Indsigelse mod at hæfte for op til 8.000 DKK af kort-transaktion, der blev godkendt i MitID.
| Sagsnummer: | 83/2026 |
| Dato: | 20-04-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Christina Bryanth Konge, Signe Kjørup Carlsson, Morten Bruun Pedersen og Martin Hare Hansen. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af kort-transaktion, der blev godkendt i MitID. |
| Indklagede: | Nordea Danmark, filial af Nordea Bank Abp, Finland |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto -005 med et tilknyttet betalingskort -526.
Den 24. april 2025 blev der gennemført en kortbetaling på 12.810.400 IDR (indonesiske rupiah) svarende til 5.091,99 DKK med klagerens betalingskort -526 til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -657, som var installeret på klagerens mobiltelefon den 22. december 2021. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 12810400,00 IDR til [betalingsmodtager M] fra kort [-526]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren har anført, at hun ikke har videregivet sine MitID- eller kortoplysninger. Hun har ikke overladt sin telefon til tredjemand, og hun har ikke bevidst godkendt betalingen. Hun så betalingsanmodningen, men foretog ikke den aktive godkendelseshandling (swipe), som kræves for at gennemføre betalingen. Hun havde ikke til hensigt at gennemføre betalingen til betalingsmodtager M. Betalingen var angivet i indonesiske rupiah, uden angivelse af dansk modværdi, og modtageren var ikke genkendelig for hende.
Den 13. maj 2025 blev betalingen på 5.091,99 DKK bogført på konto -005.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 14. maj 2025. Af denne fremgår blandt andet:
”…
Grounds of dispute
|
Reason |
Unauthorized transactions or processing errors: I did not make nor authorized this transaction, I did not participate or authorize any of these transactions |
|
Date when you discovered disputed transactions |
2025-05-14 |
|
Provide additional information / description of events |
Jeg fik en besked fra PostNord om at en pakke var sendt retur pga forkert adresse. En pakke var netop sendt retur for anden gang af PostNord. De bad om min adresse, hvilket jeg skrev ind. Derefter bad de om et gebyr på ca 8 kr for adresseændringen. Jeg indtastede kort oplysninger og kom til NemId. Der stod IDL og et stort beløb, så jeg skyndte mig at annullere betalingen og spærre kortet. |
|
Has someone called you and asked to provide card details |
Ja |
|
… |
… |
…”
Klageren har anført, at det ikke var korrekt, at nogen havde kontaktet hende, og at hun havde oplyst sine kortoplysninger. Hun ved ikke, hvordan denne registrering er sket i indsigelsesblanketten. Oplysningen i indsigelsesblanketten er faktuelt forkert.
Den 14. maj 2025 afviste banken at godtgøre klagerens tab, hvorfor klageren led et tab på 5.091,99 DKK.
Klageren gjorde indsigelse mod bankens afgørelse.
Den 21. maj 2025 fastholdt banken sin afgørelse af 14. maj 2025.
Parternes påstande
Den 3. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 5.091,99 DKK.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun ikke har autoriseret betalingen. MitID-billedet blev vist, men hun foretog ingen aktiv godkendelse. Intet swipe, ingen biometri eller indtastning af PIN-kode. Betalingskortet blev straks spærret, og indsigelsen blev straks indsendt.
Banken har ikke fremlagt en autentisk kopi af det MitID-billede, hun så, og som hun angiveligt godkendte. Banken har alene henvist til et testeksempel. Banken har ikke dokumenteret, at hun har foretaget den aktive MitID-godkendelse, som betalingsloven kræver.
Betalingen er uautoriseret. Banken har ikke løftet sin bevisbyrde for, at betalingen er autoriseret.
Hun bestrider ikke, at systemet har registreret en succesfuld autentificering. Det afgørende er, at hun ikke bevidst og korrekt har godkendt betalingen. Selv hvis Ankenævnet lægger til grund, at betalingen er sket ved stærk kundeautentifikation via MitID, så kan hendes adfærd ikke karakteriseres som groft uforsvarlig.
