Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

Afgørelse

Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 162/2026
Dato: 29-06-2026
Ankenævn: Katrine Waagepetersen, Jonas Thestrup Nielsen, Jimmy Bak, Elizabeth Bonde og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde et Visa/Dankort -7285.

Den 4. februar 2026 blev der med klagerens Visa/Dankort gennemført en kortbetaling på 485,97 EUR svarende til 3.665,89 DKK til en betalingsmodtager, D. Klageren kan ikke vedkende sig betalingen.

Klageren har oplyst, at han afventede en forsinket pakke fra GLS. Han modtog en SMS, der fremstod som værende fra GLS, hvori det blev oplyst, at leveringen var suspenderet på grund af en ufuldstændig adresse. Han blev bedt om at opdatere sine leveringsoplysninger via et link. Via linket blev han bedt om at betale et gebyr på 5 DKK for adresseændring. Han indtastede sine kortoplysninger og blev ledt videre til godkendelse i MitID-appen. Han opfattede godkendelsen som en del af adresseændringen. Klageren har fremlagt SMS’en, der indeholdt følgende:

”[GLS] Leveringen er blevet suspenderet på grund af en ufuldstændig adresse. Opdater venligst dine leveringsoplysninger: [Link]”

Klageren har oplyst, at SMS’en fremgik i hans eksisterende SMS-tråd med GLS, som klageren har fremlagt uddrag af.

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app nr. -6420. Banken har fremlagt en udskrift fra klagerens MitID log og en udskrift fra Nets’ autentifikationsportal med teksten, der blev sendt til MitID-app i forbindelse med godkendelse af betalingen. Af udskriften fra Nets fremgik:

”Betal 485,97 EUR til [betalingsmodtager D] fra kort xx7285”

Banken har oplyst, at teksten blev sendt til klagerens MitID-app kl. 08:22, og at der i autentifikationsportalen er en tidsforskel på en time i forhold til dansk tid, hvorfor tidspunkt var kl. 09:22 dansk tid.

Af klagerens MitID-log fremgår blandt andet, at klageren på transaktionstidspunktet havde ét aktivt MitID identifikationsmiddel -6420, der blev aktiveret den 8. marts 2022. Endvidere fremgår:

”04-02-2026 09:22:55.570 CET App – autentificering lykkedes

...

MitID identifikationsmiddel-ID ...-6420”

Banken har oplyst, at transaktionen var korrekt registreret og bogført, og at betalingen ikke var ramt af tekniske svigt eller andre fejl.

Den 6. februar 2026 gjorde klageren indsigelse mod betalingen over for banken. I indsigelsesblanketten anførte klageren:

”Jeg fik en sms fra GLS, nøjagtig samme tlf nr som andre beskeder fra GLS. Der stod min pakke ikke kunne leveres pga ugyldig adresse. Jeg venter en pakke som er forsinket, og har glemt at indtaste lejlighedsnummer, så jeg troede det drej[e]de sig om denne pakke. Den indholdt[e] et link til GLS side med adresse ændring og gebyr på 5kr. Betaling med kort. Jeg havde travlt så jeg tastede kort nr og godkendte uden at kigge ordentligt. Med det samme gik det op for mig hvad der var sket så jeg ringede til JB og bad om at stoppe transaktion. Fik at vide det ikke var muligt at jeg skulle rapportere efter transaktion. Fik spærret kort med det samme ...

Dato for kortspærring

...

4. februar 2026 ...”

Banken afviste at dække klagerens tab, da tabet var under 8.000 DKK.

Parternes påstande

Den 23. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal godtgøre hans tab på 3.665,89 DKK.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at han ikke har handlet groft uforsvarligt.

Han blev udsat for målrettet og professionel svindel (phishing/smishing), hvor han blev manipuleret gennem en troværdig SMS fra et kendt nummer, en realistisk forklaring om adressefejl, et mindre gebyr på 5 DKK og en professionelt udformet hjemmeside.

