Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 227/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Kritte Sand Nielsen, Signe Kjørup Carlsson, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -020.
Klageren har fremlagt korrespondance af 5. marts 2026 mellem hende og en virksomhed vedrørende levering af en vare med DAO.
Klageren har oplyst, at hun den 10. marts 2026 modtog en SMS, der fremstod som værende fra DAO. Klageren har fremlagt et skærmprint med SMS’en, hvoraf fremgår:
"Bemærk venligst, at du skal indtaste dit husnummer. Din vare er i øjeblikket undervejs og venter på levering: https://da0shop.cc/check"
Klageren har endvidere oplyst, at hun modtog SMS’en i en eksisterende SMS-tråd med DAO, og at hun på tidspunktet afventede en pakke fra DAO. Hun fulgte linket i SMS'en for at opdatere leveringsoplysningerne. I den forbindelse blev hun præsenteret for en MitID-godkendelse med teksten: "Betal 639,96 EUR til [betalingsmodtager A] fra kort [-020]".
Den 10. marts 2026 blev der gennemført en kortbetaling på 639,96 EUR svarende til 4.806,69 DKK med klagerens betalingskort -020 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -457, som var installeret på klagerens mobiltelefon den 15. august 2023. Banken har fremlagt en udskrift fra sit system med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgår:
”Betal 639,96 EUR til [betalingsmodtager A] fra kort [-020]”
Banken har oplyst, at transaktionen er korrekt registreret og bogført.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår blandt andet:
”10-03-2026 11:29:27.482 CET App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-457]”
Banken har endvidere fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår blandt andet, at MitID -457 blev aktiveret den 15. august 2023 og sidst blev anvendt den 13. marts 2026.
Beløbet på 4.806,69 DKK blev trukket på klagerens konto den 12. marts 2026.
Samme dag kontaktede klageren banken, der spærrede klagerens betalingskort -020.
Den 12. marts 2026 gjorde klageren indsigelse mod betalingen.
Banken afviste indsigelsen og oplyste, at klageren hæftede med op til 8.000 DKK.
Parternes påstande
Den 19. marts 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 4.806,69 DKK til hende.
Danske Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at hun ikke har handlet groft uforsvarligt.
Sagen bør vurderes efter reglerne i betalingsloven, hvor en kunde kun hæfter fuldt ud ved groft uforsvarlig adfærd.
Hun modtog en SMS, der fremstod som en besked om levering af en pakke. SMS’en var troværdig, da den var modtaget i samme SMS-tråd som tidligere legitime beskeder fra pakkedistributøren DAO. På tidspunktet for modtagelsen ventede hun på en pakke fra DAO, hvilket forstærkede indtrykket af, at beskeden var ægte og relateret til den forventede levering. Hun havde derfor ingen grund til at mistænke, at der var tale om svindel. Hun fulgte linket i SMS'en for at opdatere leveringsoplysninger. I den forbindelse blev hun præsenteret for en godkendelse via MitID. I godkendelsen stod der: "Betal 639,96 EUR til [betalingsmodtager A] fra kort [-020]"
Hun blev på dette tidspunkt vildledt til at tro, at godkendelsen var relateret til leveringen eller et mindre leveringsgebyr. Hun var ikke klar over, at hun i realiteten godkendte en betaling på 639,96 EUR til betalingsmodtager A.
Hun ønskede ikke at gennemføre betalingen og blev narret til at godkende den som følge af svindel.
Efter praksis kan det ikke i sig selv anses som groft uforsvarligt, at en forbruger bliver vildledt af en troværdig svindel-SMS, særligt når beskeden fremstår som en legitim henvendelse fra en virksomhed og indgår i en eksisterende SMS-tråd.
Betalingsmodtager A har ikke nogen åbenbar forbindelse til levering af pakker eller til DAO. Dette understøtter, at der er tale om et svindel-setup, hvor hendes kort blev misbrugt via en vildledende proces. For en almindelig forbruger, der befinder sig midt i et leveringsforløb og modtager en SMS i en eksisterende beskedtråd, er det ikke nødvendigvis tydeligt, at navnet i en MitID-godkendelse ikke relaterer sig til leveringen.
