Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.

Sagsnummer: 530 /2022
Dato: 22-08-2023
Ankenævn: Vibeke Rønne, Jonas Thestrup Nielsen, Karin Duerlund, Morten Bruun Pedersen og Elizabeth Bonde
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Netbank - øvrige spørgsmål
Ledetekst: Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.
Indklagede: Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Lån & Spar Bank, hvor hun bl.a. havde en konto -046 og netbankadgang.

Den 19. september 2022 blev der fra klagerens konto foretaget to transaktioner på 13 kr. og 53.000 kr. til tredjemands konto i et andet pengeinstitut, som klageren ikke kan vedkende sig.

Klageren har oplyst, at hun den 17. september 2022 modtog en SMS, der så ud til at have MobilePay som afsender. Af SMS’en fremgik, at hendes kontaktoplysninger var forsøgt ændret, og såfremt hun ikke havde foretaget ændringen, skulle hun trykke på et medsendt link. Hun trykkede på linket og loggede ind med NemID.

Klageren har endvidere oplyst, at hun den 19. september 2022 blev ringet op af en person, der udgav sig for at være fra Lån & Spar Bank. Personen oplyste, at der så ud til at være mistænkelige overførsler på hendes konto, og at han ville hjælpe ved at flytte hendes penge til en anden konto i banken. Hun modtog to SMS’er fra banken, som hun udleverede til personen. Derefter godkendte hun to transaktioner med MitID.

Klageren har fremlagt et print fra sin telefon, hvoraf fremgår, at hun havde et indgående opkald fra Lån & Spar Bank af en varighed på 14 minutter.

Banken har anført, at betalingstransaktionerne blev gennemført ved brug af MitID og indtastning af klagerens personlige kode samt SMS-koder sendt fra banken.

Af SMS’erne, som klageren modtog fra banken, fremgik:

”Udlever aldrig denne kode til andre – heller ikke til Lån & Spar. Hvis du kan godkende din overførsel på […] kr. til konto […], skal du indtaste denne engangskode: 618757. Er du ikke i gang med at overføre penge, så kontakt straks banken på 33782000 og spær dit NemID.”

Banken har endvidere oplyst, at bogføringen af transaktionerne er sket korrekt, og at betalingerne er korrekt registreret.

Klageren gjorde indsigelse mod transaktionerne over for banken.

Banken tilbageførte 43.013 kr. til klageren, svarende til de overførte beløb fratrukket 8.000 kr.

Ved e-mail af 20. oktober 2022 klagede klageren over bankens afgørelse. I klagen forklarede klageren følgende om hændelsesforløbet:

”Den 13. og 14. september 2022 modtager jeg en mail fra COOP forsikringer om, at min personlig data kunne være blevet lækket mellem d. 26. og d. 27. august i en times tid. Jeg gik som foreslået af COOP ind på deres hjemmeside og ændrede mit password. Jeg ved ikke, om svindleren har skaffet sig adgang til mine personlige oplysninger, herunder at jeg er kunde i banken. Men jeg nævner dette, da det kunne være en mulighed, og for at illustrere, at jeg også her reagerede hurtigst muligt, da jeg blev opmærksom på, at der var en sikkerhedsrisiko vedrørende mine personoplysninger.

Den 17. september 2022 kl. 14.15. modtager jeg en phishing SMS, der ser ud til at stamme fra “MobilePay”. Der står i SMS'en, at mine kontaktoplysninger på Mobilepay er blevet forsøgt ændret, og at hvis det ikke var mig, skulle jeg trykke på det medsendte link. Jeg får trykket på linket og logget mig ind med mit nem-id. Men går så hurtigt ud af den hjemmeside linket pegede på, da jeg fik mistanke om, det var en falsk SMS. Der sker tilsyneladende ikke mere, efter at jeg har forladt hjemmesiden.