SMS’en kom fra et nummer, der svarede til tidligere beskeder, han havde modtaget fra GLS, og fremstod derfor legitim. Den falske besked fremgik i hans SMS-oversigt under den ægte GLS-afsender-ID. GLS har skriftligt bekræftet, at beskeden var falsk. SMS-spoofing er ikke almindelig skødesløshed.

Han afventede aktuelt en reel GLS-levering. Pakken var ifølge tracking håndteret af et tysk fragtfirma. Han var overbevist om, at der var tale om en legitim henvendelse fra GLS og opfattede godkendelsen som en del af adresseændringen. Hans pakke kom fra Hong Kong og blev sendt gennem Tyskland. På hjemmesidens Track & Trace kunne han se, hvor pakken sidst var læsset. D var ligeledes en tysk virksomhed. Modtagernavnet D i MitID-appen var ikke åbenlyst mistænkeligt.

Godkendelsen i MitID skete i god tro som led i denne manipulation. Godkendelse blev afgivet under en fundamental vildfarelse om betalingens indhold og kan dermed ikke udgøre et gyldigt samtykke i betalingslovens forstand. Det samtykke, der reelt blev afgivet, dækkede aldrig den faktiske transaktion. Stærk kundeautentifikation er ikke i sig selv er tilstrækkeligt til at fastslå, at en betaling er autoriseret, når samtykket er fremkaldt gennem bedrageri.

Straks efter godkendelsen blev han opmærksom på, at der kunne være tale om svindel. Han reagerede straks ved at kontakte banken den 4. februar 2026 og forsøgte aktivt at stoppe betalingen, hvilket understøtter, at han ikke har handlet groft uforsvarligt, men tværtimod ansvarligt i situationen.

Banken oplyste under samtalen, at den kunne se, at transaktionen var reserveret i systemet, men at det ikke var muligt at stoppe den. Han bad banken om at markere overførslen som svindel og undersøge, om pengene kunne tilbagebetales. Han fik at vide, at dette ikke var muligt. Han spurgte, om han kunne fjerne penge fra sin konto for at forhindre, at de blev trukket. Dette var heller ikke muligt. Han blev vejledt om at afvente, at beløbet var trukket, hvorefter han kunne indsende en indsigelse. Det blev i den forbindelse oplyst, at man i langt de fleste tilfælde får sine penge tilbage i denne type sager.

Han fulgte bankens anvisning, spærrede straks sit kort, ændrede omgående sine MitID-oplysninger og gjorde GLS opmærksom på, at han var blevet udsat for en phishing SMS.

Der skal foretages en samlet helhedsvurdering af forløbet. Betingelserne for udvidet hæftelse efter betalingslovens § 100, stk. 4, nr. 3 er ikke opfyldt. Den af banken nævnte ankenævnsafgørelse 746/2023 er ikke sammenlignelig med nærværende sag, der vedrører SMS-spoofing, hvilket gør det objektivt umuligt for en almindelig forbruger at se, at beskeden er falsk.

Subsidiært har han ret til tilbageførsel for ikke-leveret ydelse efter betalingslovens § 112, idet der ikke blev leveret nogen ydelse til ham for de 3.665,89 DKK. Banken er som kortudsteder forpligtet til at bistå ham med at søge beløbet tilbageført fra betalingsmodtager. Banken har en vejledningspligt over for ham om denne mulighed. Banken har endvidere som kortudsteder en selvstændig forpligtelse til at iværksætte charge back via Visa/Dankort-kortnetværket, jf. betalingslovens § 112.

Han indgik en aftale med GLS om en adresseændring til 5,00 DKK – en ydelse han aldrig modtog. Der var tale om et frivilligt køb af en konkret ydelse, som ikke blev leveret. Det er præcis denne situation § 112 er designet til at beskytte forbrugere imod. Bankens fortolkning – at bestemmelsen slet ikke finder anvendelse, blot fordi købet var fremkaldt ved svindel – ville reelt gøre § 112 tandløs i de situationer, hvor forbrugere har allermest brug for beskyttelse.

Sagen skal ikke afvises. Sagens faktiske omstændigheder fremgår objektivt af bankens egne bilag.

