Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 497 /2025 |
| Dato: | 18-02-2026 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Christina Bryanth Konge, Signe Vejen Hansen, Morten Bruun Pedersen og Elizabeth Bonde. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nordea Danmark, filial af Nordea Bank Abp, Finland |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -6336.
Den 30. august 2025 blev der foretaget en kortbetaling på 1.254 EUR svarende til 9.409 DKK med klagerens betalingskort -6336 til en udenlandsk betalingsmodtager, betalingsmodtager E, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun den 30. august 2025 modtog en e-mail, der fremstod som værende fra Matas, med invitation til at besvare en kundetilfredshedsundersøgelse. E-mailen er fremlagt i sagen. Af e-mailen fremgik, at klageren kunne deltage i en konkurrence. Klageren har anført, at hun fulgte linket og godkendte en betaling på 28 DKK via sin MitID-app, hvor både beløb og afsender fremstod korrekt. Alligevel blev der trukket ca. 1.200 EUR/9.409 DKK fra hendes konto.
Banken har anført, at klageren godkendte kortbetalingen i sin MitID-app, -2352. Banken har fremlagt en udskrift fra MitID-portalen med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgår:
”Betal 1254,00 EUR til [betalingsmodtager E] fra kort [-6336]”
Af udskriften fra MitID-portalen fremgår, at MitID-app -2352 blev aktiveret den 7. august 2025 på en iPhone 17,5 og spærret den 2. september 2025. Endvidere fremgår:
” … 30-08-2025 22:48:20.208CEST App - autentificering lykkedes
…
MitID identifikationsmiddel-ID … -2352...”
Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke var fejlbehæftet.
Klageren gjorde indsigelse mod betalingen ved tro og love-erklæring af 3. september 2025. Klageren anførte, at der var trukket et beløb på 9.409 DKK på hendes konto, som hun intet kendte til. Den 5. september 2025 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 1.409 DKK til klageren.
Klageren politianmeldte sagen den 8. september 2025. I anmeldelsen skrev klageren blandt andet:
”… Den 30. august 2025 godkendte jeg i min MitID-app en betaling på 28.kr. til Matas.dk (porto). Betalingen var relateret til en brugerundersøgelse, som jeg deltog i som medlem af Club Matas, hvor jeg skulle afgive kommentarer og vurderinger af webshoppen. Hjemmesiden, jeg blev ledt ind på, fremstod som Matas officielle webshop. Den var meget vellignende, bl.a. med varer markeret som udsolgt og streget over med rødt - præcis som på den rigtige Matas.dk. Nederst på hjemmesiden var der et link, der fremstod som Matas.dk, samt en adresse fra Matas hovedkontor … Jeg tjekkede adressen, og alt så ægte ud. Det beløb og den afsender, der blev vist i MitID-appen, var 28 kr. til Matas.dk. Derfor bekræftede jeg transaktionen. … Jeg har talt med MitID-support, som har forklaret, at svindlere kan manipulere en transaktion, så brugeren præsenteres for ét beløb (f.eks. 28 kr.), men at der efterfølgende trækkes et helt andet beløb (f.eks. 1.200 euro).
Anmeldelse Jeg anser derfor hændelsen som svindel og anmoder om, at politiet undersøger sagen nærmere. Jeg beder særligt om, at det undersøges, om logoplysninger fra MitID kan dokumentere, hvilket beløb jeg faktisk blev præsenteret for, da jeg godkendte transaktionen. …”
Klageren har fremlagt sin korrespondance med Matas og MitID fra oktober 2025.
Parternes påstande
Den 21. oktober 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal dække hele hendes tab.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt anført, at transaktionen er uautoriseret. Hun godkendte alene 28 DKK.
Hun handlede ansvarligt og i god tro. E-mailen, linket og hjemmesiden fremstod fuldstændig legitime. Hun havde modtaget den samme type e-mail flere gange over en periode og genkendte layoutet som identisk med tidligere legitime e-mails fra Matas. Over flere dage besøgte hun siden flere gange for at vurdere dens ægthed, før hun besluttede at besvare undersøgelsen. Intet på hjemmesiden eller i mailen vakte mistanke. Design, sprog og links virkede fuldstændig identiske med Matas’ officielle kommunikation. Det var umuligt at gennemskue, at hjemmesiden var falsk. Produkterne var markeret som udsolgt, ligesom på den officielle Matas-webshop, og linket i bunden førte til Matas’ officielle adresse.