Den 19. september klokken 17:23 bliver jeg ringet op af en svindler, som udgiver sig for at være en Lån og Spar medarbejder. Han ringer via et nummer, som på telefonens display ser ud til at være det Lån og Spar telefonnummer, jeg havde kodet ind på min telefon, dvs. 33 78 20 00. Se Bilag A.

Han forklarer dernæst, at der ser ud til at være nogen mistænkelige overførsler på min konto. Og han spørger bl.a. om jeg lige har lavet en overførsel på 3500 kr. Det har jeg ikke, og jeg bliver derfor bange for, at der nogen, som har skaffet sig adgang til min konto.

Han remser mit CPR-nr. op og beder mig bekræfte, om det er rigtigt, hvilket jeg gør.

Han tilbyder at hjælpe mig og han siger at for at forhindre, at overførslerne/transaktioner skal gå igennem, så vil han flytte mine penge over på en anden konto i banken og derefter føre dem tilbage igen til min konto.

Jeg går ind på mobilbanken, mens vi taler sammen. Her kan jeg først se, at han overfører 477 kr. fra min lønkonto og 5025 kr. fra min anden opsparingskonto over på min børneopsparing. Jeg bliver ikke bedt om nogen koder eller lignende for, at han kan overføre disse to beløb.

Svindleren sender mig nu to SMS’er, der i mit display fremstår som om, de er sendt fra Lån og Spar. De indeholder nogle koder, som han beder om, at jeg skulle oplyse ham om hurtigt. Se Bilag B.

Da han siger dette, skynder jeg mig bare at gøre det og får ikke kigget ordentligt på teksten i SMS’erne. Derudover beder ham mig om at acceptere to overførsler via MitID, hvilket jeg gør.

Han flytter derefter mine penge på børneopsparingen videre til en konto i [navn på andet pengeinstitut]. Det sker via 2 straksoverførsler på henholdsvis 53.000 kr. og 13 kr.

Det næste, der sker, er at han spærrer mit kort inde i Mobilbanken. Jeg bliver ikke bedt om at sende nogen koder eller på anden måde acceptere, at dette sker.

Han spørger mig til sidst, om han skal bestille et nyt kort til mig og nævner min adresse, og om kortet skal sendes til denne adresse. Det bekræfter jeg, men kortet er aldrig blevet bestilt.

Herefter siger han, at han vil ringe tilbage igen 30 min. efter, da det kunne tage lidt tid at sende pengene tilbage til min konto. Han ringede aldrig tilbage. Og jeg prøver så at ringe tilbage på det nummer, han ringede op fra. Dette opkald går til Lån og Spars kundeservicelinje, hvor en telefonsvarer oplyser, at opkaldet er sket uden for bankens åbningstid.

…”

Ved e-mail af 24. oktober 2022 til klageren fastholdt banken afgørelsen.

Banken har fremlagt et skærmprint af tekst fra MobilePays og sin egen hjemmeside med advarsler mod at dele personlige oplysninger.

Parternes påstande

Den 15. december 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal tilbageføre 7.625 kr. til hende.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun var overbevist om, at svindleren var en ansat i banken, da han ringede op fra bankens nummer.

Hun blev meget forskrækket, da hun blev ringet op af en person, der fortalte, at nogen prøvede at lavede uautoriserede overførsler af hendes penge.

Det var en velforberedt og overbevisende form for phishing, hun blev udsat for. For det første fordi svindleren havde skaffet sig en række præcise private oplysninger om hende, inklusive det forhold, at hun er kunde i Lån & Spar Bank. For det andet fordi han anvendte en teknik, der fik hans telefonopkald til hende til at fremstå som om, de blev foretaget fra Lån & Spar Banks eget telefonnummer. For det tredje fordi han tilsyneladende var i stand til i starten af samtalen at foretage overførsler mellem hendes konti, uden at hun skulle medvirke. Disse tre forhold medførte, at hun i situationen i god tro havde det indtryk, at hun rent faktisk talte med en af bankens medarbejdere, som tilbød at hjælpe hende med at undgå, at hendes indeståender i banken blev ført ud af banken af svindlere.