Jyske Bank har til støtte for frifindelsespåstanden anført, at betalingen er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Betalingen blev godkendt med klagerens kortoplysninger og i klagerens MitID-app -6420. Klagerens MitID er en personlig sikkerhedsforanstaltning. Ved transaktionen blev der anvendt stærk kundeautentifikation.

Efter betalingslovens § 100, stk. 4, nr. 3, hæfter betaleren (medmindre videregående hæftelse følger af stk. 5) med op til 8.000 DKK for tab som følge af andres uberettigede anvendelse af betalingstjenesten, hvis betalerens udbyder godtgør, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Klageren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse og hæfter dermed med op til 8.000 DKK af tabet. Klageren har oplyst, at han tilgik et link i en falsk besked, der angav at være fra GLS, og at han videregav sine kortoplysninger via linket og godkendte den omhandlede betaling i sin MitID-app.

Klageren fik i godkendelsesbilledet i MitID-appen, netop forinden han godkendte betalingen, forevist både beløbets størrelse samt navn på beløbsmodtager. Det fremgik klart af godkendelsesteksten, at klageren godkendte og gennemførte en betaling på 3.665,89 til D med sit Visa/Dankort og ikke betalte 5,00 DKK for en adresseændring hos GLS. Havde klageren læst detaljerne for betalingen, i MitID-appen, kunne misbruget have været undgået. Det har ikke betydning for sagen, at den falske besked fremgik af klagerens SMS-oversigt for GLS-beskeder. Det afgørende er, at klageren burde have reageret på godkendelsesteksten i MitID-appen, hvor han fik forevist en helt anden modtager og et helt andet beløb, end han havde til hensigt at godkende.

Da klagerens tab er mindre end 8.000 DKK, skal klageren selv dække hele tabet, jf. også ankenævnsafgørelse 746/2023.

Tidspunktet for vurderingen af den groft uforsvarlige adfærd er tidspunktet for betalingens godkendelse. Det har derfor ikke betydning for vurderingen af hæftelsen, at klageren umiddelbart derefter spærrede sit betalingskort og skiftede MitID-oplysninger.

Betalingen er ikke omfattet af betalingslovens § 112. Betalingslovens § 112 vedrører den situation, hvor en kunde indgår en aftale med en betalingsmodtager om køb af en vare/tjenesteydelse og dermed ”frivilligt” bestiller varen/ydelsen, men hvor denne f.eks. ikke leveres. Bestemmelsen vedrører således situationer, hvor en betaler (bevidst) samtykker i en betaling hos en bestemt modtager og vedrører dermed autoriserede betalinger. I den pågældende sag, hvor klageren som følge af svindel blev narret til at tro, at han betalte for en adresseændring hos GLS, men derimod betalte for en ydelse til D, har klageren ikke købt en vare/tjenesteydelse, som ikke blev leveret.

Jyske Bank har til støtte for afvisningspåstanden anført, at der er en sådan usikkerhed om det faktisk passerede, herunder omstændighederne i forbindelse med betalingen, at en afgørelse forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Sagen bør derfor afvises i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde et Visa/Dankort -7285.

Den 4. februar 2026 blev der med klagerens Visa/Dankort gennemført en kortbetaling på 485,97 EUR svarende til 3.665,89 DKK til en betalingsmodtager, D. Klageren kan ikke vedkende sig betalingen.

Klageren har oplyst, at han afventede en forsinket pakke fra GLS. Han modtog en SMS, der fremstod som værende fra GLS, hvori det blev oplyst, at leveringen var suspenderet på grund af en ufuldstændig adresse. Han blev bedt om at opdatere sine leveringsoplysninger via et link. Via linket blev han bedt om at betale et gebyr på 5 DKK for adresseændring. Han indtastede sine kortoplysninger og blev ledt videre til godkendelse i MitID-appen.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 485,97 EUR til [betalingsmodtager D] fra kort xx7285”.

Banken afslog at godtgøre klagerens tab, da tabet var under 8.000 DKK.

Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Katrine Waagepetersen, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren har godkendt betalingen på 485,97 EUR med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 485,97 EUR og beløbsmodtageren D, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Elizabeth Bonde og Kim Korup Eriksen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 3.290,89 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.