Så snart hun blev opmærksom på forholdet, kontaktede hun banken og gjorde indsigelse mod transaktionen.
Danske Bank har anført, at betalingen på 4.806,69 DKK til betalingsmodtager A den 10. marts 2026 er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98.
Betalingen er godkendt med klagerens personlige MitID-app, som udgør en personlig sikkerhedsforanstaltning i henhold til lov om betalinger § 7, nr. 31. Betalingen er dermed gennemført med stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.
Beløbet på 639,96 EUR og betalingsmodtageren, betalingsmodtager A, var synlige og tydeligt angivet i klagerens MitID-app inden godkendelsen.
Klageren muliggjorde ved groft uforsvarlig adfærd den uberettigede anvendelse af sin betalingstjeneste ved at godkende betalingen i MitID-appen uden at reagere på den klart angivne tekst om beløb og betalingsmodtager, jf. lov om betalinger § 100, stk. 4, nr. 3.
Det er i overensstemmelse med Ankenævnets faste flertalspraksis groft uforsvarligt at godkende en betaling i sin MitID-app uden at reagere på den klart angivne tekst om beløb og betalingsmodtager, uanset om klageren var vildledt til at tro, at godkendelsen vedrørte noget andet.
Klageren hæfter som følge af den groft uforsvarlige adfærd med op til 8.000 DKK, jf. lov om betalinger § 100, stk. 4, nr. 3. Det omtvistede beløb på 4.806,69 DKK er lavere end hæftelsesgrænsen på 8.000 DKK, og derfor er banken ikke forpligtet til at godtgøre klageren det omtvistede beløb.
Det udgør ikke ansvarspådragende adfærd fra bankens side, at banken ikke forhindrede gennemførelse af transaktionen, da betalingen var korrekt autoriseret med stærk kundeautentifikation, og da en betalingsordre ikke kan tilbagekaldes, efter at den er modtaget af bankens betalingssystem, jf. lov om betalinger § 111.
Banken har i øvrigt ikke handlet ansvarspådragende.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -020.
Klageren har oplyst, at hun den 10. marts 2026 modtog en SMS, der fremstod som værende fra DAO. Klageren har fremlagt et skærmprint med SMS’en, hvoraf fremgår, at klageren skulle indtaste sit husnummer, og at hendes pakke var undervejs og ventede på levering.
Klageren har endvidere oplyst, at hun modtog SMS’en i en eksisterende SMS-tråd med DAO, og at hun på tidspunktet afventede en pakke fra DAO. Hun fulgte linket i SMS'en for at opdatere leveringsoplysningerne. I den forbindelse blev hun præsenteret for en MitID-godkendelse med teksten: "Betal 639,96 EUR til [betalingsmodtager A] fra kort [-020]".
Den 10. marts 2026 blev der gennemført en kortbetaling på 639,96 EUR svarende til 4.806,69 DKK med klagerens betalingskort -020 til en udenlandsk betalingsmodtager, betalingsmodtager A, som klageren ikke kan vedkende sig. Beløbet på 4.806,69 DKK blev trukket på klagerens konto den 12. marts 2026.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -457, som var installeret på klagerens mobiltelefon den 15. august 2023, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 639,96 EUR til [betalingsmodtager A] fra kort [-020]”.
Klageren har anført, at hun ikke har handlet groft uforsvarligt. Hun ønskede ikke at gennemføre betalingen og blev narret til at godkende den som følge af svindel.
Klageren gjorde indsigelse mod betalingen over for banken. Banken afviste indsigelsen og oplyste, at klageren hæftede med op til 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Kritte Sand Nielsen og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 639,96 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 639,96 EUR og betalingsmodtager A, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 4.431,69 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.