Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID.
| Sagsnummer: | 191/2025 |
| Dato: | 15-08-2025 |
| Ankenævn: | Bo Østergaard, Jonas Thestrup Nielsen, Signe Vejen Hansen, Rolf Høymann Olsen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -6272.
Den 5. december 2024 blev der gennemført to kortbetalinger på 15.463.916 indonesiske Rupiah (IDR), i alt 30.927.832 IDR, svarende til i alt 13.817,50 DKK, med klagerens betalingskort -6272 til en udenlandsk betalingsmodtager, betalingsmodtager I, som klageren ikke kan vedkende sig. Banken har anført, at transaktionerne blev godkendt i klagerens MitID-identifikationsmiddel -8541. Banken har fremlagt udskrift fra MitID’s system med teksterne, der blev vist i klagerens MitID-app i forbindelse med godkendelsen af transaktionerne. Af teksten fremgik:
”Betal 15463916,00 IDR til [betalingsmodtager I] fra kort xx6272.”
Af klagerens MitID-log fremgår blandt andet, at klageren på transaktionstidspunkterne havde et aktivt MitID-identifikationsmiddel -8541, som blev aktiveret på klagerens iPhone 12 den 14. marts 2024. Endvidere fremgår, at overførslerne blev godkendt ved app-autentificering den 5. december 2024.
Om baggrunden for kortbetalingerne har klageren oplyst, at han modtog en mail fra en afsender, som udgav sig for hans domæneudbyder, virksomhed A, hvoraf det fremgik, at han skulle betale 125 DKK for at undgå af få sit domæne lukket. Der var i mailen et link, som han åbnede, hvorefter han kom ind på en side, som fremstod som virksomhed A’s betalingsside, hvorefter han indtastede sine kortoplysninger og forsøgte at godkende betalingen med MitID. Betalingen blev ikke gennemført, hvorfor han ringede til virksomhed A for at få klarhed over situationen. I telefonkøen fik han at vide, at der var mange falske mails i omløb, og at virksomhed A for tiden suspenderede mange domæner. Da han kom igennem telefonkøen, fik han at vide, at mailen ikke var sendt fra virksomhed A. Klageren spærrede herefter straks sit betalingskort.
Klageren har oplyst, at han herefter ringede til banken, der oplyste ham om, at der var trukket to beløb på ca. 7.000 DKK til en betalingsmodtager i Indonesien. Senere på dagen sendte han en mail til virksomhed A, hvor han oplyste, at der var blevet trukket penge på hans konto, efter at han havde modtaget en falsk mail fra en afsender, som udgav sig for at være virksomhed A.
Ved tro- og loveerklæring af 9. december 2024 gjorde klageren indsigelse mod de to ikke-vedkendte transaktioner.
Den 10. december 2024 svarede virksomhed A, at klageren ikke havde noget udestående og anbefalede ham at kontakte sin bank.
Den 17. december 2024 godtgjorde banken klageren 5.817,50 DKK. (13.817,50 DKK med fradrag af 8.000 DKK).
Parternes påstande
Den 29. april 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal erstatte ham 8.000 DKK.
Danske Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at svindlen var af avanceret karakter og udført professionelt, da mail og betalingsside fremstod identiske med tidligere kommunikation fra virksomhed A, betalingssiden huskede blandt andet hans mailadresse.
Der blev i mailen truet med, at hans domæne ville blive lukket, hvis ikke han betalte udeståendet, hvilket skabte en reel og presserende situation for ham, som fik ham til at reagere hurtigt og uden mistanke.
Bankens henvisning til logfiler fra MitID’s system må ikke uden videre erstatte den faktiske oplevelse og omstændighederne omkring phishing-angrebet. Selvom logfilerne viser, at MitID-appen blev brugt på hans telefon, kan phishing-sider og malware være designet til at omgå eller narre brugeren til ufrivilligt at godkende betalinger. Han anerkender ikke, at hans godkendelse i MitID-appen automatisk betyder, at han har handlet uansvarligt. Han anfægter, at han skulle have opdaget svindlen og påpeger, at det ikke er realistisk at forvente, at en almindelig forbruger kan gennemskue tekniske detaljer som betalingsmodtagerens navn i MitID.
