Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod en netbank-transaktion i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-kode.

Sagsnummer: 294 /2020
Dato: 05-03-2021
Ankenævn: Henrik Waaben, Kristian Ingemann Petersen, Karin Duerlund, Morten Bruun Pedersen, Anna Marie Schou Ringive.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod en netbank-transaktion i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-kode.
Indklagede: Kreditbanken
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod en netbank-transaktion i forbindelse med telefonisk henvendelse. Videregivelse af NemID oplysninger og sms-kode.

Sagens omstændigheder

Klageren var kunde i Kreditbanken, hvor hun havde flere konti samt netbankadgang.

Den 13. juli 2020 blev klageren kontaktet telefonisk af en person, S, der udgav sig for at være fra Udbetaling Danmark og efterfølgende fra Kreditbanken, og som oplyste, at klageren var blevet hacket for 15.000 kr. Klageren har oplyst, at S endvidere meddelte, at han kunne se, at der ville blive hævet 25.000 kr. fra en af klagerens konti.

Banken har oplyst, at der den 13. juli 2020 kl. 16.34 og 16.39 blev sendt to automatisk genererede sms’er til klagerens telefonnummer med følgende tekster:

”Dit NemID er netop anvendt til at logge ind i Kreditbanks MobilBank. Hvis det ikke var dig, så kontakt os på telefon ….Venlig hilsen Kreditbanken”

”Koden må aldrig udleveres til andre heller ikke medarbejdere i banken. Indtast SMS-kode [firecifret kode] i Netbanken/Mobilbanken for at godkende betalingen på DKK 25.000,00 til konto -X34.(Bestillingsnummer -972). Er denne betaling ikke oprettet af dig, kontakt straks Kreditbank på telefon ... Venlig hilsen Kreditbanken.”

Der blev efterfølgende overført 25.000 kr. fra klagerens konto til en konto i pengeinstituttet P. Transaktionen blev gennemført ved brug af klagerens NemID oplysninger, herunder NemID-nøglekort samt ved brug af den fremsendte sms-kode.  

Banken har endvidere oplyst, at klageren i umiddelbar forlængelse af de to sms'er kontaktede bankens hotline, som hjalp med at spærre klagerens NemID.

Banken tilbageførte efterfølgende 17.000 kr. af det hævede beløb, men meddelte, at klageren selv hæftede for 8.000 kr. af transaktionen på 25.000 kr.

Banken har oplyst, at klageren ved et efterfølgende møde med sin rådgiver i banken fortalte:

"Min mand var meget ærgerlig på mig, idet en veninde, som var på besøg hos os, flere gange sagde: [Klagerens navn] lad være. Det er svindel — læg røret på."

Banken har fremlagt to kundebreve, som den sendte til klageren og andre kunder i banken i april 2020 og den 9. juni 2020.

I brevet fra april 2020 skrev banken:

Advarsel! Pas på telefonopkald fra svindlere

Kære kunde

Vi oplever i øjeblikket, at vores kunder bliver ringet op af svindlere. Svindlerne udgiver sig for at være fra f.eks. banken, Skat, Nets, sundhedsmyndighederne, skifteretten eller et teleselskab.

Svindlerne forsøger at lokke oplysninger ud af kunderne ved eksempelvis at fortælle, at oplysningerne skal bruges til at stoppe overførsler, betalinger, hacking, hjælpe med at få penge tilbage i skat eller til at hjælpe kunden på anden vis.

De spørger typisk efter CPR-nummer, koden til NetBank, NemID oplysninger, betalingskort oplysninger eller SMS koder. Oplysninger som efterfølgende bliver brugt til at tømme kundens konto.

Hverken banken, Skat, Nets, offentlige myndigheder eller andre vil bede om dine personlige oplysninger på telefon eller mail. Det er kun forbrydere, der beder om dem. Du må derfor aldrig udlevere sådanne oplysninger over telefonen eller i en mail.

Bliver du ringet op af en person, der skal bruge oplysninger for at stoppe overførsler, betalinger eller hacking, eller sørge for at du kan få penge tilbage i skat, skal du straks lægge på. Hvis du alligevel udleverer oplysninger, kan det få betydning for, om banken vil dække dit tab.

Er du det mindste i tvivl om en konkret henvendelse, skal du straks ringe til os på telefonnummer …”

I brevet af 9. juni 2020 skrev banken:

” Vi har nedsat grænsen for det beløb, bankens private kunder dagligt kan overføre ud af banken via NetBank og MobilBank. Det maksimale beløb vil som udgangspunkt fremover være 25.000 kr. pr. dag.

