Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
| Sagsnummer: | 85 /2023 |
| Dato: | 22-08-2023 |
| Ankenævn: | Vibeke Rønne, Karin Duerlund, Jimmy Bak, Morten Bruun Pedersen og Elizabeth Bonde |
| Klageemne: |
Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald. |
| Indklagede: | Nordea Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun havde en konto og netbankadgang.
Den 21. november 2022 modtog klageren en SMS, der så ud til at være fra MobilePay, med anmodning om opdatering af oplysninger. Klageren har oplyst, at hun klikkede på linket og blandt andet indtastede sine MitID oplysninger.
Den 22. november 2022 blev klageren kontaktet telefonisk af en person, der udgav sig for at være fra Nordea Danmark.
Den 22. november 2022 blev der foretaget en netbankoverførsel på 27.000 kr. fra klagerens konto til tredjemands konto i et andet pengeinstitut.
Banken har oplyst, at overførslen blev gennemført ved, at klageren loggede på sin netbank ved at indtaste sit brugernavn og adgangskode til MitID og herefter godkendte med MitID. Derefter indtastede og godkendte klageren på samme måde overførslen med MitID, men som yderligere sikkerhed i bankens netbank blev der ved overførslen sendt en SMS til klageren, til hvilken hun skulle svare ”JA”, hvis overførslen skulle gennemføres.
Banken har fremlagt en log, hvoraf det fremgår, at der forinden overførslen blev sendt en SMS med følgende tekst til klagerens telefonnummer:
”Bekræft overførsel af 27.000,00 kr. til konto […035]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”
Af loggen fremgår, at SMS’en blev godkendt med ”Ja”.
Banken har oplyst, at kontooverførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Det lykkedes banken at få 880,40 kr. retur fra det modtagende pengeinstitut.
Klageren anmeldte sagen til politiet.
Den 24. november 2022 indgav klageren indsigelse til banken. I indsigelsesblanketten oplyste klageren blandt andet, at hun benyttede MitID-nøgleapp, at andre ikke havde kendskab til hendes NemID/MitID oplysninger, at hun ikke på noget tidspunkt var blevet bedt om at oplyse sit NemID/MitID brugernavn og password til personer, som hun ikke kendte, og at hun ikke havde modtaget telefonopkald, hvori hun var blevet bedt om at oplyse sine NemID oplysninger og koder fra NemID nøglekort. Klageren satte kryds i feltet ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”. Klageren anførte endvidere:
”Jeg fik en besked fra Mobilepay om at jeg skulle opdatere mine oplysninger, hvor jeg klikker på linket og logger ind med MitID. Jeg bliver ringet op tirsdag aften af ”Nordea” fra 70333333, og en mand siger jeg har fået en virus fra linket i beskeden. Han fortæller at en iPhone 7 i Holland prøver at overføre penge fra min opsparing, og at systemet har stoppet transaktionen. Han siger mine penge skal sikres på en ”sikkerhedskonto”, hvorefter han hjælper mig meget nøjagtigt med at overføre hele min opsparing til denne konto. …”
Banken afviste klagerens indsigelse.
Parternes påstande
Den 31. januar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal returnere hele det mistede beløb til hende, subsidiært returnere det mistede beløb med fradrag af 8.000 kr.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun blev udsat for svindel. Hun blev overtalt til at overføre 27.000 kr. fra sin opsparing til svindlerens konto.
Svindleren fik det til at se ud, som om han ringede fra Nordea. Han oplyste, at hun havde fået en virus, og at en iPhone 7 i Holland havde forsøgt at overføre 3.000 kr. fra hendes opsparingskonto, fordi hun havde klikket på linket fra MobilePay. Svindleren fortalte, at bankens system havde ”flagget” transaktionen, og at hun var heldig, at banken havde stoppet den. Han oplyste, at han ville oprette en ”sikkerhedskonto” til hende, som hun skulle overføre sin opsparing til. Han fortalte præcis, hvad hun skulle gøre i sin netbank, og hvor hun skulle klikke for at overføre pengene til sikkerhedskontoen.
