en betalingsmodtager, S, som klageren ikke kan vedkende sig.
Betalingen blev bogført på klagerens konto den 2. februar 2026, hvorved klagerens konto gik i overtræk.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -1430. Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf det blandt andet fremgår, at MitID -1430 blev aktiveret 13. juni 2024. Endvidere fremgår:
”28-01-2026 20:58:09.745 CET App – autentificering lykkedes”
Banken har endvidere fremlagt en udskrift fra MitID med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 15000,00 DKK til [S] fra kort xx4087.”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Den 2. februar 2026 gjorde klageren indsigelse mod betalingen over for banken. I forbindelse med indsigelsen oplyste klageren blandt andet:
”Jeg fik en besked via sms omkring at opdatere min mobilepay, men jeg gik aldrig ind på det, da det virkede mistænkeligt.
...
Som nævnt tidligere fik jeg en besked om at opdatere min mobilpay app, men beskeden ignorerede jeg.
...
Jeg aner ikke hvad der skete udover at jeg fik en sms en gang, hvilket jeg så bort fra, men alligevel nogle dage efter, så jeg at der var trukket 15.000 fra min konto.”
” Er du for nyligt blevet bedt om at opdatere personlige oplysninger /kort informationer via nettet?
Nej.
...
Jeg blev først opmærksom på misbruget den 2. februar 2026, da jeg tjekkede min netbank og så, at beløbet på 15.000,00 kr. var blevet trukket. Selvom transaktionen er dateret til den 28. januar, fremgik den ikke som gennemført før den 2. februar. Jeg spærrede kortet med det samme. Jeg har på intet tidspunkt set en anmodning i MitID-appen om at godkende en betaling til [S]; jeg troede kun, jeg bekræftede min identitet.”
Den 6. februar 2026 besvarede banken indsigelsen og meddelte, at klageren selv hæftede for 8.000 kr. Banken godtgjorde klageren 7.000 kr., svarende til den ikke-vedkendte betaling på 15.000 kr. til S fratrukket 8.000 kr.
Klageren gjorde indsigelse mod bankens afgørelse. Banken fastholdt sin afgørelse.
Parternes påstande
Den 9. marts 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre ham det fulde beløb.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han har været offer for målrettet it-kriminalitet svindel.
Der blev trukket penge, som han ikke mener at have godkendt.
Da transaktionen til S på 15.000 kr. blev forsøgt gennemført den 28. januar, var hans saldo kun 330 kr. Da han hverken har en kassekredit eller en aftale om overtræk, burde banken have afvist betalingen med det samme på grund af manglende dækning.
I stedet valgte banken at facilitere og gennemføre den svindelrelaterede transaktion den 2. februar, hvilket efterlod hans konto med et uautoriseret overtræk på -8.677 kr.
Banken bærer det fulde ansvar for at have tilladt en mistænkelig overførsel at gå igennem. Overførslen oversteg langt hans disponible saldo og blev genereret gennem svindel. Banken har dermed svigtet sit kontrolansvar og har handlet i strid med god pengeinstitutpraksis.
Banken skal tilbageføre beløbet på 15.000 kr., da banken har handlet i strid med god pengeinstitutpraksis ved at tillade et overtræk på en konto uden kreditaftale og uden fornyet autorisation fra hans side den 2. februar.
Det undrer ham, at beløbet ikke blev reserveret, men i stedet hævet direkte, selvom der ikke var tilstrækkelige midler på kontoen, hvilket medførte et overtræk. Hvis pengene blev reserveret på hans konto i stedet, kunne man have undgået alt dette.
Danske Bank har til støtte for frifindelsespåstanden anført, at transaktionen er korrekt registreret og bogført.
Korttransaktionen er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation. MitID-app’en var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. På den baggrund må det lægges til grund, at klageren selv autoriserede betalingen, omend uforvarende.
Klageren har sandsynligvis været udsat for phishing og må i den forbindelse selv have videregivet sine kortoplysninger til tredjemand, hvilket muliggjorde betalingen. Det fremgik af godkendelsesteksten i klagerens MitID-app, at betalingsmodtageren var S, og at beløbet på 15.000 kr. ville blive trukket på klagerens betalingskort.
Det måtte være klart for klageren, at han var ved at foretage en betaling på det pågældende beløb til en ukendt betalingsmodtager.
Klageren befandt sig ikke i en presset situation i forbindelse med udleveringen af sine kortoplysninger og efterfølgende godkendelse af betalingen. Klageren muliggjorde således ved groft uforsvarlig adfærd betalingen, hvorfor klageren hæfter med 8.000 kr. i henhold til betalingslovens § 100, stk. 4. Klageren er derfor alene berettiget til en godtgørelse på 7.000 kr., svarende til det ikke-vedkendte beløb på 15.000 kr. fratrukket 8.000 kr. Banken har godtgjort klageren et beløb på 7.000 kr. i forbindelse med indsigelsessagen.
Hverken klagerens Visa/Dankort eller klagerens konto er udstyret med saldokontrol, hvorfor klageren ikke kunne have en forventning om, at kontoen ikke kunne gå i overtræk. Det følger af Ankenævnets praksis, at den omstændighed at klagerens konto går i overtræk i forbindelse med betalingen, ikke i sig selv kan føre til, at klageren ikke hæfter i henhold til § 100, stk. 4, i lov om betalinger, jf. Ankenævnets sag nr. 114/2023.
Danske Bank har til støtte for afvisningspåstanden anført, at klagerens påstand om, at han ikke har godkendt beløbet, ikke hænger sammen med bankens oplysninger om, at klageren blev præsenteret for både beløbsmodtager og beløb i MitID-app’en, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen. En vurdering af sagen vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet Visa/dankort -4087.
Den 28. januar 2026 blev der gennemført en kortbetaling på 15.000 kr. med klagerens betalingskort til en betalingsmodtager, S, som klageren ikke kan vedkende sig.
Den 2. februar 2026 gjorde klageren indsigelse mod betalingen over for banken. I forbindelse med indsigelsen oplyste klageren, at han modtog en sms med besked om at opdatere sin MobilePay, men at han ikke gik ind på den. Klageren anførte endvidere, at han på intet tidspunkt havde set en anmodning i MitID-appen om at godkende en betaling til S, og at han kun troede, at han bekræftede sin identitet. I klagesagen har klageren anført, at han ikke har godkendt det trukne beløb. Klageren har endvidere anført, at banken burde have afvist betalingen med det samme på grund af manglende dækning, da han hverken har en kassekredit eller en aftale om overtræk.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -1430, som blev aktiveret 13. juni 2024, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 15000,00 DKK til [S] fra kort xx4087.”
Banken godtgjorde klagerens tab med fradrag af 8.000 kr., hvorfor den tilbageførte 7.000 kr. til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Katrine Waagepetersen, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:
Vi lægger til grund, at klageren må have godkendt betalingen på 15.000 kr. med sit MitID.
Vi finder herefter, at Danske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 15.000 kr. og beløbsmodtageren, S, og at klageren som følge heraf hæfter med op til 8.000 kr.
Det kan ikke føre til et andet resultat, at klagerens konto gik i overtræk ved betalingen.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Elizabeth Bonde og Kim Korup Eriksen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at Danske Bank har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at Danske Bank er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at Danske Bank skal tilbageføre 7.625 kr. til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.