Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 164/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Katrine Waagepetersen, Jonas Thestrup Nielsen, Jimmy Bak, Elizabeth Bonde og Kim Korup Eriksen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -871. Af klagerens MitID-log fremgår, at hun den 15. juni 2024 installerede MitID -914 på en iPhone.
Klageren har oplyst, at hun den 4. februar 2026 modtog en SMS fra en afsender, som udgav sig for at være GLS. Klageren har fremlagt en SMS, hvoraf fremgår:
” [GLS]
[GLS] Delivery of your order has been suspended because a house number Is missing from the order. Manage your delivery: https://gls-grsup.cc/check”
Hun blev ved linket ført ind på en falsk hjemmeside, hvor hun i den tro, at det vedrørte levering af en pakke, indtastede sine oplysninger.
Den 4. februar 2026 kl. 10:27 blev der med klagerens betalingskort -871 foretaget en kortbetaling på 671,96 EUR svarende til 5.068,90 DKK til en udenlandsk betalingsmodtager V, som klageren ikke kan vedkende sig.
Banken har fremlagt en udskrift fra Nets, hvoraf fremgår, at betalingen på 671,96 EUR med klagerens betalingskort -871 skete ved 3-D secure. Herudover har banken fremlagt en udskrift fra MitID-loggen, hvoraf fremgår blandt andet:
”04-02-2026 10:27:39 […] App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-914]
…”
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -914, som var installeret på klagerens mobiltelefon. Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til klagerens MitID i forbindelse med godkendelse af betalingen. Af teksten fremgik:
”Betal 671,96 EUR til [betalingsmodtager V] fra kort xxx[-871]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført, og at betalingen ikke var ramt af tekniske svigt eller andre fejl.
Ved en tro og love-erklæring af 9. februar 2026 gjorde klageren indsigelse mod betalingen. I tro og love-erklæringen anførte klageren, at hun ikke havde deltaget i eller godkendt betalingen. Herudover fremgår:
”…
Forløb
Jeg modtog en SMS, som udgav sig for at være fra GLS, hvor der stod, at en pakke ikke kunne blive leveret, fordi min adresse ikke var korrekt. Jeg trykkede på linket i beskeden og indtastede min adresse. Herefter blev jeg bedt om at indtaste mine kortoplysninger for at bekræfte leveringen. Kort efter opdagede jeg, at det var scam, og jeg spærrede derfor mit kort med det samme. Jeg har ikke selv foretaget betalingen til [betalingsmodtager V] og betragter den som misbrug af mit kort.”
Den 10. februar 2026 afviste banken klagerens indsigelse.
Samme dag fastholdt klageren sin indsigelse.
Den 18. februar 2026 fastholdt banken sin afvisning af 10. februar 2026.
Klageren har fremlagt en kvittering for anmeldelse til politiet af 19. februar 2026, hvoraf fremgår, at klageren anmeldte betalingsmisbruget til politiet.
Parternes påstande
Den 25. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbagebetale hende tabet på 5.068,90 DKK.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun blev udsat for phishing via en SMS, der blev sendt fra en afsender, der udgav sig for at være GLS. Afsenderen fremstod som troværdig.
Hun har ikke godkendt betalingen på 5.068,90 DKK i MitID. Hun blev sendt videre til MitID, men der blev ikke vist en tydelig og forståelig godkendelsestekst i MitID, hvor beløbet og modtageren fremgik. Havde dette været tilfældet, ville hun ikke have godkendt betalingen. Hun har ikke haft til hensigt at foretage eller godkende betalingen. Hun troede, at hun alene skulle opdatere leveringsoplysninger og ikke gennemføre en betaling. Hun var ikke bevidst om, at hendes oplysninger blev brugt til at gennemføre betalingen. Betalingen er uautoriseret. Hun har ikke godkendt betalingen med viden om, at der var tale om en betaling til en udenlandsk virksomhed. Hvis dette havde stået klart, havde hun ikke accepteret betalingen.
