Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for lån. Misbrug af NemID og MitID. Falsk.

Sagsnummer: 134/2023
Dato: 13-10-2023
Ankenævn: Bo Østergaard, Christina Bryanth Konge, Jimmy Bak, Jacob Ruben Hansen og Anna Marie Schou Ringive
Klageemne: Udlån - hæftelse
Ledetekst: Indsigelse mod hæftelse for lån. Misbrug af NemID og MitID. Falsk.
Indklagede: Lunar Bank A/S
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører klagerens indsigelser mod hæftelse for et lån i Lunar Bank på grund af misbrug af hans NemID og MitID.

Sagens omstændigheder

Den 13. februar 2022 kl. 21:44 blev der sendt en ansøgning til Lunar Bank om oprettelse af et kundeforhold/en konto til klageren. Banken har oplyst, at ansøgningen blandt andet indeholdt klagerens navn, telefonnummer, adresse, personnummer og et billede af klagerens kørekort. Ansøgningen er ikke fremlagt i sagen. Banken har endvidere oplyst, at ansøgningen blev godkendt med klagerens MitID-app fra klagerens IP-adresse.

Den 17. februar 2022 kl. 09:51 accepterede banken ansøgningen, og klageren blev kunde i banken og fik oprettet en konto -940. Samme dag kl. 23:04 blev der indgivet en låneansøgning på 30.000 kr. til banken, hvor klagerens NemID blev anvendt til at give samtykke til, at banken kunne hente data fra eSkat. Banken har oplyst, at den på baggrund af data fra flere kilder kunne fastlægge klagerens faste udgifter og rådighedsbeløb m.m. til grund for kreditvurderingen. Låneansøgningen er ikke fremlagt i sagen.

Den 18. februar 2022 godkendte banken låneansøgningen, hvorefter der blev underskrevet et gældsbrev på 30.000 kr. med klagerens NemID fra klagerens IP-adresse.  Lånet skulle afvikles med 900 kr. om måneden i 49 måneder, og renten var variabel og udgjorde for tiden 20 % om året. Låneprovenuet på 30.000 kr. blev udbetalt til konto -940 samme dag kl. 14:18.

Den 18. februar 2022 kl. 14:20 blev der foretaget en bankoverførsel på 10.000 kr. fra konto -940 til tredjemands konto i et andet pengeinstitut P, og kl. 14:21 blev der foretaget en bankoverførsel på 20.000 kr. fra konto -940 til tredjemands konto i P. Banken har oplyst, at bankoverførslerne blev godkendt med klagerens MitID-app fra klagerens IP-adresse. 

Da lånet ikke blev afviklet som aftalt, indledte banken i marts 2022 et rykkerforløb over for klageren, hvorved banken sendte rykkere til klagerens e-Boks.

Klageren kontaktede banken den 22. marts 2022 og oplyste, at det ikke var ham, der havde oprettet kontoen, underskrevet låneaftalen og overført låneprovenuet til P. Klageren blev i den forbindelse bedt om at udfylde en tro- og loveerklæring, politianmelde hændelsen og spærre sit NemID, hvilket han gjorde.

Den 22. marts 2022 spærrede banken for adgang til klagerens Lunar mobilapp og konto i banken. Banken har oplyst, at fra ansøgningen om oprettelse af kundeforhold den 13. februar 2022 til spærringen den 22. marts 2022 blev klagerens MitID-app brugt ni gange over for banken. Dette inkluderede login på klagerens Lunar mobilapp, oprettelse af klagerens engagement og godkendelse af de to bankoverførsler til P.

Ved en tro- og loveerklæring af 25. marts 2022 gjorde klageren indsigelse mod de to overførsler fra konto -940 til konti i P på henholdsvis 20.000 kr. og 10.000 kr. foretaget med hans MitID. I tro- og loveerklæringen oplyste klageren, at han brugte IP-adressen -9.14. Desuden anførte han følgende om hændelsesforløbet:

”Jeg bliver opmærksom på, at der er oprettet en konto plus lån da jeg modtager en rykker fra jer i min e-boks den 22/3 og tager kontakt til jer. Hvordan at der er skaffet adgang til mit nemid/mitid og icloud ved jeg ikke”

Banken afviste klagerens indsigelse og fastholdt, at klageren hæftede for det optagne lån.

