| Sagsnummer: | 324/2025 |
| Dato: | 10-10-2025 |
| Ankenævn: | Katrine Waagepetersen, Kritte Sand Nielsen, Signe Kjørup Carlsson, Rolf Høymann Olsen og Ann-Mari Faldt Agerlin |
| Klageemne: | Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktioner godkendt i MitID.
Sagens omstændigheder
Klagerne H og M var kunder i Danske Bank, hvor H havde et Visa/dankort -8938.
Den 12. april 2025 blev der med H’s Visa/dankort foretaget otte kortbetalinger på i alt 1.386,99 GBP (én kortbetaling på 301,99 GPB til betalingsmodtager S1 og syv kortbetalinger á 155,00 GBP til betalingsmodtager S2) svarende til i alt 12.087,57 DKK. Klagerne kan ikke vedkende sig betalingerne.
Banken har anført, at betalingerne blev godkendt med stærk kundeautentifikation i H’s MitID-app -9170, der var aktiveret på H’s telefon den 9. januar 2024. Banken har fremlagt uddrag af H’s MitID log. I sagen er endvidere fremlagt udskrifter fra bankens system med teksterne, der blev sendt til MitID-app i forbindelse med godkendelserne af de otte betalinger. Af teksterne fremgik:
”Betal 301,99 GBP til [S1] fra kort xx8938”
”Betal 155,00 GBP til [S2] fra kort xx8938”
I H’s MitID-log er registreret ”App – autentificering lykkedes” med H’s MitID-app -9170 otte gange den 12. april 2025 i tidsrummet fra kl. 15:51 til 16:07.
Banken har oplyst, at transaktionerne var korrekt registreret og bogført, og at betalingerne ikke var ramt af tekniske svigt eller andre fejl.
Klagerne har fremlagt telefonskærmprint (reproduktion af test foretaget den 23. april 2025) med tekst i MitID, hvoraf det fremgår ”Betal 156,55 GBP til [S1] fra kort xx0315” og ”Betal 155,54 GBP til [S1] fra kort xx0315”.
Om baggrunden for transaktionerne har klagerne oplyst, at H havde en vare til salg på Facebook Market. H blev i den forbindelse narret til at klikke på et link, der fremstod som værende fra DAO. H blev af en falsk DAO chatfunktion/kundeservice anmodet om at oprette en konto, indtaste sine kortoplysninger og godkende adskillige gange med MitID, hvilket hun gjorde. Hun blev i den forbindelse informeret om, at der ikke ville blive trukket beløb, men at der alene var tale om en verificering, og at der var fejl i hendes betalingskort, hvorfor hun blev anmodet om at godkende adskillige gange. Klagerne har fremlagt skærmprint vedrørende H’s kontakt med chatfunktionen, og hvoraf det blandt andet fremgik:
”Kære sælger, gå venligst til mit-ID-appen og bekræft push-meddelelsen. Vær opmærksom på, at det beløb, der er angivet i push-meddelelsen, er ugyldigt og fungerer som en kode, der ikke vil blive afspejlet på din bankkortsaldo”
Den 15. og 16. april 2024 gjorde H indsigelse mod betalingerne til banken.
Banken godtgjorde H tabet fratrukket 8.000 DKK.
Parternes påstande
Den 14. juli 2025 har klagerne indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 8.000 DKK til H.
Danske Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klagerne har blandt andet anført, at H blev narret til at klikke på et link, der fremstod som værende fra DAO, til brug for en pakkelabel til en vare, hun havde til salg.
H blev anmodet om at oprette en konto, indtaste sine kortoplysninger og godkende adskillige gange med MitID, hvilket hun gjorde. H blev klart informeret om, at der ikke ville blive trukket noget beløb, men at der alene var tale om en standard verificering, og at der var fejl i hendes betalingskort, hvorfor hun blev anmodet om at godkende adskillige gange.
Svindleren var meget overbevisende og professionel, og vedkommende narrede H til at tro, at der var tale om en standard verificering.
Det fremlagte skærmprint vedrørende H’s kontakt med chatfunktionen viser, at svindleren eksplicit angav, at det beløb, der var synligt i MitID-bekræftelserne, ikke ville blive trukket og alene var en del af en kode- og bekræftelsesproces.
Den 15. og 16. april 2025 blev der debiteret i alt 12.087,57 DKK på H’s konto vedrørende køb af kryptovaluta, som hun ikke havde foretaget. De rettede straks herefter henvendelse til banken.
