Indsigelse mod at hæfte for to gange 8.000 kr. af kort-transaktioner gennemført som betalinger med to virtuelle betalingskort via tredjemands Google Pay. Spørgsmål om kravene til stærk kundeautentifikation var opfyldt i forbindelse med indrullering.
| Sagsnummer: | 5/2026 |
| Dato: | 29-06-2026 |
| Ankenævn: | Kristian Korfits Nielsen, Inge Kramer, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for to gange 8.000 kr. af kort-transaktioner gennemført som betalinger med to virtuelle betalingskort via tredjemands Google Pay. Spørgsmål om kravene til stærk kundeautentifikation var opfyldt i forbindelse med indrullering. |
| Indklagede: | Sparekassen Kronjylland |
| Øvrige oplysninger: | OF |
| Senere dom: | |
| Pengeinstitutter |
Klager medhold.
Indledning
Sagen vedrører indsigelse mod at hæfte for to gange 8.000 kr. af korttransaktioner gennemført som betalinger med to virtuelle betalingskort via tredjemands Google Pay. Spørgsmål om kravene til stærk kundeautentifikation var opfyldt i forbindelse med indrullering.
Sagens omstændigheder
Klageren var kunde i Sparekassen Kronjylland, hvor hun blandt andet havde konto -237 med et tilknyttet Visa/Dankort -871, og konto -405 med et tilknyttet MasterCard -834. Klageren havde adgang til mobilbank.
Sparekassen har fremlagt en udskrift af en log fra klagerens mobilbank. Sparekassen har anført, at det fremgår af loggen, at klageren den 20. juli 2025 kl. 9:47 med sit MitID godkendte, at en tredjemand fik adgang til hendes mobilbank. Klageren anvendte stærk kundeautentifikation i forbindelse med, at hun gav tredjemand adgang til sin mobilbank.
Samme dag kl. 09:49:44 og 09:50:21 blev klagerens to betalingskort indrulleret i tredjemands Google-Wallet på en mobiltelefon af mærket Google Pixel 6a via klagerens mobilbank.
Sparekassen har oplyst, at samme dag kl. 09:49 blev der sendt en SMS til klagerens mobilnummer -605, hvoraf fremgik:
”Dit kort som slutter med [-834] er nu klar til brug i Google Pay”.
Sparekassen har oplyst, at samme dag kl. 13:51 blev der sendt en SMS til klagerens mobilnummer -605, hvoraf fremgik:
”Dit kort som slutter med [-871] er nu klar til brug i Google Pay”.
I perioden fra den 30. juli til 2. august 2025 blev der med betalingskort -871 gennemført seks betalinger på i alt 24.376,95 kr., som klageren ikke kan vedkende sig.
I perioden fra den 30. juli til 4. august 2025 blev der med betalingskort -834 gennemført 16 betalinger på i alt 28.005,84 kr., som klageren ikke kan vedkende sig.
Den 4. august 2025 kontaktede klageren sparekassen vedrørende en betaling foretaget den 30. juli 2025 på 24 kr. med betalingskort -834, som hun ikke kunne vedkende sig. Betalingskortet blev ikke spærret på baggrund af klagerens henvendelse. Klageren har oplyst, at sparekassen bad hende om at ”holde øje med” sit Dankort.
Sparekassen har oplyst, at klageren i perioden fra den 30. juli til 4. august 2025 tilgik sin mobilbank flere gange.
Den 5. august 2025 kontaktede klageren sparekassen, idet der var blevet foretaget transaktioner på hendes konto, som hun ikke kunne vedkende sig.
Samme dag spærrede sparekassen begge betalingskort. Betalingskortene blev også slettet fra tredjemands Google-Wallet.
Klageren gjorde indsigelse mod betalingerne ved to tro og love-erklæringer af den 12. august 2025. Klageren anførte i begge erklæringer, at hun ikke havde godkendt betalingerne.
Den 26. august 2025 overførte sparekassen 16.376,95 kr. til konto -237 og 20.005,84 kr. til konto -405, i alt 36.382,79 kr. Sparekassen tilbageholdt 8.000 kr. for hvert af betalingskortene, i alt 16.000 kr.