Vi har valgt at nedsætte grænsen til 25.000 kr., fordi banken oplever, at kriminelle personer i øget omfang snyder sig til at få udleveret kunders NemID og koder, og derved får adgang til at overføre via kunders NetBank og MobilBank. Vi håber, du har forståelse for vores ændring og er tilfreds med den øgede sikkerhed, den lavere grænse giver. …

PS! Det er kun kriminelle personer, der kan finde på at bede dig oplyse dit NemID og dine koder. Banken, Skat, Nets eller andre offentlige myndigheder vil ALDRIG bede dig om at oplyse eller udlevere dit NemID og dine koder.”

Parternes påstande

Den 9. august 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Kreditbanken skal tilbageføre de resterende 8.000 kr. til hende helt eller delvist.

Kreditbanken har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at selvrisikoen på 35 % er urimeligt høj. Hun har aldrig fået mundtlig eller skriftlig meddelelse om selvrisikoen.

Hun blev ringet op af en person, S, som udgav sig for at være fra Udbetaling Danmark, og som fortalte, at hun var blevet hacket for 15.000 kr., som var blevet overført til en udenlandsk konto.

Hun blev panisk. Det var hendes eksistens, som de prøvede at gøre hende bange med.

Hun bad S stoppe alt, hvad han havde gang i. S spurgte hende derefter, om hun ville tale med en fra banken, hvilket hun sagde ja til. Hun blev gjort fuldstændig konfus. Kort efter sagde personen, at han kunne se, at der nu ville blive hævet 25.000 kr. fra en af hendes konti. Hun sagde ”stop stop” til personen.

Hun gjorde nok noget galt, for i hendes ører var det snart lige meget hvad, så lød det, som om de vidste, hvad der skulle gøres, for de vidste faktisk snart alt.

Kreditbanken har anført, at banken med henvisning til lov om betalinger § 100, stk. 4, nr. 3 (betaleren har ved groft uforsvarlig adfærd muliggjort den uberettigede anvendelse) og i forlængelse af bankens dialog med kunden i den verserende sag har vurderet, at klageren selv skal hæfte med 8.000 kr.

Banken skrev i april og juni 2020 til klageren og advarede om telefonopkald fra svindlere. Klageren fik repeteret, at man aldrig måtte udlevere koder og NemID til andre.

Klageren oplyste koder og NemID til svindleren S. Under dialogen med S – henholdsvis kl. 16.34 og kl. 16.39 – modtog klageren to sms’er fra Kreditbanken med advarsel om potentiel svindel. For at gå videre i transaktionen skulle klageren aktivere sms-koden. Klageren valgte at aktivere sms-koden. I forbindelse med transaktionen valgte klageren at bruge NemID-nøglekort. Klageren har dog også haft adgang til at bruge NemID-nøgleapp.

Klageren oplyste senere over for sin rådgiver i banken, at en veninde, der var på besøg, flere gange havde advaret klageren om, at der var tale om svindel, og at hun skulle lægge telefonrøret på.

Ankenævnets bemærkninger

Den 13. juli 2020 blev der via netbank overført 25.000 kr. fra klagerens konto i Kreditbanken til en tredjemands konto i et andet pengeinstitut.

Baggrunden for transaktionen var, at klageren den samme dag blev kontaktet telefonisk af en person, S, der udgav sig for at være fra Udbetaling Danmark og efterfølgende fra Kreditbanken. S oplyste, at klageren var blevet hacket for 15.000 kr. Klageren har oplyst, at S endvidere meddelte, at han kunne se, at der ville blive hævet 25.000 kr. fra en af klagerens konti.

Banken har oplyst, at der den 13. juli 2020 blev sendt en sms fra banken til klagerens telefonnummer med en kode og med oplysning om, at koden var til godkendelse af en betaling på 25.000 kr. til en bestemt konto.

Transaktionen blev gennemført ved brug af klagerens NemID oplysninger, herunder NemID-nøglekort samt ved brug af den fremsendte sms-kode. Banken har oplyst, at brug af sms-koden var nødvendig til gennemførelse af transaktionen.

Det lægges efter det oplyste til grund, at klageren videregav sine NemID oplysninger og sms-koden til S.

Transaktionen skyldtes tredjemands misbrug af klagerens NemID.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet lægger til grund, at klageren har været udsat for phishing.

Banken tilbagebetalte efterfølgende 17.000 kr. af det hævede beløb, men meddelte klageren, at hun selv hæftede for 8.000 kr.

Efter betalingslovens § 100, stk. 4, nr. 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Det fremgik af den til klageren sendte sms, at klageren ved brug af sms-koden godkendte en overførsel på 25.000 kr. til en tredjemands konto. Ankenævnet finder, at klageren ved at videregive sine NemID oplysninger samt sms-koden ved groft uforsvarlig adfærd har muliggjort transaktionen, og at klageren som følge heraf hæfter med op til 8.000 kr., selvom det som anført må lægges til grund, at hun har været udsat for phishing.

Klageren får herefter ikke medhold i klagen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.