Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

Afgørelse

Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 194/2026
Dato: 29-06-2026
Ankenævn: Kristian Korfits Nielsen, Inge Kramer, Signe Kjørup Carlsson, Tina Thygesen og Anna Marie Schou Ringive.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Lån & Spar Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -271.

Klageren har oplyst, at hun den 3. februar 2026 kl. 12:31 modtog en SMS, der fremstod som værende fra GLS. Klageren har fremlagt et skærmprint med SMS’en, hvoraf fremgår:

”Levering mislykkedes:

Postnummeret mangler i leveringsoplysningerne. Opdater venligst postnummeret via følgende link: http://glsso.my.id.dk

Klageren har endvidere oplyst, at SMS’en var sendt fra GLS’ telefonnummer og i samme SMS-tråd, hvor hun tidligere havde modtaget beskeder fra GLS. På det pågældende tidspunkt afventede hun en pakke fra GLS. Hun fik oplyst, at hun skulle betale et gebyr på cirka 25 DKK for genfremsendelse af sin pakke. Hun indtastede sine kortoplysninger på GLS’ betalingsside og godkendte med MitID. Kort efter opstod der en fejl på siden.

Den 3. februar 2026 blev der gennemført en kortbetaling på 321,98 USD svarende til 2.072,85 DKK med klagerens betalingskort -271 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgår:

”Betal 321,98 USD til [betalingsmodtager A] 3D Secure fra kort [-271]”

Banken har fremlagt en e-mail fra Nets af 16. marts 2026 med oplysninger om betalingen. Af e-mailen fremgår blandt andet:

”Please see relevant information below.

Date and time: 03.02.2026 14:25

Amount: 321.98 USD

Approved method: mitid.code_app (071)

IP address: …

IP country: DK (Denmark)

Text sent to MitID app: Betal 321,98 USD til [betalingsmodtager A] 3D Secure fra kort [-271]

Enrollment information: …”

Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring. Af denne fremgår blandt andet:

Beskriv hvad der er sket:

Jeg er hoppet i en svindel-SMS fra GLS. SMS'en kommer fra GLS's rigtige telefonnummer (som svindlerne har fået adgang til). SMS'en beskriver, at jeg har oplyst forkert postnummer, hvorfor min pakke (som jeg rigtig nok afventer) ikke kan leveres. Jeg skal betale for genudsendelse. He betaler jeg de 30kr. med mit dankort og bekræfter med Nem-ID. Da transaktionen ikke går igennem, men melder fejl, bliver jeg urolig for mulighed for fusk og kontakter GLS, som oplyser at deres telefonnummer er blevet hacket og anvendes til snyd. Jeg kontakter herefter fluks min bank og får mit kort spærret. Der har her været et kort vindue, hvor svindlerne er lykkedes med at hæve et beløb 2.072,85 kr (321,98 USD), fra Kualalumpur.”

Banken afviste indsigelsen og oplyste, at klageren hæftede med op til 8.000 DKK.

Klageren gjorde indsigelse mod bankens afgørelse, og banken fastholdt afgørelsen.

Klageren har fremlagt skærmprint fra GLS’ hjemmeside med et eksempel på en falsk betalingsside.

Banken har fremlagt et skærmprint fra GLS’ hjemmeside, hvor GLS advarer mod svindel.

Parternes påstande

Den 10. marts 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal tilbageføre 2.072,85 DKK til hende.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført blandt andet, at hun blev udsat for et professionelt phishingangreb. Hendes adfærd kan ikke karakteriseres som groft uforsvarlig.

Hun modtog en SMS, der fremstod som sendt fra GLS’ officielle telefonnummer, og som indgik i en eksisterende beskedtråd fra GLS. På tidspunktet afventede hun en pakke og har tidligere oplevet fejl i postnummer ved levering. Situationen fremstod derfor plausibel.

Betalingssiden fremstod troværdig med GLS-logo og korrekt visuel identitet. Hun indtastede sine kortoplysninger og godkendte med MitID i den tro, at der var tale om et mindre fragtgebyr. Det beløb, der fremgik på websiden, var et mindre gebyr i danske kroner.

Hele forløbet fremstod som om, at det vedrørte en almindelig betaling af et mindre fragtgebyr.

Kort efter opstod der fejl på siden, hvilket gjorde hende mistænkelig. Hun kontaktede straks GLS, der oplyste, at deres nummer var blevet misbrugt i et phishingforsøg. Hun kontaktede herefter omgående banken og fik kortet spærret, og hun ændrede sit MitID.

Hun kan ikke forestille sig, at hun bevidst ville have godkendt en betaling på 2.072,85 DKK i amerikanske dollars til en udenlandsk modtager, hvis dette klart og tydeligt fremgik af godkendelsesforløbet.