Den 8. oktober 2025 skrev sparekassen til klageren, at hun hæftede for i alt 16.000 kr. af tabet.
Den 12. oktober 2025 klagede klageren over sparekassens afvisning.
Den 18. december 2025 afviste sparekassen klagen.
Parternes påstande
Den 4. januar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal godtgøre hende 16.000 kr.
Sparekassen Kronjylland har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført blandt andet, at hun ikke har godkendt transaktionerne. Hun er 80 år og ved ikke, hvad hun har gjort forkert.
Den 4. august 2025 opdagede hun, at der var blevet hævet 24 kr. fra et transportselskab i by K på hendes Dankort. Hun havde ikke været i by K og undrede sig over, hvordan beløbet var blevet hævet. Hun ringede til sparekassen, som oplyste hende om, at hun skulle ”holde øje med” sit Dankort.
Den 5. august 2025 blev der hævet over 24.000 kr. yderligere på hendes Dankort. Hun ringede igen til sparekassen, og fik den til at spærre Dankortet.
Sparekassen har ikke givet hende et svar på, hvad hun har gjort forkert, og det er hun meget frustreret over.
Hendes datter har talt med sin bankforbindelse samt venner i bankverdenen, som undrer sig over, at hun skulle hæfte med to selvrisikoer, da sparekassen burde have handlet anderledes.
Sparekassen Kronjylland har til støtte for frifindelsespåstande anført blandt andet, at de ikke-vedkendte transaktioner var korrekt registreret og bogført i sparekassens systemer, og at sparekassen på tidspunkterne for betalingstransaktionerne ikke havde været ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98.
Klageren handlede groft uforsvarligt ved at give tredjemand adgang til sin mobilbank, hvor hun gav tredjemand mulighed for at indrullere hendes betalingskort i en Google-Wallet. Klagerens to betalingskort blev anvendt til de omstridte transaktioner via en digital udgave af betalingskortene.
Klageren har ikke oplyst sparekassen om, hvordan og hvornår hun blev kontaktet af tredjemand, herunder blev anmodet om at godkende tredjemands aktivering af klagerens mobilbank på tredjemands enhed via MitID.
Klageren handlede også groft uagtsomt ved ikke at reagere på de to SMS’er, hun modtog i forbindelse med indrulleringerne.
Klageren havde i perioden fra den 30. juli til 4. august 2025, hvor klageren flere gange loggede på mobilbanken, mulighed for at se reservationerne vedrørende de omtvistede transaktioner på MasterCard -834.
Sparekassen har godtgjort klageren alle transaktionerne på begge kort, fratrukket to gange selvrisiko på 8.000 kr. Klageren hæfter for en selvrisiko på i alt 16.000 kr., jf. betalingslovens § 100, stk. 4.
Det havde ikke betydning for klagerens tab, at klagerens betalingskort ikke blev spærret ved klagerens henvendelse til sparekassen den 4. august 2025, idet transaktionerne på dette tidspunkt allerede var blevet gennemført. Det var ikke muligt at få transaktionerne tilbageført.
Sparekassen har til støtte for afvisningspåstanden anført, at der er uenighed mellem klageren og sparekassen om, hvordan klagerens betalingskort blev indrulleret i en Google-Wallet på tredjemands enhed, og at en afklaring af de nærmere omstændigheder herom forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Sagen skal derfor afvises i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnets bemærkninger
Klageren var kunde i Sparekassen Kronjylland, hvor hun blandt andet havde konto -237 med et tilknyttet Visa/Dankort -871, og konto -405 med et tilknyttet MasterCard -834. Klageren havde også adgang til mobilbank.
Sparekassen har fremlagt en udskrift af en log fra klagerens mobilbank. Sparekassen har oplyst, at klageren den 20. juli 2025 kl. 9:47 godkendte med MitID, at en tredjemand fik adgang til hendes mobilbank.
Samme dag kl. 09:49:44 og 09:50:21 blev klagerens to betalingskort indrulleret i tredjemands Google-Wallet på en mobiltelefon af mærket Google Pixel 6a via klagerens mobilbank.