Han forsøgte straks at få bekræftelse og spærrede sit kort, så snart svindlen blev opdaget. Han forsømte således ikke almindelig agtpågivenhed, men handlede derimod ansvarligt i situationen.
Betalingsgodkendelsen i MitID blev ikke korrekt gennemført, da han ikke modtog nogen bekræftelse af betalingerne. Han har derfor ikke frivilligt godkendt transaktionerne på baggrund af fuld indsigt.
Phishing-angreb er en form for tredjemandsmisbrug, hvor kunden kan blive snydt til at godkende betalinger under falske forudsætninger, og det er derfor urimeligt, at han skal hæfte for 8.000 DKK, da han hverken har handlet groft uagtsomt eller svigagtigt.
Banken har som betalingsudbyder en udvidet pligt til at beskytte ham mod sådanne sofistikerede angreb, blandt andet ved at sikre, at stærk kundeautentifikation ikke kan misbruges gennem phishing. Bankens eneste bevis er hans MitID-godkendelse, men det tager ikke højde for den aktuelle teknologiske risiko for phishing, og er derfor for unuanceret som bevismateriale.
Danske Bank har anført, at transaktionerne er korrekt registrerede og bogførte og hverken ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Transaktionerne blev gennemført ved indtastning af kundens kortoplysninger, ligesom transaktionerne blev autoriseret med kundens personlige MitID, som er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, stk. 1, nr. 31, og dermed blev der ved betalingerne anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Der er enighed mellem parterne om, at kunden selv har indtastet sine kortoplysninger og autoriseret transaktionerne med MitID.
Kundens oplysninger om, at godkendelserne ikke blev gennemført, skal ikke tillægges bevismæssig værdi, idet data indhentet direkte fra MitID er troværdige.
Det må anses for godtgjort, at kunden blev forevist et skærmbillede fra MitID med korrekt angivelse af beløb og betalingsmodtager forud for godkendelsen. Kunden har med al sandsynlighed været udsat for enten phishing eller en adfærd, som må sidestilles hermed, hvilket efter fast ankenævnspraksis, herunder sag 197/2023 af 12. december 2023, og retspraksis, herunder Vestre Landsrets dom gengivet i UfR 2023.979 V, skal føre til, at kunden selv hæfter for 8.000 DKK. Der er ikke omstændigheder i sagen, der begrunder, at Ankenævnet skal fravige hidtidig praksis.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han blandt andet havde en konto med tilknyttet betalingskort -6272.
Den 5. december 2024 blev der gennemført to kortbetalinger på 15.463.916 IDR, i alt 30.927.832 IDR, svarende til i alt 13.817,50 DKK, med klagerens betalingskort til en udenlandsk betalingsmodtager, betalingsmodtager I, som klageren ikke kan vedkende sig.
Banken har anført, at transaktionerne blev godkendt med stærk kundeautentifikation i klagerens MitID-app -8541, som blev installeret på klagerens mobiltelefon den 14. marts 2024, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 15463916,00 IDR til [betalingsmodtager I] fra kort xx6272”.
Klageren har anført, at han modtog en mail fra en afsender, som udgav sig for hans domæneudbyder, virksomhed A, hvoraf det fremgik, at han skulle betale 125 DKK for at undgå af få sit domæne lukket. Der var i mailen et link, som han åbnede, hvorefter han kom ind på en side, som fremstod som virksomhed A’s betalingsside, hvorefter han indtastede sine kortoplysninger og forsøgte at godkende betalingen med MitID. Betalingen blev ikke gennemført, hvorfor han ringede til virksomhed A, hvor han fik at vide, at mailen ikke var sendt fra virksomhed A. Han ringede herefter til banken, der oplyste ham om, at der var trukket to beløb på ca. 7.000 DKK til en betalingsmodtager i Indonesien.
Den 17. december 2024 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 5.817,50 DKK til klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Jonas Thestrup Nielsen og Signe Vejen Hansen – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren har godkendt to betalinger på 15.463.916 IDR, i alt 30.927.832 IDR, svarende til i alt 13.817,50 DKK, med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksterne i MitID, hvor han fik oplysninger om to beløb på 15.463.916 IDR, svarende til 6.908,75 DKK, og beløbsmodtager, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Elizabeth Bonde – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.