Krav om tilbageførsel af netbankoverførsel foretaget i forbindelse med bedragerisk telefonopkald.
| Sagsnummer: | 28/2023 |
| Dato: | 22-08-2023 |
| Ankenævn: | Vibeke Rønne, Karin Duerlund, Jimmy Bak, Morten Bruun Pedersen og Elizabeth Bonde. |
| Klageemne: |
Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsel foretaget i forbindelse med bedragerisk telefonopkald. |
| Indklagede: | Nordea Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsel foretaget i forbindelse med bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun havde en konto og netbankadgang.
Fredag den 14. oktober 2022 blev der foretaget en overførsel på 168.849,85 kr. fra klagerens konto i banken til en modtagerkonto -421 i banken. Umiddelbart efter blev pengene overført til en konto i et andet pengeinstitut.
Banken har oplyst, at overførslen blev gennemført ved, at klageren loggede på sin netbank i banken ved at indtaste sit brugernavn og adgangskode til MitID samt godkendelse med MitID. Overførslen blev godkendt ved brug af MitID. Som en yderligere sikkerhed blev der sendt en SMS til klagerens telefonnummer, hvortil hun skulle svare ”JA” for at bekræfte overførslen. SMS’en havde følgende ordlyd:
”…
Bekræft overførsel af 168.849,85 kr. til konto [-421]. Svar JA, hvis den skal gennemføres - NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea.”
…”
Banken har oplyst, at klageren svarede ”JA” på SMS’en, hvorefter overførslen blev gennemført.
Banken har endvidere oplyst, at kontooverførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Klageren har oplyst, at hun blev ringet op fredag den 14. oktober 2022 kl. 15:31 af en person, der udgav sig for at være ansat i banken. Samtalen varede indtil kl. 18:09. Personen berettede om en mistænkelig overførsel til USA, som hun ikke havde initieret, og personen opfordrede hende derfor til at overføre hele sin formue til en anden konto i banken for at forhindre eventuelt bedrageri. Efter overførslen sagde personen, at han ville afbryde samtalen for at tjekke, at alt var ok, hvorefter han ville ringe hende op igen. Da hun ikke blev ringet op igen, kontaktede hun straks banken for at få stoppet overførslen og anmelde bedrageriet. Hun oplyste i den forbindelse det kontonummer, som overførslen var sket til. Banken bad hende om at møde op i banken mandag morgen for videre behandling af sagen. Mandag den 17. oktober 2022 mødte hun op i banken, og under mødet spurgte hun banken, om den havde blokeret for den konto, som hendes penge var blevet overført til. Det kunne banken ikke bekræfte. Hun anmeldte også forholdet til politiet.
Den 17. oktober 2022 gjorde klageren indsigelse mod overførslen på 168.849,85 kr. i en tro- og loveerklæring til banken, hvoraf blandt andet fremgår:
”…
|
NEM-ID: |
|
|
|
|
… |
|
|
|
|
Er du på noget tidspunkt blevet bedt om at oplyse dit NemID/Mit-ID brugernavn og Password til personer du ikke kender?
|
JA |
NEJ X |
|
|
… |
|
|
|
|
Phishing/Vishing: |
|
|
|
|
… |
|
|
|
|
Har du modtaget et telefonopkald hvori du blev bedt om at oplyse dit NemID brugernavn, NemID kodeord og koder fra dit NemID nøglekort |
JA |
NEJ X |
|
|
… |
|
|
|
|
Hændelsesforløb: |
|
|
|
|
Giv en beskrivelse af hændelsesforløbet: Bliver ringet op af Emil Nielsen fra Nordea, Teknisk Service Afdeling. Er skeptisk, og ”Emil” siger så du kan bare gå ind på Nordeas hjemmeside og finde mit navn. Emil spørger ”har du lige overført et beløb til USA?”. Jeg siger Nej. Går ind i Netbank og tjekker. ”Emil” siger ”ser den rigtig ud?” Jeg siger ja. ”Emil” siger, det ser ud som, at der har været nogle inde, så jeg spærre din [konto], så vi er sikre på, at pengene bliver her. ”Emil” tilbyder, at pengene kommer over på en Back-up konto. Ovf. til samme reg.nr. 2255. |
|||
|
Du skal krydse af på én af 3 følgende scenarier: |
|||
|
|
Jeg har ikke selv foretaget, indtastet, accepteret eller beordret andre til at lave overførslen, hverken med min Netbank, Mobilbank App, eller ved telefonisk henvendelse til Nordea. |
||
|
|
Jeg har selv foretaget de ovenstående transaktioner med henblik på investering af midlerne. |
||
|
X |
Jeg har selv fortaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet med overførslerne. |
||
…”
Banken har oplyst, at det lykkedes banken at få tilbageført 24.227,88 kr. fra det andet pengeinstitut, hvortil pengene blev videreført umiddelbart efter, at de var modtaget på konto -421 i banken.