Det er mest korrekt at se på situationen i sin helhed. Da svindleren på et tidspunkt instruerede hende til at videregive de SMS-koder, hun modtog, virkede det i situationen - hvor der var lagt et pres på hende for at agere hurtigt og dermed undgå problemer - som i orden at fravige den kortfattede advarsel i SMS’erne.

Det er ikke korrekt at konkludere, at hun har opført sig groft uagtsomt udelukkende ved at henvise til, at hun ikke rettede sig efter teksten i de to SMS’er.

Hvis man skal vurdere graden af uagtsomhed, er det naturligt og korrekt at tage hensyn til den konkrete situation. Dermed bør der i vurderingen også tages hensyn til den nedbrydende effekt på ens sædvanlige dømmekraft, som en veludført phishing har på den person, der bliver udsat for den.

Ud fra situationen i sin helhed har hun ikke handlet groft uagtsomt, men kun simpelt uagtsomt, og hendes selvrisiko bør derfor i stedet være 375 kr., jf. betalingslovens § 100, stk. 3.

Banken henviser til forskellige informationer på bl.a. MobilePays og bankens egen hjemmeside vedrørende risikoen ved phishing og advarsler om ikke at videregive personlige oplysninger. Oplysningerne på bankens hjemmeside fandtes ikke på tidspunktet, hvor hun blev udsat for svindlen. Hun hørte først nærmere om faren for den type svindel, hun blev udsat for, efter hændelsen var sket.

Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at klageren selv muliggjorde transaktionerne ved at videregive sine strengt personlige oplysninger som NemID-login og kodeord samt SMS-koderne.

Klageren burde have undersøgt linket, hun fik tilsendt, inden afgivelse af alle sine oplysninger.

Ved at videregive sine NemID-oplysninger og SMS-koder muliggjorde klageren ved groft uforsvarlig adfærd transaktionerne, jævnfør betalingslovens § 100, stk. 4, nr. 3. Klageren hæfter derfor for 8.000 kr. af tabet som følge af transaktionerne.

Denne svindelmetode advares der imod på diverse medier, hjemmesider samt på banken egen hjemmeside og netbank.

Lån & Spar Bank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Den 19. september 2022 blev der fra klagerens konto i Lån & Spar Bank foretaget to transaktioner på 13 kr. og 53.000 kr. til tredjemands konto i et andet pengeinstitut.

Baggrunden for overførslerne var, at klageren den 17. september 2022 modtog en SMS, der så ud til at have MobilePay som afsender. Af SMS’en fremgik, at hendes kontaktoplysninger var forsøgt ændret, og såfremt hun ikke havde foretaget ændringen, skulle hun trykke på et medsendt link. Hun trykkede på linket og loggede ind med NemID.

Den 19. september 2022 blev klageren ringet op af en person, der udgav sig for at være fra Lån & Spar Bank. Personen oplyste, at der så ud til at være mistænkelige overførsler på hendes konto, og at han ville hjælpe ved at flytte hendes penge til en anden konto i banken. Hun modtog to SMS’er med engangskoder fra banken, som hun udleverede til personen. Derefter godkendte hun to overførsler med MitID.

Banken har anført, at betalingstransaktionerne blev gennemført ved brug af MitID og indtastning af klagerens personlige kode samt SMS-koderne sendt fra banken.

Ankenævnet finder, at transaktionerne skyldtes tredjemands misbrug af klagerens betalingstjeneste.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Jonas Thestrup Nielsen og Karin Duerlund – udtaler:

Det fremgik af de til klageren sendte SMS’er, at hun ved brug af SMS-koderne godkendte overførsler på nærmere angivne beløb til en anden konto. Vi finder, at klageren ved at videregive SMS-koderne og godkende transaktionerne med MitID ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klageren som følge heraf hæfter med op til 8.000 kr., selv om det må lægges til grund, at hun har været udsat for phishing.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

 Vi finder at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have udleveret oplysningerne og godkendt transaktionerne.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 53.013 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.