Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
| Sagsnummer: | 150/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Inge Kramer, Signe Kjørup Carlsson, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID. |
| Indklagede: | Nykredit Bank / Spar Nord Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank / Spar Nord Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -981.
Klageren har oplyst, at han modtog en e-mail, der fremstod som værende fra BroBizz. Af e-mailen fremgik, at klageren skulle opdatere sine kortoplysninger. Klageren gav de efterspurgte oplysninger, da han forud for hændelsen var passeret Øresundsbroen, og efterfølgende lagde mærke til, at han ikke var blevet trukket for passagen. Klageren godkendte efterfølgende med MitID. Han troede, at han godkendte en legitim brorelateret betaling.
Den 31. januar 2026 blev der gennemført en kortbetaling på 894,46 EUR svarende til 6.747,25 DKK med klagerens betalingskort -981 til en udenlandsk betalingsmodtager, betalingsmodtager R, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -117, som blev aktiveret på klagerens mobiltelefon den 29. december 2023 og deaktiveret den 9. februar 2026. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen. Af teksten fremgik:
”Betal 894,46 EUR til [betalingsmodtager R] fra kort [-981]”
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 31. januar 2026. Af denne fremgår blandt andet:
”Skriv en kort redegørelse over hændelsesforløbet
Jeg modtog en email, hvor jeg blev bedt om at opdatere min brobizz oplysninger, som jeg gjorde ved at indtaste mine kortoplysninger, samt godkende med MitID. Jeg opdager bagefter, at det er svindel, da jeg ser at der er reseveret 6747,25kr. på mit kort.
[…]
Hvordan har du haft kortet opbevaret efter sidste hævning?
Det er ikke stjålet, det er misbrugt.
Har du nogen idé om, hvordan dit kort er blevet misbrugt?
Ja, gennem en phising mail. ...”
Den 3. februar 2026 afviste banken klagerens indsigelse med den begrundelse, at betalingen var gennemført ved brug af 3D Secure, samt godkendt med klagerens personlige MitID via den MitID-app, som klageren sædvanligvis benytter. Klageren hæftede derfor med en egenhæftelse på op til 8.000 DKK og dermed for det fulde beløb.
Den 7. februar 2026 gjorde klageren indsigelse mod bankens afgørelse.
Den 11. februar 2026 fastholdt banken sin afgørelse.
Parternes påstande
Den 24. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank / Spar Nord Bank skal godtgøre ham 6.747,25 DKK.
Nykredit Bank / Spar Nord Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at det påhviler banken at bevise, at transaktionen var korrekt registreret og bogført, at den var autentificeret og at der ikke forelå tekniske svigt. Det er fast praksis, at korrekt registrering og brug af stærk kundeautentifikation ikke i sig selv dokumenterer, at kunden har handlet groft uforsvarligt. Banken har alene dokumenteret, at MitID blev anvendt fra hans enhed.
Han blev udsat for et målrettet og situationsbestemt phishingangreb. Han passerede Øresundsbroen og undrede sig over, at betalingen ikke fremgik og havde fornyeligt skiftet sit betalingskort. Der var således en konkret og tidsmæssig sammenhæng, som gjorde henvendelsen plausibel. Han handlede i den tro, at han opdaterede betalingsoplysninger vedrørende brobetaling. Han havde ingen relation til betalingsmodtager R og ingen intention om at foretage betaling til betalingsmodtager R.
Der er således ikke tale om udlevering af MitID-koder, overdragelse af enhed, deling af pinkode og bevidst accept af betaling til den faktiske modtager. Der er tale om manipulation gennem phishing.
Hvis enhver godkendelse via MitID automatisk anses som groft uforsvarlig, udhules forbrugerbeskyttelsen i betalingsloven.
Grov uforsvarlighed forudsætter en kvalificeret og markant afvigelse fra almindelig forsigtighed ikke blot, at man er blevet manipuleret af professionel svindel.
Han reagerede straks, da han blev opmærksom på forholdet. Han forsøgte at ringe til banken to gange, indsendte sin indsigelse om svindel, sendte en besked via netbank, fik sit kort spærret via Nets samme dag og ringede igen den efterfølgende dag, hvor beløbet fortsat stod reserveret.
Han gjorde uden ophold, hvad man med rimelighed kan forvente af en kunde i en sådan situation. Han adfærd efter opdagelsen taler klart imod grov uforsvarlighed.
Da han kontaktede banken, var beløbet fortsat reserveret og endnu ikke endeligt bogført. Banken anfører generelt, at reservationer ikke kan trækkes tilbage. Dette er fremsat som en generel påstand uden konkret dokumentation i sagen. Der er ikke fremlagt dokumentation for forsøg på recall, kontakt til indløser, markering som svindel under reservation og konkrete handlinger foretaget i reservationsperioden.