Straks efter hun blev opmærksom på forholdet, kontaktede hun banken og fik forholdet anmeldt. Hun spærrede også sit betalingskort. Hun handlede i god tro og forsøgte at begrænse tabet.
Hun har ikke handlet groft uforsvarligt. At blive udsat for en phishingbesked kan ikke i sig selv blive anset for groft uforsvarlig adfærd. Betingelserne for egen hæftelse er ikke opfyldt. Banken skal hæfte for tabet i henhold til betalingslovens regler om uautoriserede betalinger.
Jyske Bank har til støtte for frifindelsespåstanden anført, at klagerens personlige sikkerhedsforanstaltning har været anvendt til godkendelsen af betalingen, da betalingen er godkendt med klagerens kortoplysninger i klagerens MitID -914, som blev installeret den 15. juni 2024 på klagerens mobiltelefon. Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Klageren har tilgået et link i en falsk besked, der angav at være fra GLS, og har videregivet sine kortoplysninger via linket. Klageren fik i godkendelsesbilledet i MitID, inden hun godkendte betalingen, forevist både beløbets størrelse samt navn på betalingsmodtageren. Det fremgik klart, at hun var i færd med at godkende og gennemføre en betaling på 5.068,90 DKK til betalingsmodtager V med sit Visa/Dankort, og ikke at hun opdaterede sine adresseoplysninger hos GLS. Dette burde have skærpet klagerens opmærksomhed og givet hende anledning til at undersøge sagen yderligere, inden hun godkendte betalingen. Havde klageren læst og reageret på detaljerne for betalingen, som de fremgik af godkendelsesteksten i MitID, kunne misbruget have været undgået. Hun har muliggjort den uberettigede anvendelse på en måde, der gør at hun hæfter med op til 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4, nr. 3. Da klagerens tab er mindre end 8.000 DKK, skal hun dække hele tabet selv.
Banken har til støtte for afvisningspåstanden anført, at klageren bestrider, at hun fik forevist godkendelsesteksten i sin MitID, og at hun godkendte betalingen i sin MitID. Der er derfor en sådan usikkerhed om det faktisk passerede i sagen, herunder de nærmere omstændigheder i forbindelse med godkendelse af betalingen, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Sagen skal afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank, hvor hun havde en konto med et tilknyttet Visa/dankort -871. Af klagerens MitID-log fremgår, at hun den 15. juni 2024 installerede MitID -914 på en iPhone.
Klageren har oplyst, at hun den 4. februar 2026 modtog en SMS fra en afsender, som udgav sig for at være GLS. Hun blev ved linket ført ind på en falsk hjemmeside, hvor hun i den tro, at det vedrørte levering af en pakke, indtastede sine oplysninger.
Den 4. februar 2026 kl. 10:27 blev der med klagerens betalingskort -871 foretaget en kortbetaling på 671,96 EUR svarende til 5.068,90 DKK til en udenlandsk betalings-modtager V, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -914, som var installeret på klagerens mobiltelefon. Banken har fremlagt en udskrift fra Nets med teksten, der blev sendt til klagerens MitID i forbindelse med godkendelse af betalingen. Af teksten fremgik: ”Betal 671,96 EUR til [betalingsmodtager V] fra kort xxx[-871]”.
Ved en tro og love-erklæring af 9. februar 2026 gjorde klageren indsigelse mod betalingen. I tro og love-erklæringen anførte klageren, at hun ikke havde deltaget i eller godkendt betalingen. Den 10. februar 2026 afviste banken klagerens indsigelse.
Samme dag fastholdt klageren sin indsigelse.
Den 18. februar 2026 fastholdt banken sin afvisning af 10. februar 2026.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Katrine Waagepetersen, Jonas Thestrup Nielsen og Jimmy Bak – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 671,96 EUR i sin MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 671,96 EUR og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Elizabeth Bonde og Kim Korup Eriksen – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville hun ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3. Vi stemmer derfor for, at banken skal tilbageføre 4.693,90 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.