| Sagsnummer: | 265/2025 |
| Dato: | 10-10-2025 |
| Ankenævn: | Katrine Waagepetersen, Inge Kramer, Kritte Sand Nielsen, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin. |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nordea Danmark, filial af Nordea Bank Abp, Finland |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktioner godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Nordea Pay betalingskort -4907.
Den 28. maj 2025 modtog klageren en SMS-besked, der fremstod som værende fra Postnord. Af beskeden fremgik, at klageren skulle trykke på et link for at opdatere sin adresse, så Postnord kunne omlevere en pakke til hende. Hun trykkede herefter på linket.
Den 29. maj 2025 blev der gennemført en kortbetaling på 21.236.082 indonesiske rupah (IDR), svarende til 8.747,69 DKK, med klagerens betalingskort til betalingsmodtager I, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -2603, som blev installeret på klagerens telefon den 10. juli 2023 og slettet den 29. maj 2025. Banken har fremlagt en udskrift fra MitID med teksten, der blev sendt til klagerens MitID-app i forbindelse med godkendelsen af kortbetalingen, hvoraf fremgik:
”Betal 21236082 IDR til [betalingsmodtager I] fra kort xx4907”
Banken har oplyst, at kortbetalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Ved en tro- og loveerklæring modtaget af banken den 2. juni 2025 gjorde klageren indsigelse mod kortbetalingen.
Den 3. juni 2025 sendte klageren en e-mail til banken, hvori hun uddybede sin indsigelse. Hun oplyste, at hun den 28. maj 2025 modtog en SMS-besked fra en afsender, der udgav sig for at være Postnord. Det fremgik af beskeden, at hendes pakke var strandet på et logistiklager på grund af forkert adresse, og at hun skulle trykke på et link i beskeden for at opdatere sin adresse inden for 12 timer for at få pakken omleveret. Hun kontaktede straks banken den 29. maj 2025, så banken kunne standse transaktionen, da beløbet endnu ikke var hævet på hendes konto. Banken anbefalede hende at spærre både hendes konto og MitID for at forhindre yderligere misbrug. Den 2. juni 2025 opdagede hun, at beløbet var hævet på hendes konto.
Den 3. juni 2025 anmeldte klageren svindlen til politiet.
Den 4. juni 2025 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor banken tilbageførte 747,69 DKK til klageren.
Ved en e-mail af 4. juni 2025 klagede klageren til banken. Hun anførte blandt andet, at hun havde kontaktet banken, mens beløbet stadig var reserveret, og at banken således kunne have forhindret, at beløbet blev trukket.
Den 11. juni 2025 afviste banken klagen. Banken lagde blandt andet vægt på, at klageren selv havde godkendt transaktionen med sit MitID, og at banken ikke havde mulighed for at tilbagekalde transaktionen fra hverken kortselskab eller beløbsmodtager. Banken oplyste, at det afgørende ved korttransaktioner er godkendelsestidstidspunktet og kortets status på godkendelsestidspunktet, og at det således ingen betydning havde for transaktionens gennemførelse, at kortet blev spærret, inden beløbet blev hævet på kontoen.
Parternes påstande
Den 12. juni 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal godtgøre hende 8.000 DKK.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at svindlerne brugte en avanceret metode, der fik hende til at tro, at hun godkendte en transaktion til Postnord. Godkendelsesbilledet i MitID-appen var ikke tilstrækkelig klart til at afsløre svindlen, da det ikke tydeligt advarede om modtagernes ukendte identitet eller usædvanlige beløb i indonesiske rupah. Banken og MitID-systemet burde, for at forhindre sådan svindel, have implementeret bedre beskyttelse, såsom advarsel om usædvanlige transaktioner eller ukendte modtagere.
Selvom transaktionen teknisk blev godkendt, skete det under vildledning, og hun handlede i god tro.
Det er urimeligt, at banken lægger hele ansvaret på hende som offer for en sofistikeret svindel.
Hun advarede banken i god tid om svindlen og anmodede om, at det reserverede beløb på hendes konto ikke blev overført. Banken kunne således have beskyttet hende imod tabet.
Selvom svindlerne fik adgang til hendes MitID, burde hendes tidlige advarsel til banken medføre en anden vurdering af ansvarsfordelingen.
Nordea Danmark har anført, at klageren selv godkendte betalingen på 8.747,69 kr. med sin personlige sikkerhedsforanstaltning i form af MitID brugernavn og adgangskode, samt godkendelse i sin MitID-app. Hun hæfter derfor med 8.000 DKK.
Det fremgik tydeligt af godkendelsesteksten i klagerens MitID-app, hvad godkendelsen angik, herunder beløbsmodtager, beløb og kortnummer. Klageren handlede således groft uforsvarligt ved at godkende betalingen, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Klageren henviser til forhold, som ligger efter transaktionens godkendelse og som derfor ikke har relevans i forhold til selvrisikoen på 8.000 kr.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor hun havde en konto med et tilknyttet Nordea Pay betalingskort -4907.
Den 28. maj 2025 modtog klageren en SMS-besked, der fremstod som værende fra Postnord. Af beskeden fremgik, at klageren skulle trykke på et link for at opdatere sin adresse, så Postnord kunne omlevere en pakke til hende. Hun trykkede herefter på linket.
Den 29. maj 2025 blev der gennemført en kortbetaling på 21.236.082 indonesiske rupah, svarende til 8.747,69 DKK, med klagerens betalingskort til betalingsmodtager I, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app -2603, og at klageren inden sin godkendelse blev præsenteret for følgende godkendelsestekst:
”Betal 21236082 IDR til [betalingsmodtager I] fra kort xx4907”
Klageren har anført, at svindlerne brugte en avanceret metode, det fik hende til at tro, at hun godkendte en transaktion til Postnord. Godkendelsesbilledet i MitID-appen var ikke tilstrækkelig klart til at afsløre svindlen, da det ikke tydeligt advarede om modtagernes ukendte identitet eller usædvanlige beløb i indonesiske rupah. Banken og MitID-systemet burde, for at forhindre sådan svindel, have implementeret bedre beskyttelse, såsom advarsel om usædvanlige transaktioner eller ukendte modtager. Hun advarede banken i god tid om svindlen og anmodede om, at det reserverede beløb på hendes konto ikke blev overført.
Den 4. juni 2025 godtgjorde banken klagerens tab med fradrag af 8.000 DKK, hvorfor den tilbageførte 747,69 DKK til klagerens konto.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Katrine Waagepetersen, Inge Kramer og Kritte Sand Nielsen – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 21.236.082,00 indonesiske rupah, svarende til 8.747,69 DKK, med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksten i MitID, hvor hun fik oplysninger om beløbet på 21.236.082,00 indonesiske rupah og betalingsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Ann-Mari Faldt Agerlin – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.