Lånet blev efterfølgende opsagt på grund af misligholdelse og overgivet til inkasso i februar 2023.

Banken har i forbindelse med sagen fremlagt en oversigt over IP-adresser, der viser, at klageren i perioden fra den 13. februar 2022 til den 18. februar 2022 anvendte IP-adressen -9.14 over for banken, en oversigt over registreret login på klagerens Lunar mobilapp i perioden fra den 13. februar 2022 til den 22. marts og en oversigt over godkendelser foretaget med klagerens Mit- ID-app.

Parternes påstande

Den 16. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lunar Bank A/S skal anerkende, at han ikke hæfter for noget lån hos banken.

Lunar Bank A/S har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han i februar 2022 blev udsat for identitetstyveri, hvor der blev oprettet tre lån i hans navn. De to af lånene på henholdsvis 30.000 kr. og 5.000 kr. hos andre kreditorer blev afsluttet, og kreditorerne accepterede, at det ikke var ham, der havde gjort det. Derfor undrer det ham, at Lunar Bank fastholder, at han er ansvarlig for lånet optaget i banken. Sagen er nu sendt til inkasso, og banken siger, at det er hans skyld på grund af sløseri med opbevaring af hans NemID/iCloud.

Det ene lån på 30.000 kr., som blev afsluttet og frafaldet, var kortvarigt på hans konto, hvorefter pengene blev hævet og var væk. Derfor blev både hans og hans mands konto lukket, NemID spærret og nye kort bestilt.

Der blev ifølge Lunar Bank brugt et foto af hans kørekort. Han sendte et foto af sit kørekort til sin egen bank for to år siden og slettede det efterfølgende fra sin telefon.

Han havde tidligere en konto hos Lunar Bank, som blev lukket ret hurtigt, da han ikke havde tillid til deres måde at drive bank på. Hvorfor skulle han pludselig oprette en ny konto og som det første oprette et lån på 30.000 kr. Han ville aldrig oprette lån hos en bank, som han ikke har tiltro til, og som han tilbage i 2019 kritiserede kraftigt, da han ikke syntes, at sikkerheden var særlig god.

Han undrer sig over, at han ikke modtog et lånedokument i e-Boks. Andre banker sender lånedokumenter til e-Boks. Banken svarede, at den havde sendt lånedokumentet til mobilappen, og at den ikke kunne sende det til e-Boks. Han har efterfølgende fået banken til at sende det til ham via mail. Under alle omstændigheder kunne han ikke skrive under på noget, som han ikke kendte til i en app, som han ikke havde, og som en anden havde oprettet med falske oplysninger. Hans navn var korrekt, men hans mailadresse var forkert.

Han vedkender sig ikke lånet, og han har ikke givet sine oplysninger til andre. Han er blevet gjort opmærksom på at det er muligt at hacke en iOS enhed og foretage operationer på denne, uden at man som bruger kan se dette via en 0-dags sårbarhed, og det må være sådan, at en uvedkommende har fået adgang til alle hans data og har optaget lånet. Han havde ikke mulighed for at opdage dette, før den første rykker blev sendt til hans e-Boks.

Lunar Bank A/S har til støtte for frifindelsespåstanden anført, at der ikke er tale om tredjemandsmisbrug. Det er uklart, hvordan den påståede svindel skulle være muliggjort. Klageren har ikke redegjort for, hvordan tredjemand fik adgang til hans personlige oplysninger, kørekort, IP-adresse, MitID oplysninger og MitID-app og NemID.

Klageren har hverken dokumenteret, godtgjort eller sandsynliggjort, at låneaftalen ikke var indgået af ham. Derimod viser sagens faktiske omstændigheder, at der er tale om et lån optaget af klageren selv, idet klagerens personoplysninger samt kørekort blev brugt til både ansøgningen om en konto og låneansøgningen.

