Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 315/2025
Dato: 27-11-2025
Ankenævn: Helle Korsgaard Lund-Andersen, Christina Bryanth Konge, Janni Visted Hansen, Morten Bruun Pedersen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Vestjysk Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Vestjysk Bank, hvor han blandt andet havde en konto –3353 og et betalingskort –8644.

Den 22. juni 2025 kl. 21.53 blev der gennemført en korttransaktion på 476,38 EUR svarende til 3.553,78 DKK med klagerens betalingskort til betalingsmodtager G, som klageren ikke kan vedkende sig.

Klageren har anført, at han ikke godkendte korttransaktionen. Hans betalingskort blev hacket. Den 20. juni 2025 blev hans telefon hacket, mens han var i gang med at betale hos virksomhed M, hvor han scannede en QR-kode. Klageren har fremlagt et skærmbillede fra sin Mobile Pay-app fra 20. juni 2025, hvoraf det blandt andet fremgår, at en betaling med betalingskort -1347 til virksomhed M var blevet afvist. Klageren har oplyst, at betalingskort -1347 på daværende tidspunkt længe havde været spærret. Den henholdsvis 19. og 23. juni 2025 blev han ringet op fra et ukendt nummer, men han besvarede ikke opkaldene. Intet mistænkeligt skete den 22. juni 2025 som kunne indikere, at han blev svindlet. Han åbnede ikke noget link og modtog ikke e-mails. Betalingskortet var hele tiden i hans varetægt. Han modtog en SMS/mail fra banken om, at hans betalingskort blev overvåget, men ikke spærret.

Klageren gjorde indsigelse mod korttransaktionen.

Den 25. juni 2025 afviste banken indsigelsen og fremlagde i den forbindelse en besvarelse fra Nets, hvoraf det blandt andet fremgik, at følgende tekst blev vist i klagerens MitID-app i forbindelse med godkendelsen:

”Betal 476,38 EUR til [betalingsmodtager G] fra kort xx8644”

Det fremgik endvidere af Nets’ besvarelse, at SMS-beskeden blev sendt fra IP-adresse -4208, som var hjemmehørende i land A.

Den 5. juli 2025 anmeldte klageren sagen til politiet.

Den 9. august 2025 traf politiet afgørelse om ikke at indlede en efterforskning af sagen.

Den 11. september 2025 skrev Statsadvokaten til klageren, at man var enig i politiets afgørelse af den 9. august 2025.

Klageren har fremlagt en e-mail fra virksomhed S, hvoraf det blandt andet fremgår, at virksomheden den 21. april 2025 blev udsat for et hackerangreb, og at klagerens mailadresse og muligvis andre personlige oplysninger var blevet kompromitteret. En uautoriseret person havde fået adgang til virksomhedens system og herefter sendt en phising-mail til en række modtagere på en ekstern mailliste. I e-mailen udgav den uautoriserede person sig for at være fra Mobile Pay Danmark og opfordrede modtagerne til at logge ind med deres MitID via et link. Virksomhed S anførte endvidere i e-mailen, at klageren risikerede identitetstyveri, økonomisk tab eller øget risiko for yderligere phising, hvis han havde reageret på phising-mailen ved at dele sine personlige eller finansielle oplysninger.

Klageren har fremlagt en artikel fra TV2, hvoraf det blandt andet fremgår, at MitID havde sendt breve ud til 18.204 borgere om, at MitID ville gennemføre opdateringer for at øge sikkerheden.

Parternes påstande

Den 7. juli 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Vestjysk Bank skal tilbagebetale ham 3.553,78 DKK.

Vestjysk Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke godkendte korttransaktionen. Hans betalingskort blev hacket. Hans telefon blev hacket den 20. juni 2025 kl. 17:23, mens han var i gang med at betale.

Han har på intet tidspunkt åbnet et link og modtog ingen e-mails.

Det er besynderligt og groft injurierende af banken at beskylde ham for at have handlet groft uagtsomt, især når politiet ikke formår at løse sagen. Han henvendte sig til Nets, som oplyste ham om, at der ikke forelå bevis på, at han havde handlet groft uagtsomt.

Nets skrivelse af den 25. juni 2025 bekræfter kun, at transaktionen blev gennemført, men ikke, hvem der foretog den. Politiet har konkluderet, at betalingen blev foretaget i udlandet, og det formodes derfor, at tyveriet skete fra en udenlandsk platform.

Intet mistænkeligt skete den 22. juni 2025, som kunne indikere, at han blev svindlet. Det er påfaldende, at kortet blev hacket og kun brugt i ganske kort tid.

Det var en grov handling, når banken den 22. juni 2025 videregav hans kortoplysninger til Nets.

Han er uforstående over for, hvordan der kunne hæves på hans betalingskort, når man skal bruge en to-trins løsning med MitID. Der var en brist i systemet som medførte, at hans betalingskort blev anvendt uden MitID-godkendelse.

Der er gode muligheder for, at hans betalingskort blev scannet under transporten i forbindelse med leveringen af kortet. Kortet burde have været indpakket i forbindelse med leveringen, f.eks. i stanniol.

E-mailen fra virksomhed S illustrerer, at andre også blev hacket.

Det forhold, at MitID øgede sikkerheden betyder, at der altid kan ske en sikkerhedsbrist, og at sikkerheden hos MitID ikke var 100 %.

Vestjysk Bank har anført, at klageren blev svindlet for 3.553,78 DKK.

Transaktionen blev godkendt af klageren via hans MitID-app med følgende tekst ”Betal 476,38 EUR til [betalingsmodtager G] fra kort xxx 8644”. Klagerens adfærd må således betegnes som groft uagtsom, og han hæfter således med 8.000 DKK i henhold til betalingslovens § 100, stk. 4.

Der henvises til praksis fra såvel Ankenævnet som de almindelige domstole som statuerer, at godkendelse af en tekst som den i denne sag beskrevne betragtes som groft uagtsomt. Banken er derfor berettiget til at anvende betalingsloven § 100 stk. 4.

Ankenævnets bemærkninger

Klageren var kunde i Vestjysk Bank, hvor han blandt andet havde en konto –3353 og et betalingskort –8644.

Den 22. juni 2025 kl. 21.53 blev der gennemført en korttransaktion på 476,38 EUR svarende til 3.553,78 DKK med klagerens betalingskort til betalingsmodtager G, som klageren ikke kan vedkende sig.

Klageren har anført, at han ikke godkendte betalingen. Han åbnede ikke noget link, ligesom han heller ikke modtog e-mails. Betalingskortet var hele tiden i hans varetægt.

Banken har fremlagt en besvarelse fra Nets af 25. juni 2025 angående korttransaktionen af den 22. juni 2025, hvoraf det blandt andet fremgår, at følgende tekst blev vist i klagerens MitID-app i forbindelse med godkendelsen:

”Betal 476,38 EUR til [betalingsmodtager G] fra kort xx8644”

Ankenævnet lægger til grund, at korttransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at korttransaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.