Hun reagerede straks, da hun blev opmærksom på forholdet, og hun har ikke handlet med forsæt.

Efter betalingslovens regler påhviler det banken at godtgøre groft uforsvarlig adfærd, hvis kunden skal hæfte ud over den almindelige selvrisiko.

Hun har noteret sig bankens fremlæggelse af oplysninger fra Nets, herunder den tekst, som efter det oplyste er sendt til MitID-appen: “Betal 321,98 USD til [betalingsmodtager A] 3D Secure”. Hun bestrider ikke, at hun har godkendt en MitID-anmodning i forbindelse med forløbet. Hun kan imidlertid ikke genkalde, at hun blev præsenteret for eller opfattede en betaling af denne størrelse i amerikanske dollars til en udenlandsk modtager.

Den fremlagte oplysning fra Nets er en teknisk registrering af den tekst, der er sendt til MitID-systemet. Denne dokumentation belyser imidlertid ikke, hvordan oplysningerne konkret blev præsenteret for hende i MitID-appen, herunder visningens tydelighed, fremhævelse eller kontekst i godkendelsesforløbet.

Ankenævnets praksis på området er ikke entydig. Selv i sager, hvor der er gennemført MitID-godkendelse, beror vurderingen på en konkret bedømmelse af forløbet, herunder manipulationens karakter. Nævnet har i sager foretaget en konkret vurdering af både kontekst og dokumentation, og det er således ikke i sig selv afgørende, at en betaling er godkendt med MitID.

Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren ved groft uforsvarlig adfærd har muliggjort den omtvistede transaktion.

Klagerens adfærd udgør samlet set groft uforsvarlig adfærd, da klageren fulgte et link i en SMS og tilgik en ekstern betalingsside, og klageren indtastede sine kortoplysninger på siden og godkendte herefter betalingen med MitID. Disse handlinger indebærer, at klageren selv har videregivet sine personlige sikkerhedsoplysninger og aktivt har medvirket til gennemførelse af betalingen.

Betingelserne for hæftelse efter betalingslovens § 100, stk. 4, er derfor opfyldt, og banken er ikke forpligtet til at tilbageføre beløbet.

Klageren blev præsenteret for både beløb og beløbsmodtager i sin MitID-app og godkendte.

Efter gældende praksis og hæftelsesregler i betalingsloven, har banken ikke dækket klagerens tab.

Ankenævnets praksis understøtter, at der i sager om phishing og manipulation fortsat kan statueres groft uforsvarlig adfærd, når kunden godkender en betaling med MitID. I afgørelse 497/2025 fandt Ankenævnet, at en kunde, der var blevet udsat for phishing via en troværdig e-mail og hjemmeside, og som i den forbindelse godkendte en betaling med MitID, havde handlet groft uforsvarligt. I sagen havde kunden anført, at hun alene troede, at hun godkendte et mindre beløb, og at hun var udsat for professionel svindel. Banken dokumenterede imidlertid, at kunden i MitID blev præsenteret for det fulde beløb og modtageroplysninger.

GLS advarer mod denne form for svindel.

Banken har til støtte for afvisningspåstanden anført, at sagen forudsætter en egentlig bevisførelse, som ikke kan gennemføres for Ankenævnet, men alene ved domstolene. En afklaring vil kræve parts- og vidneforklaringer samt teknisk bevisførelse, som ligger uden for Ankenævnets kompetence. Sagen bør derfor afvises i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter og i overensstemmelse med nævnets faste praksis i tilsvarende sager.

Ankenævnets bemærkninger

Klageren var kunde i Lån & Spar Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -271.

Klageren har oplyst, at hun den 3. februar 2026 kl. 12:31 modtog en SMS, der fremstod som værende fra GLS. Af SMS’en fremgik, at levering var mislykket, og at hun skulle opdatere sit postnummer via et anført link. Endvidere fik hun oplyst, at hun skulle betale et gebyr på cirka 25 DKK for genfremsendelse af sin pakke. Hun indtastede sine kortoplysninger på GLS’ betalingsside og godkendte med MitID. Kort efter opstod der en fejl på siden.

Den 3. februar 2026 blev der gennemført en kortbetaling på 321,98 USD svarende til 2.072,85 DKK med klagerens betalingskort -271 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.

Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation med klagerens MitID, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 321,98 USD til [betalingsmodtager A] 3D Secure fra kort [-271]”

Klageren har anført, at hun ikke kan genkalde, at hun blev præsenteret for eller opfattede en betaling af denne størrelse i amerikanske dollars til en udenlandsk modtager.

Klageren gjorde indsigelse mod betalingen. Banken afviste at godtgøre klagerens tab.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Kristian Korfits Nielsen, Inge Kramer og Signe Kjørup Carlsson – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 321,98 USD med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 321,98 USD og betalingsmodtager A, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 1.697,85 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.