Hun har ikke videregivet sine MitID- eller kortoplysninger. Hun har ikke overladt sin telefon til tredjemand og har ikke bevidst godkendt betalingen.
Betalingen var i indonesiske rupiah uden angivelsen af dansk modværdi, og modtageren var ikke genkendelig for hende. Hun havde ikke til hensigt at foretage en betaling til den pågældende betalingsmodtager.
Nordea Danmark har anført, at betalingen er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.
Forholdet er omfattet af betalingslovens § 100, stk. 4, og bankens kortregler for Visa/dankort.
Klageren har i forbindelse med gennemførelsen af trankationen på 5.091,99 DKK indtastet sit selvvalgte MitID-brugernavn og blev herefter præsenteret for teksten: ”Betal 12810400,00 IDR til [betalingsmodtager M] fra kort xxx[-526]”, hvorfor der ikke er tvivl om, at klageren godkendte transaktionen via sin telefon.
Nets har bekræftet over for banken, at transaktionen gik igennem uden fejl, og at transaktionen blev godkendt via MitID, som er installeret på klagerens egen enhed.
Det MitID, som blev anvendt til at godkende transaktionen, er installeret den 22. december 2021 på en mobiltelefon af mærket Samsung med serienummer -657. Klageren godkendte beløbet, som hun efterfølgende ikke vil vedkende sig.
Selve godkendelsen af betalingen i MitID udgør groft uforsvarlig adfærd fra klagerens side. Banken er berettiget til at tage en selvrisiko på op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto -005 med et tilknyttet betalingskort -526.
Den 24. april 2025 blev der gennemført en kortbetaling på 12.810.400 IDR (indonesiske rupiah) svarende til 5.091,99 DKK med klagerens betalingskort -526 til en udenlandsk betalingsmodtager, betalingsmodtager M, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -657, som var installeret på klagerens mobiltelefon den 22. december 2021. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik: ”Betal 12810400,00 IDR til [betalingsmodtager M] fra kort [-526]”
Den 13. maj 2025 blev betalingen på 5.091,99 DKK bogført på konto -005.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 14. maj 2025. Af denne fremgår blandt andet, at klageren havde fået en besked fra PostNord om, at en pakke var sendt retur på grund af en forkert adresse. Der blev bedt om hendes adresse, hvilket hun skrev ind. Derefter blev der bedt om et gebyr på ca. 8 DKK for adresseændringen. Hun indtastede sine kortoplysninger og kom til MitID, hvor der stod IDL og et stort beløb, så hun annullerede betalingen og spærrede betalingskortet. Det fremgår herudover af indsigelsesblanketten, at klageren var blevet kontaktet af nogen telefonisk, som hun havde give sine kortoplysninger til.
Klageren har anført, at det ikke var korrekt, at nogen havde kontaktet hende, og at hun havde oplyst sine kortoplysninger. Hun ved ikke, hvordan denne registrering er sket i indsigelsesblanketten. Oplysningen i indsigelsesblanketten er faktuelt forkert.
Klageren har herudover anført, at hun ikke har videregivet sine MitID- eller kortoplysninger. Hun har ikke overladt sin telefon til tredjemand, og hun har ikke bevidst godkendt betalingen. Hun så betalingsanmodningen, men foretog ikke den aktive godkendelseshandling (swipe), som kræves for at gennemføre betalingen. Hun havde ikke til hensigt at gennemføre betalingen til betalingsmodtager M. Betalingen var angivet i indonesiske rupiah uden angivelse af dansk modværdi, og modtageren var ikke genkendelig for hende.
Den 14. maj 2025 afviste banken at godtgøre klagerens tab, hvorfor klageren led et tab på 5.091,99 DKK.
Klageren gjorde indsigelse mod bankens afgørelse.
Den 21. maj 2025 fastholdt banken sin afgørelse af 14. maj 2025.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Christina Bryanth Konge og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 12.810.400 IDR (indonesiske rupiah) svarende til 5.091,99 DKK.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 12.810.400 IDR og beløbsmodtager M, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Martin Hare Hansen – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 4.716,99 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.