Hun fulgte korrekt MitID-procedure. Hun godkendte en betaling på 28 DKK via sin MitID-app, hvor både beløb og afsender fremstod korrekt. Alligevel blev der trukket ca. 1.200 EUR (9.409 DKK) fra hendes konto – et beløb, hun aldrig har godkendt. Svindlerne manipulerede beløbet uden hendes viden.
Da hun opdagede, at hendes konto var overtrukket med ca. 9.000 DKK, kontaktede hun straks banken. Hun kontaktede endvidere Matas’ kundeservice den 2. september 2025 og tog personligt ned i Matas-butikken den 12. september 2025. Personalet bekræftede, at de havde haft mange svindelsager den pågældende weekend med samme type e-mail fra Club Matas.
Den 8. september 2025 kontaktede hun MitID telefonisk. MitID oplyste, at svindlere kan manipulere transaktioner, så brugeren ser ét beløb, mens et andet hæves. MitID vurderede, at svindlerne havde fået adgang til hendes oplysninger via Club Matas. MitID oplyste, at MitID arbejder på et nyt system, som skal forhindre denne type svindel. Det fremlagte skærmprint fra MitID-support viser, at MitID alene videreformidler den besked, banken formulerer og sender, og at banken dermed har ansvaret for indholdet og det beløb, hun så og godkendte i appen.
Banken har uberettiget pålagt hende selvrisiko. Bankens påstand om, at hun skulle have indtastet kortoplysninger, er ukorrekt. Hun godkendte alene beløbet på 28 DKK via MitID. Banken kan derfor ikke basere hæftelse eller selvrisiko på en antagelse om, at hun har delt kortdata.
Selvrisiko kan kun pålægges, hvis kunden har handlet groft uforsvarligt. Dette er ikke tilfældet. Banken har anerkendt, at hun blev udsat for svindel og blev manipuleret til at gennemføre transaktionen. Hun handlede i god tro, vurderede e-mailens ægthed over flere dage og fulgte korrekt MitID-procedure. Intet tydede på, at der var tale om svindel.
Det høje beløb på 9.409 DKK på hendes kontoudtog var atypisk og viste, at beløbet er fejlbehæftet eller svindel, og at der ikke var tale om en betaling, som hun ønskede at gennemføre.
Nordea Danmark har anført, at betalingen var korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.
Den fremlagte dokumentation viser, at klageren blev præsenteret for teksten ”Betal 1254,00 EUR til [E] fra kort xx6336”.
Det fremgår endvidere, at det var klagerens eget identifikationsmiddel, der var oprettet med det unikke identifikationsnummer -2352, som godkendte betalingen. Der kan derfor ikke være tvivl om, at det var klageren, der godkendte betalingen med sin egen mobiltelefon.
Når klageren valgte at godkende beløbet, som hun efterfølgende ikke vil vedkende sig, så var selve godkendelsen af betalingen i hendes MitID-app groft uforsvarlig adfærd fra hendes side. Banken var derfor berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -6336.
Den 30. august 2025 blev der foretaget en kortbetaling på 1.254 EUR svarende til 9.409 DKK med klagerens betalingskort -6336 til en udenlandsk betalingsmodtager, betalingsmodtager E, som klageren ikke kan vedkende sig.
Klageren har anført, at hun den 30. august 2025 modtog en e-mail, der fremstod som værende fra Matas med invitation til at besvare en kundetilfredshedsundersøgelse. Hun godkendte via sin MitID-app alene en betaling på 28 DKK, hvor både beløb og afsender fremstod korrekt. Alligevel blev der trukket ca. 1.200 EUR/ 9.409 DKK fra hendes konto.
Banken har anført, at kortbetalingen blev godkendt i klagerens MitID-app -2352, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 1254,00 EUR til [betalingsmodtager E] fra kort [-6336]”.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Helle Korsgaard Lund-Andersen, Christina Bryanth Konge og Signe Vejen Hansen – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 1.254 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 1.254 EUR og beløbsmodtager E, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.