H var ikke bekendt med, at hun foretog køb af kryptovaluta. Teksten i MitID var tvetydig og angav ikke, at der var tale om en højrisiko transaktion. Teksten i MitID angav alene ”S1”, som er en anerkendt betalingsplatform. Teksten indeholdt ingen referencer til eller angivelse af, at der var tale kryptotransaktioner, jf. også de fremlagte skærmprint (reproduktioner), som klart viser teksten, der blev vist på MitID, og som alene angav betaling til S1.
Bankens overvågningssystem svigtede på trods af, at der var tale om adskillige fortløbende betalinger af ensartede beløb indenfor kort tid.
H’s betalingskort havde en forbrugsramme på 6.000 DKK.
Danske Bank har anført, at transaktionerne er korrekt registreret og bogført og ikke har været ramt af tekniske svigt eller andre fejl.
Transaktionerne blev alle gennemført med H’s MitID og blev derved gennemført med stærk kundeautentifikation.
MitID-appen var installeret på H’s telefon, som hun var i besiddelse af på det tidspunkt, hvor betalingerne blev godkendt. Det må derfor antages, at H personligt godkendte alle betalingerne.
H gav selv sine kortoplysninger til en tredjemand, hvilket muliggjorde betalingsanmodningerne.
Oplysning om beløbsmodtager og beløb blev vist i godkendelsesteksterne i H’s Mit-ID-app.
Det må således have stået klart for H, at hun var ved at foretage betaling af de pågældende beløb til en ukendt modtager.
H var ikke under pres i forbindelse med videregivelsen af ??sine kortoplysninger og de efterfølgende godkendelser af betalingerne.
H muliggjorde betalingerne ved groft uforsvarlig adfærd og hæfter derfor for 8.000 DKK, jf. betalingslovens § 100, stk. 4.
Grænsen på 6.000 DKK vedrører brug af ??betalingskortet i danske hæveautomater og er derfor ikke relevant i denne sag.
Ankenævnets bemærkninger
Klagerne H og M var kunder i Danske Bank, hvor H havde et Visa/dankort -8938.
Den 12. april 2025 blev der med H’s Visa/dankort foretaget otte kortbetalinger (én kortbetaling på 301,99 GPB til betalingsmodtager S1 og syv kortbetalinger á 155,00 GBP til betalingsmodtager S2) svarende til i alt 12.087,57 DKK. Klagerne kan ikke vedkende sig betalingerne.
Om baggrunden for transaktionerne har klagerne oplyst, at H havde en vare til salg på Facebook Market. H blev i den forbindelse narret til at klikke på et link, der fremstod som værende fra DAO. H blev af en falsk DAO chatfunktion/kundeservice anmodet om at oprette en konto, indtaste sine kortoplysninger og godkende adskillige gange med MitID, hvilket hun gjorde. Hun blev i den forbindelse informeret om, at der ikke ville blive trukket noget beløb, men at der alene var tale om en verificering, og at der var fejl i hendes betalingskort, hvorfor hun blev anmodet om at godkende adskillige gange.
Banken har anført, at kortbetalingerne blev godkendt med stærk kundeautentifikation i H’s MitID-app -9170, der var aktiveret på H’s telefon den 9. januar 2024. I sagen er fremlagt udskrifter fra bankens system med teksterne, der blev sendt til MitID-app i forbindelse med godkendelserne af de otte betalinger. Af teksterne fremgik: ”Betal 301,99 GBP til [S1] fra kort xx8938” og ”Betal 155,00 GBP til [S2] fra kort xx8938”
Banken godtgjorde tabet fratrukket 8.000 DKK.
Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Ankenævnet lægger til grund, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Katrine Waagepetersen, Kritte Sand Nielsen og Signe Kjørup Carlsson – udtaler:
Efter de foreliggende oplysninger finder vi det godtgjort, at H må have godkendt de otte kortbetalinger på i alt 1.386,99 GBP (én kortbetaling på 301,99 GPB og syv kortbetalinger á 155,00 GBP) med sit MitID.
Vi finder, at banken har godtgjort, at H ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da hun burde have reageret på teksterne i MitID-appen, hvor hun fik oplysninger om beløbene på i alt 1.386,99 GBP og beløbsmodtagerne, og at H som følge heraf hæfter med op til 8.000 DKK.
Vi stemmer derfor for, at klagerne ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Ann-Mari Faldt Agerlin – udtaler:
Som ovenfor anført finder vi det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, banken skal tilbageføre 7.625 DKK til klageren.
Sagen afgøres efter stemmeflertallet.
Ankenævnets afgørelse
Klagerne får ikke medhold i sagen.