Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 182/2026 |
| Dato: | 20-05-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Christina Bryanth Konge, Signe Kjørup Carlsson, Tina Thygesen og Ann-Mari Faldt Agerlin. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | AL Sydbank A/S |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i AL Sydbank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -3788.
Den 10. december 2025 blev der foretaget en kortbetaling på 26.089 kr. med klagerens betalingskort til en betalingsmodtager, betalingsmodtager S, som klageren ikke kan vedkende sig.
Klageren har oplyst, at hun den 10. december 2025 blev udsat for et phishing-angreb. Hun modtog en e-mail, der fremstod som et tilbud fra Matas, og som fremstod troværdig i både layout og indhold. Hun klikkede videre fra mailen til en hjemmeside, hvor hun blev tilbudt en mindre gave mod betaling af et fragtbeløb på 24 kr. Hun modtog endvidere ordrebekræftelse vedrørende beløbet på 24 kr.
Banken har anført, at klageren godkendte kortbetalingen i sin MitID-app -3460. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgår:
”Betal 26089,00 DKK til [betalingsmodtager S] fra kort [-3788]”
Af udskriften fremgår endvidere, at betalingen på 26.089 kr. blev godkendt med MitID-app -3460 den 10. december 2025.
Banken har endvidere fremlagt en udskrift fra MitID-portalen, hvoraf fremgår, at MitID-app -3460 blev aktiveret den 7. november 2023 på en iPhone 14,5 og spærret den 8. januar 2026. Endvidere fremgår:
” … 10-12-2025 15:40:50.424 CET App - autentificering lykkedes
…
MitID identifikationsmiddel-ID … -3460...”
Banken har oplyst, at transaktionen var korrekt registreret og bogført og ikke var fejlbehæftet.
Klageren rejste indsigelse overfor banken, der godtgjorde klageren tabet fratrukket 8.000 kr. Klageren rettede herefter henvendelse til bankens klageansvarlige, der fastholdt afgørelsen.
Klageren politianmeldte sagen den 2. februar 2026.
Klageren anmodede forgæves betalingsmodtager S om at sende fakturaen vedrørende betalingen til klageren.
Parternes påstande
Den 7. marts 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at AL Sydbank A/S skal dække hele hendes tab.
AL Sydbank A/S har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at hun den 10. december 2025 blev udsat for et phishing-angreb. Hun modtog en e-mail, der fremstod som et tilbud fra Matas, og som fremstod troværdig i både layout og indhold. Hun klikkede videre fra mailen til en hjemmeside, hvor hun blev tilbudt en mindre gave mod betaling af et fragtbeløb.
Hun blev herefter ledt gennem et betalingsforløb, som fremstod legitimt. I hele forløbet var det hendes klare opfattelse, at hun alene skulle betale et mindre fragtbeløb på ca. 24 kr.
Efter gennemførelse modtog hun en ordrebekræftelse, som understøttede, at betalingen var gennemført korrekt.
Hun har ikke godkendt betalingen på 26.089 kr. i bevidst og informeret forstand. Godkendelsen skete som led i et manipuleret og vildledende forløb, hvor hun var i den klare tro, at hun godkendte et mindre beløb (fragt på ca. 24 kr.). Der forelå ikke et reelt og informeret samtykke til den gennemførte betaling. At betalingen teknisk blev godkendt med MitID, kan ikke i sig selv føre til, at hun hæfter for beløbet. MitID blev anvendt i en situation, hvor hun var blevet vildledt.
Hun har ikke handlet groft uforsvarligt. Hun blev udsat for et professionelt udformet phishing-angreb. Hun havde ingen anledning til at tro, at der var tale om svindel.
Efter betalingslovens regler påhviler det udbyderen af betalingstjenesten at dokumentere, at en betaling er korrekt autentificeret og registreret. Banken har ikke fremlagt dokumentation for teksten, der faktisk blev vist i MitID godkendelsen, men alene for tidspunktet.
Sydbank henviser til, at betalingen er godkendt med MitID, og at teksten fremgik af godkendelsen. Dette dokumenterer alene den tekniske gennemførelse af betalingen, ikke at hun havde forståelse for eller accepterede den reelle transaktion.
Da hun blev opmærksom på svindlen, reagerede hun straks ved at kontakte banken og efterfølgende anmelde forholdet til politiet.
AL Sydbank A/S har anført, at klageren godkendte betalingen i sin MitID-app.
Alle MitID-apps har et unikt ID -nummer. Som det fremgår af den fremlagte udskrift, blev den relevante betaling godkendt i den unikke MitID-app, der kun findes på klagerens telefon.
Svindlere kan ikke påvirke den tekst, der bliver sendt til MitID-appen, og den gengivne tekst er derfor den tekst, der blev sendt til klagerens MitID-app.
Ved at godkende betalingen i sin MitID-appen, hvor både beløbet og betalingsmodtager klart fremgik, har klageren ved groft uforsvarlig adfærd muliggjort svindlerens betaling. Klageren hæfter derfor for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.
Der henvises til Ankenævnets praksis i lignende sager, f.eks. 593/2024.
Da banken allerede har godtgjort den del af klagerens tab, der overstiger 8.000 kr., skal banken frifindes.
Ankenævnets bemærkninger
Klageren var kunde i AL Sydbank, hvor hun blandt andet havde en konto med et tilknyttet betalingskort -3788.
Den 10. december 2025 blev der foretaget en kortbetaling på 26.089 kr. med klagerens betalingskort til en betalingsmodtager, betalingsmodtager S, som klageren ikke kan vedkende sig.
Klageren har anført, at hun den 10. december 2025 blev udsat for et phishing-angreb. Hun modtog en e-mail, der fremstod som et tilbud fra Matas, og som fremstod troværdig i både layout og indhold. Hun klikkede videre fra mailen til en hjemmeside, hvor hun blev tilbudt en mindre gave mod betaling af et fragtbeløb på 24 kr.
Banken har anført, at klageren godkendte kortbetalingen i sin MitID-app -3460, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst: ”Betal 26089,00 DKK til [betalingsmodtager S] fra kort [-3788]”
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Christina Bryanth Konge og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 26.089 kr. med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 26.089 kr. og beløbsmodtager S, og at klageren som følge heraf hæfter med op til 8.000 kr.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Ann-Mari Faldt Agerlin – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.