Endvidere blev klagerens MitID oplysninger og MitID-app brugt til at færdiggøre ansøgningen om et engagement hos Lunar Bank den 13. februar 2022, og klagerens NemID blev brugt til at give banken adgang til klagerens eSkat i forbindelse med låneansøgningen den 17. februar 2022 og brugt til at underskrive låneaftalen den 18. februar 2022.  Klagerens MitID-app blev brugt flere gange, herunder til at godkende de to bankoverførsler den 18. februar 2022. Endvidere ses der ikke at være anvendt andre IP-adresser end klagerens i forbindelse med oprettelsen af kontoen, optagelsen af lånet og overførslen af midlerne til P. Klagerens MitID-app blev brugt til at tilgå klagerens Lunar mobilapp, indtil adgangen blev spærret af banken den 22. marts 2022.

Under bankens behandling af sagen, herunder de informationer som banken har modtaget fra relevante parter, har banken fået indtryk af, at kontoen i P, som provenuet fra lånet på 30.000 kr. blev overført til, er en konto, som klageren har både kendskab og forbindelse til.

Såfremt Ankenævnet, på trods af ovenstående, måtte finde, at der foreligger tredjemandsmisbrug, kan banken ikke være aftaleretligt forpligtet, idet det fremgår af hændelsesforløbet, at klageren må have udvist en sådan grad af uagtsomhed, at han i forhold til banken hæfter for låneoptagelsen på aftaleretligt grundlag. Det ville alene være muligt for tredjemand at få adgang til ovennævnte oplysninger og dermed muliggøre det eventuelle misbrug, såfremt klageren havde opbevaret nævnte oplysninger samt personlige koder groft uagtsomt eller forsætligt videregivet dem til tredjemand.

Banken har til støtte for afvisningspåstanden anført, at sagen bør afvises under henvisning til Ankenævnets vedtægter § 5, stk. 3, nr. 4, idet omstændighederne bag det påståede misbrug, herunder klagerens involvering, kræver en bevisførelse samt parts- og vidneforklaringer, som ikke kan foretages for Ankenævnet.

Ankenævnets bemærkninger

Den 13. februar 2022 blev der sendt en ansøgning til Lunar Bank om oprettelse af et kundeforhold/en konto til klageren. Ansøgningen blev godkendt med klagerens MitID-app fra klagerens IP-adresse.

Den 17. februar 2022 accepterede banken ansøgningen, og klageren blev kunde i banken og fik oprettet en konto -940. Samme dag blev der indgivet en låneansøgning på 30.000 kr. til banken. Den 18. februar 2022 godkendte banken låneansøgningen, hvorefter der blev underskrevet et gældsbrev på 30.000 kr. med klagerens NemID fra klagerens IP-adresse, og låneprovenuet på 30.000 kr. blev udbetalt til konto -940.  Umiddelbart herefter blev der foretaget to bankoverførsler på henholdsvis 10.000 kr. og 20.000 kr. fra konto -940 til tredjemands konto i et pengeinstitut P. Bankoverførslerne blev godkendt med klagerens MitID-app fra klagerens IP-adresse.

Klageren har anført, at han blev opmærksom på, at der var oprettet et lån og oprettet en konto i banken, da han modtog en rykker fra banken i sin e-Boks den 22. marts 2022. Han ved ikke, hvordan der er skaffet adgang til hans NemID og hans MitID.

Der er i sagen alene fremlagt den elektronisk underskrevne låneaftale, men ikke den forudgående ansøgning om oprettelse af et kundeforhold/en konto af 13. februar 2022 og låneansøgningen af 17. februar 2022 med eventuelle bilag.

Udgangspunktet er, at klageren ikke vil være bundet af en låneaftale, der er indgået af en tredjemand, der uberettiget har fået adgang til klagerens MitID og NemID, idet der herved foreligger falsk. Klageren kan dog ifølge retspraksis have udvist en sådan grad af uforsigtighed, at han alligevel kan blive aftaleretligt forpligtet til at betale i henhold til den indgåede låneaftale.

Afgørelsen af, om klageren bliver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens digitale signatur, må træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb. I denne vurdering indgår bl.a., under hvilke omstændigheder tredjemand har fået adgang til klagerens MitID-app og NemID, om indehaveren har haft kendskab til, at tredjemand havde adgang til hans MItID og NemID, og om indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at spærre sit MitID og sit NemID så hurtigt som muligt.

Ankenævnet finder, at en afgørelse af sagen forudsætter en forklaring fra parterne, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene, hvorfor sagen afvises i medfør af Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.