Banken var bekendt med anmeldt svindel, mens betalingen fortsat var reserveret. Selv hvis en autorisation ikke ensidigt kan annulleres, må banken som minimum forsøge at begrænse tabet.
Der foreligger ingen dokumentation for, at banken foretog aktive skridt i reservationsperioden.
Hans adfærd skal vurderes samlet i forhold til målrettet phishing i direkte relation til konkret hændelse, ingen udlevering af sikkerhedsoplysninger, øjeblikkelig reaktion, aktiv spærring, gentagne kontaktforsøg og anmeldelse mens beløbet fortsat var reserveret.
Dette er ikke en sag, hvor kunden ignorerer advarsler eller reagerer sent. Selv hvis Ankenævnet måtte finde, at han har handlet uforsigtigt, er der ikke grundlag for at kvalificere adfærden som groft uforsvarlig.
Der er ikke et behov for parts- eller vidneforklaringer for at tage stilling til, om banken har løftet bevisbyrden. Om grov uforsvarlighed er dokumenteret. Om tabsbegrænsning er forsøgt.
Nykredit Bank / Spar Nord Bank har til støtte for frifindelsespåstanden anført, at klageren har udvist en groft uforsvarlig adfærd, som har muliggjort den uautoriserede betaling, hvorfor klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Betalingen blev godkendt med klagerens personlige MitID fra den enhed, som klageren almindeligvis anvender. Da et serienummer er unikt og kun kan være installeret på en enhed, og MitID godkendelse kræver et fysisk swipe, er det usandsynligt, at klageren ikke selv har swipet godkend på godkendelsesanmodningen, som blev sendt til klagerens enhed.
Klageren har fremført, at banken burde have trukket reservationen tilbage på klagerens foranledning efter godkendelse af betalingen. Dette er dog ikke teknisk muligt for banken. Så snart beløbet er godkendt af klageren, bliver beløbet reserveret uden mulighed for at tilbageføre eller annullere betalingen, på klagerens konto.
Samlet set vurderes det, at klageren gennem ovenstående handlinger har udvist groft uforsvarlig adfærd, som har muliggjort den uberettigede anvendelse af kortet, hvorefter klageren hæfter med op til 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.
Banken har til støtte for afvisningspåstanden anført, at sagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer (for en gennemgang af hele forløbet), hvilket ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank / Spar Nord Bank, hvor han blandt andet havde en konto med et tilknyttet betalingskort -981.
Klageren har oplyst, at han modtog en e-mail, der fremstod som værende fra BroBizz. Af e-mailen fremgik, at klageren skulle opdatere sine kortoplysninger. Klageren gav de efterspurgte oplysninger, da han forud for hændelsen var passeret Øresundsbroen, og efterfølgende lagde mærke til, at han ikke var blevet trukket for passagen. Klageren godkendte efterfølgende med MitID. Han troede, at han godkendte en legitim brorelateret betaling.
Den 31. januar 2026 blev der gennemført en kortbetaling på 894,46 EUR svarende til 6.747,25 DKK med klagerens betalingskort -981 til en udenlandsk betalingsmodtager, betalingsmodtager R, som klageren ikke kan vedkende sig.
Banken har anført, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID -117, som blev aktiveret på klagerens mobiltelefon den 29. december 2023 og deaktiveret den 9. februar 2026. Banken har fremlagt en udskrift fra Nets med teksten, der blev vist i klagerens MitID i forbindelse med godkendelsen af betalingen.
Banken har oplyst, at transaktionen var korrekt registreret og bogført.
Klageren gjorde indsigelse mod betalingen ved indsigelsesblanket af 31. januar 2026.
Den 3. februar 2026 afviste banken klagerens indsigelse med den begrundelse, at betalingen var gennemført ved brug af 3D Secure samt godkendt med klagerens personlige MitID via den MitID-app, som klageren sædvanligvis benytter. Klageren hæftede derfor med et beløb på op til 8.000 DKK og dermed for det fulde beløb.
Den 7. februar 2026 gjorde klageren indsigelse mod bankens afgørelse.
Den 11. februar 2026 fastholdt banken sin afgørelse.
Ankenævnet finder, at det må lægges til grund, at det ikke var muligt at tilbageføre eller annullere transaktionen, efter den/de var godkendt, uanset tidspunkt for den efterfølgende spærring af betalingskortet og debitering af beløbet på klagerens konto.
Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Kristian Korfits Nielsen, Inge Kramer og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 894,46 EUR med sit MitID.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 894,46 EUR og betalingsmodtager R, og at klageren som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 6.372,25 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.