Parternes påstande
Den 9. januar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark helt eller delvist skal tilbageføre beløbet.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun kontrollerede det telefonnummer, som bedrageren ringede fra, og det stemte overens med bankens telefonnummer. Hun kontrollerede også det navn, som bedrageren udgav sig for at hedde, og det stemte også overens med, at der var en person ansat i banken ved dette navn. Overførslen skete derudover til en konto i banken i den samme afdeling, hvor hun selv har en konto, hvilket hun kunne se på registreringsnummeret. Hun var derfor i god tro, da hun gennemførte overførslen.
De fleste bankkunder vil være påvirket af et vist stress, hvis de bliver kontaktet af en bankrådgiver med budskabet, at de er ved at blive frarøvet deres formue. Bedrageren spillede bevidst på denne stress og pressede yderligere for at fastholde spændingen under hele samtalen. På trods af denne påvirkning gjorde hun alt, hvad hun kunne for at sikre sig mod bedrageri: tjekkede telefonnummeret, spurgte ind til identiteten på personen og verificerede via bankens hjemmeside, at personen var ansat i banken.
Hun gjorde langt mere for at beskytte sig mod bedrageri, end man kan forvente. Langt mere end blot at være i god tro. Alligevel blev hun bedraget. Betalingslovens § 100, stk. 8, finder derfor anvendelse.
Hvis ovenstående ikke er nok til, at man kan holdes skadesløs, betyder det reelt, at en bankrådgiver fremover aldrig vil være i stand til at have en dialog med en kunde, medmindre det foregår gennem netbankens mail-system eller e-boks. Selv ikke en bankrådgiver, man møder i banken med navneskilt og skrivebord, kan man være 100 % sikker på. Ligeledes frembringer vi et samfund, hvor en uniformeret betjent, der stiger ud af en politibil og fremviser sit politiskilt, ikke kan forvente at en borger anerkender hans identitet, og at kommunikationen igen skal foregå via e-boks. Det kan jo være en falsk bil, falsk uniform og falsk skilt.
Det er bekymrende, at bedrageren i overbevisende grad var i stand til at forberede sig på at fremstå med en identitet fra banken, i samme filial, som hun anvender. Det skaber en utryghed om, hvorvidt bedrageren har adgang til følsomme oplysninger fra netop denne filial. Der er skrevet artikler om selvsamme filial i banken, og det bestyrker mistanken om, at banken kan have et internt problem. Enten med datasikkerhed, eller en ”insider”. Banken er derfor forpligtet efter betalingslovens § 99, stk. 3.
Banken oplyser, at stort set alle pengene var væk fredag den 14. oktober 2022 kl. 19.20, da de modtog anmeldelsen. Alligevel kunne banken mandag den 17. oktober 2022 ikke bekræfte, at modtagerkontoen var blevet spærret.
Banken har oplyst til hende, at den ikke har politianmeldt ejeren af modtagerkontoen, og at det er hende, der selv skal gøre dette. Det er i modstrid med hvidvaskloven § 3, og banken har pligt til at anmelde det. Banken har derfor ikke handlet agtpågivende.
Med den agtpågivenhed, som hun udviste, bør hun ikke stilles ringere, end hvis hun havde oplyst sit NemID til tredjepart, eller været uforsigtig med sine kreditkortoplysninger. Banken bør holde hende skadesløs, naturligvis med tilsvarende selvrisiko, som er gældende ved ovenstående eksempler.
Nordea Danmark har anført, at overførslen var autoriseret. Overførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Klageren anerkender i tro- og loveerklæringen, at hun selv foretog overførslen. Det er således uomtvistet, at klageren selv foretog overførslen og godkendte den via sin netbank ved brug af sit MitID og efterfølgende godkendte overførslen via SMS.
Teksten i SMS´en var meget tydelig omkring, hvad det omhandlede og med klagerens ”JA”, så godkendte hun overførslen af beløbet.
Der er ligeledes ikke tale om phising eller identitetstyveri i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, da klageren hverken udleverede MitID eller SMS-kode til den ”falske Nordea medarbejder”, og denne person var ikke logget på klagerens netbank.
Der kan derfor ikke være tvivl om, at overførslen er autoriseret, og at banken på den baggrund ikke er forpligtet til at godtgøre klageren den omhandlede transaktion.
Klageren kan derfor heller ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.
Det bemærkes, at betalingslovens § 112 ikke finder anvendelse i dette tilfælde, da klageren selv foretog overførslen via sin netbank.
Ankenævnets bemærkninger
Den 14. oktober 2022 blev der med klagerens MitID foretaget en overførsel på 168.849,85 kr. fra klagerens konto i Nordea Danmark til en anden konto i banken. Beløbet blev umiddelbart efter videreført til en konto i et andet pengeinstitut, hvorfra banken fik tilbageført 24.227,88 kr.
Klageren har i sin indsigelse til banken oplyst, at hun på baggrund af en telefonsamtale med en person, der udgav sig for at være fra banken, selv foretog overførslen. Banken har oplyst, at transaktionen blev gennemført ved brug af klagerens MitID, og at klageren bekræftede den SMS, der blev sendt til hendes telefonnummer.
Tre medlemmer – Vibeke Rønne, Karin Duerlund og Jimmy Bak – udtaler:
Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at hun blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.
Vi finder, at banken ikke på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor hun har udleveret oplysninger, herunder NemID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 136.621,97 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.