Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for transaktion, der blev godkendt i MitID.

Sagsnummer: 522 /2025
Dato: 23-02-2026
Ankenævn: Bo Østergaard, Jonas Thestrup Nielsen, Majken Christoffersen og Rolf Høymann Olsen.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for transaktion, der blev godkendt i MitID.
Indklagede: Sparekassen Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for transaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen Danmark, hvor han blandt andet havde en konto -187.

Den 22. juli 2025 blev der gennemført to transaktioner på 90,39 EUR og 700,78 EUR svarende til henholdsvis 681,56 DKK og 5.284,01 DKK fra klagerens konto til en udenlandsk betalingsmodtager, rejseselskab D, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en e-mail fra Nets, hvori Nets blandt andet oplyser følgende om transaktionerne:

”Den var også svær at finde at det er en godkendelse som forretningen har delt i 2 betalinger.

Se nedenstående informationer angående din forespørgsel.

Beløb: 791,17 EUR

Dato og _d: 20-07-2025 kl 09:35 +09:36

Valideret med: Mitd app

MitID tekst:

Betal 791,17 EUR til [rejseselskab D] fra kort [-772]

IP adresse: [XX.XXX.XX.167]

IP adresse land: DK (DENMARK)”

Sparekassen har anført, at transaktionen blev godkendt med stærk kundeautentifikation med MitID.

Klageren har oplyst, at yderligere to transaktioner fra hans konto til en udenlandsk betalingsmodtager, rejseselskab E, blev afvist den 20. juli 2025.

Klageren gjorde indsigelse mod transaktionerne over for sparekassen. Sparekassen afviste at godtgøre klagerens tab.

Klageren har fremlagt ”Afgørelse i din anmeldelse om økonomisk kriminalitet” af 4. september 2025 fra National enhed for særlig kriminalitet.

Klageren har endvidere fremlagt en e-mail af 12. september 2025 fra MitID support, hvoraf fremgår:

”Vores leverandør har fundet en fejl i systemet som gør at det fejler, de arbejder på at få det løst.

Vi har fundet en måde hvor du kan hente din GDPR rapport alligevel, vi har vedhæftet en vejledning som du kan følge.”

Klageren har yderligere fremlagt en e-mail af 9. oktober 2025 fra elektronikvirksomhed E, der oplyser, at virksomheden ikke har foretaget de to transaktioner på klagerens konto. 

Parternes påstande

Den 24. oktober 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Danmark skal tilbageføre de uretmæssige transaktioner til hans konto.

Sparekassen Danmark har nedlagt påstand om afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at der uretmæssigt blev hævet to beløb på hans konto i forbindelse med hacking af kontoen. Købene blev foretaget uden hans kendskab og godkendelse.

Begge beløb blev hævet den dag + 1 bankdag, hvor der var nedbrud hos Nets. Teknisk set står begge beløb som godkendt af ham (swipet), men dette er ikke tilfældet, hvorfor der er tale om sikkerhedsbrud hos SD/MitID.

Han har fået bekræftet af MitID, at der er fejl på hans konto. Han har også fået bekræftet af SD, at købene ikke var foretaget af ham, men af to navngivne personer i Island. Han har kontaktet den virksomhed på Island, rejseselskab D, som har trukket beløbene. Virksomheden bekræftede, at der var tale om køb af flybilletter udstedt til de to navngivne personer og dermed ikke til ham. Rejseselskab D kan bekræfte oplysningerne over for Ankenævnet ved kontakt hertil.

Han ønsker retfærdighed og sikkerhed. Sparekassen bør godtgøre beløbet, der uretmæssigt blev trukket på hans konto af kriminelle. Sparekassen har allerede indrømmet, at det ikke var ham, der foretog de to køb.

Fejlen hos MitID burde kendes af alle MitID-brugere, således at de advares. MitID er efterfølgende blevet ændret/opgraderet, jf. MitID.

Det krænker ham som kunde, at pengeinstituttet ikke undersøger en eventuel systemfejl nærmere, men i stedet vælger den nemme løsning og afviser hans krav. Alle røde sikkerhedsalarmer burde blinke, når sådan noget kan ske. Hackerne er et skridt foran, men fejl i andres system vil de ikke betale for.

Han har i sagen fremlagt dokumentation for fejl på MitID, det vil sige en systemfejl. Sparekassens påstand om, at det er ham, der ikke kan hente GDPR-rapporten er blevet modbevist, da han var til kundemøde i sparekassen, hvor rådgiveren heller ikke kunne danne en GDPR-rapport.

Sparekassen Danmark har til støtte for afvisningspåstanden anført, at klageren ikke har fremlagt en GDPR-rapport fra MitID, og at transaktionen blev godkendt med klagerens MitID. Klageren gør gældende, at han ikke selv har gennemført transaktionen.

En vurdering af sagen vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4

Sparekassen har til støtte for frifindelsespåstanden anført, at betalingsloven fastsætter grænserne for sparekassens forpligtelser til at godtgøre kunder for visse betalinger.

Klageren autoriserede betalingen ved at swipe i sin MitID-app. Betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Klagerens MitID er en personlig sikkerhedsforanstaltning og udgør stærk kundeautentifikation.

Som udbyder af betalingstjenester hæfter sparekassen for tab som følge af andres uberettigede anvendelse af en betalingstjeneste. Har betaleren ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse, hæfter betaleren for DKK 8.000 af tabet, jf. betalingslovens § 100, stk. 4.

Forud for godkendelsen af betalingstransaktionen blev klageren præsenteret for en tekst, hvoraf den registrerede betalingsmodtager rejseselskab D og det omtvistede beløb fremgik. Klageren godkendte beløbet med MitID og har således ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse. Klageren hæfter derfor for 8.000 DKK af tabet for den uberettigede anvendelse af sit kort. Da tabet ikke overstiger 8.000 DKK, hæfter klageren for hele beløbet.

Ankenævnets bemærkninger

Den 22. juli 2025 blev der gennemført to transaktioner på 90,39 EUR og 700,78 EUR svarende til henholdsvis 681,56 DKK og 5.284,01 DKK fra klagerens konto i Sparekassen Danmark til en udenlandsk betalingsmodtager, rejseselskab D, som klageren ikke kan vedkende sig.

Sparekassen har fremlagt en e-mail fra Nets, hvori Nets blandt andet oplyser, at forretningen, rejseselskab D, havde delt godkendelsen i to betalinger, samt at følgende godkendelsestekst fremgik af MitID i forbindelse med godkendelsen af transaktionerne: ”Betal 791,17 EUR til [rejseselskab D] fra kort [-772]”.

Klageren har oplyst, at han ikke har godkendt transaktionerne med sit MitID.

Sparekassen afviste at godtgøre klagerens tab.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.