Samme dag blev der sendt to SMS’er til klagerens mobilnummer -605 hvoraf fremgik:
”Dit kort som slutter med […] er nu klar til brug i Google Pay”.
I perioden fra den 30. juli til 2. august 2025 blev der med betalingskort -871 gennemført seks betalinger på i alt 24.376,95 kr., som klageren ikke kan vedkende sig.
I perioden fra den 30. juli til 4. august 2025 blev der med betalingskort -834 gennemført 16 betalinger på i alt 28.005,84 kr., som klageren ikke kan vedkende sig.
Klageren gjorde indsigelse mod betalingerne ved tro og love-erklæring af den 12. august 2025, hvor klageren anførte, at hun ikke havde godkendt betalingerne.
Den 26. august 2025 overførte sparekassen 16.376,95 kr. til konto -237 og 20.005,84 kr. til konto -405, i alt 36.382,79 kr. Sparekassen tilbageholdt en selvrisiko på 8.000 kr. for hvert af betalingskortene, i alt 16.000 kr.
Sparekassen har anført, at klageren gav tredjemand adgang til sin mobilbank. Klageren gav således tredjemand mulighed for at indrullere hendes betalingskort i sin Google-Wallet. Desuden reagerede hun ikke på to SMS’er, hvoraf fremgik, at hendes betalingskort var blevet indrulleret i en Google-Wallet.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Det følger af betalingslovens § 128, stk. 1, nr. 1, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger tilgår sin betalingskonto online.
Det følger af betalingslovens § 128, stk. 1, nr. 3, at en udbyder af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.
Stærk kundeautentifikation indebærer efter betalingslovens § 7, nr. 30, at betalingstjenesteudbydere skal forlange, at kunderne bruger minimum to ud af tre mulige sikkerhedselementer; noget kunden ved, f.eks. et kodeord, noget kunden besidder, f.eks. en app eller SMS-engangskode, og noget kun kunden er, f.eks. et fingeraftryk.
Tre medlemmer – Kristian Korfits Nielsen, Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Vi finder, at indrullering af et betalingskort i en Wallet udgør en situation omfattet af betalingslovens § 128, stk. 1, nr. 3. Kravet til stærk kundeautentifikation er kun opfyldt, hvis minimum to sikkerhedselementer vedrører samme kunde.
Ved indrullering via kortholderens netbank er kravet til stærk kundeautentifikation opfyldt, hvis kortholderen efter pålogning anvender en ny stærk kundeautentifikation til at indrullere betalingskortet.
Vi lægger efter oplysningerne i sagen til grund, at indrulleringerne af klagerens betalingskort i tredjemands Google-Wallet blev initieret fra klagerens netbank ved, at klageren selv godkendte i MitID, at tredjemand fik adgang til hendes netbank. Sparekassen har ikke godtgjort, at der efter pålogning i netbanken tillige blev anvendt en ny stærk kundeautentifikation for at gennemføre indrulleringen.
Vi finder det på denne baggrund ikke godtgjort, at indrulleringerne af klagerens betalingskort i tredjemands Google-Wallet opfyldte kravene for stærk kundeautentifikation.
Vi har herved lagt vægt på, at pålogning i netbanken og indtastning af kortoplysningerne ikke opfylder kravene til stærk kundeautentifikation.
Ifølge betalingslovens § 100, stk. 1, hæfter betalerens udbyder af betalingstjenester i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Ifølge betalingslovens § 100, stk. 7, hæfter betalingsudbyderen uanset betalingslovens § 100, stk. 3-5, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Det følger herudover af betalingslovens bilag 1, pkt. 5, at udstedelse eller indløsning af betalingsinstrumenter udgør en betalingstjeneste.
Formålet med betalingslovens bestemmelser om krav om stærk kundeautentifikation, herunder § 100, stk. 7, og § 128, stk. 1, er blandt andet at højne sikkerheden og øge forbrugerbeskyttelsen ved at iværksætte foranstaltninger til at beskytte fortroligheden og integriteten af betalingstjenestebrugeres personaliserede sikkerhedsoplysninger og anvendelse af betalingstjenesten.
Selv om der blev foretaget to processer for at gennemføre misbruget af klagerens betalingskort, nemlig indrulleringerne af klagerens kort i tredjemands Google-Wallet og tredjemands brug af Wallet-løsningen, finder vi, at de to processer i relation til hæftelsesspørgsmålet må betragtes samlet, hvorfor misbruget er omfattet af betalingslovens § 100, stk. 7, eller denne bestemmelses analogi.
Vi har herved lagt vægt på den nære sammenhæng mellem de to processer, idet misbruget af klagerens betalingskort blev muliggjort ved indrulleringerne af disse i tredjemands Google-Wallet og på formålet med betalingslovens § 100.
Da indrulleringerne ikke er sket med stærk kundeautentifikation, og da der ikke efter sagens oplysninger er grundlag for at antage, at klageren har handlet svigagtigt, finder vi, at sparekassen hæfter for tredjemands misbrug af klagerens betalingstjeneste, jf. betalingslovens § 100, stk. 7.
Et medlem – Inge Kramer, der i medfør af Ankenævnets vedtægter § 16 er tillagt to stemmer – udtaler:
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Jeg finder, at det efter oplysningerne i sagen må lægges til grund, at indrulleringen af klagerens betalingskort i tredjemands Google-Wallet blev initieret fra klagerens mo-bilbank, og at dette er sket ved, at klageren selv har godkendt, at tredjemand fik adgang til hendes mobilbank. Jeg finder, at klageren herved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
Af betalingslovens § 100, stk. 4, nr. 3, følger som nævnt, at betaleren hæfter med op til 8.000 kr. af tab som følge af andres uberettigede anvendelse af betalingstjenesten. Der er i lovforarbejderne ikke taget stilling til, om en forbruger i et tilfælde som det foreliggende alene skal hæfte med op til 8.000 kr. af det samlede tab, eller om forbrugeren kan pålægges en selvrisiko på 8.000 kr. for hvert af de betalingskort, som er anvendt ved tredjemandsmisbruget.
I lyset af ordlyden af betalingslovens § 100, stk. 4, nr. 3, og det forbrugerbeskyttende formål, som bestemmelsen tjener, finder jeg, at bestemmelsen må forstås således, at en forbruger i en situation som den foreliggende alene hæfter med 8.000 kr. for det samlede tab, der er en følge af tredjemandsmisbruget. Jeg lægger herved vægt på, at det som nævnt må lægges til grund, at misbruget er sket ved, at tredjemand er givet adgang til mobilbank, hvilket har muliggjort, at to betalingskort i umiddelbar forlængelse heraf har kunnet indrulleres i tredjemands Google-Wallet. Der er tale om et sammenhængende misbrug af konti og tilknyttede betalingskort, som efter min opfattelse kan sidestilles med den situation, hvor tredjemand i forbindelse med uberettiget anvendelse af betalingstjenesten overfører midler fra flere konti tilhørende en forbruger.
Klageren godkendte, at tredjemand fik adgang til klagerens mobilbank, og tredjemand kunne derfor have indrulleret betalingskortene i sin Google-Wallet med stærk kunde-autentifikation, fordi tredjemand kunne anvende sikkerhedselementerne knyttet til mobilbanken til at gennemføre indrulleringerne. Det ville ikke kræve yderligere involvering af klageren, fordi tredjemand, som nævnt allerede besad de nødvendige sikkerhedselementer. I den situation kan det efter min opfattelse ikke være afgørende om sparekassen faktisk stillede krav om stærk kundeautentifikation ved indrullering af betalingskortene.
Klagerens medvirken til at give tredjemand adgang til mobilbanken og indrulleringerne af klagerens betalingskort i tredjemands Google-Wallet må derfor efter min opfattelse ses under ét, og klagerens hæftelse udgør 8.000 kr.
Jeg stemmer derfor for, at sparekassen skal tilbageføre 8.000 kr. til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Sparekassen Kronjylland skal inden 30 dage indsætte 16.000 kr. på klagerens konto med valør fra datoen for debitering af transaktionerne.
Klageren får klagegebyret tilbage.