Hun har ikke handlet uansvarligt. Hun oplyste ikke svindleren om sine bankoplysninger eller MitID. Hun handlede i god tro, da hun stolede på sin bank. Hun spurgte under telefonsamtalen, hvordan hun kunne sikre sig, at manden var fra Nordea. Han henviste til Nordeas hjemmeside og telefonnummer. Hun tjekkede flere gange under telefonsamtalen, at 70 33 33 33 er Nordeas hovednummer. Hun blev stresset af svindleren i telefonen og tænkte ikke klart.
Hun blev udsat for phishing. Hun er villig til at betale en selvrisiko på 8.000 kr. Banken har anført, at hændelsen ikke var phishing, fordi hun selv autoriserede overførslen fra sin bankkonto og godkendte overførslen på SMS. Definitionen af phishing er ifølge Oxford Dictionary ”den svigagtige praksis med at sende e-mails eller andre meddelelser, der foregiver at være fra velrenommerede virksomheder for at få enkeltpersoner til at afsløre personlige oplysninger, såsom adgangskoder og kreditkortnumre.” Hun er som sådan enig i hændelsen, men hun var i god tro og stolede på, at der var tale om en Nordea medarbejder. SMS’en fra MobilePay var en phishing besked. Hun indtastede i god tro oplysninger om sit navn, adresse, telefonnummer, e-mail, kortoplysninger samt MitID. Disse oplysninger blev brugt imod hende ved opringningen fra ”bankmanden” fra Nordea.
De 27.000 kr. var hele hendes opsparing, som hun skulle leve for det sidste halvandet år som studerende.
Nordea Danmark har anført, at overførslen var autoriseret.
Overførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Klageren anerkendte i tro- og loveerklæringen, at hun selv foretog overførslen. Det er således uomtvistet, at klageren selv foretog overførslen og godkendte den via sin netbank ved brug af sit MitID og efterfølgende godkendte overførslen via SMS.
Teksten i SMS´en var meget tydelig omkring, hvad det omhandlede, og med klagerens ”JA” godkendte hun overførslen af beløbet.
Der var ikke tale om phishing eller identitetstyveri i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, da klageren hverken udleverede MitID eller SMS-kode til den ”falske Nordea medarbejder”, og denne person var ikke logget på klagerens netbank.
Der kan derfor ikke være tvivl om, at overførslen var autoriseret, og at Nordea på den baggrund ikke er forpligtet til at godtgøre klageren den omhandlede transaktion.
Klageren kan derfor heller ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.
Det bemærkes, at betalingslovens § 112 ikke finder anvendelse i dette tilfælde, da klageren selv har foretaget overførslen via sin netbank.
Ankenævnets bemærkninger
Den 22. november 2022 blev der foretaget en netbankoverførsel på 27.000 kr. fra klagerens konto i Nordea Danmark til tredjemands konto i et andet pengeinstitut. Transaktionen blev forudgående bekræftet ved SMS til og fra klagerens telefonnummer.
Om baggrunden for transaktionen har klageren oplyst, at hun den 21. november 2022 modtog en SMS, der fremtrådte som om, den kom fra MobilePay. Hun klikkede på et link og afgav en række personlige oplysninger. Den 22. november 2022 blev hun kontaktet telefonisk af en person, der foregav at være fra banken, og som oplyste, at nogen forsøgte at overføre penge fra hendes konto, og at hendes penge skulle sikres på en ”sikkerhedskonto”. I indsigelsesblanketten af 24. november 2022 oplyste klageren, at hun selv foretog overførslen.
Tre medlemmer – Vibeke Rønne, Karin Duerlund og Jimmy Bak – udtaler:
Ud fra klagerens egne oplysninger om, at hun selv foretog overførslen, finder vi, at transaktionen blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionen i forbindelse med et bedragerisk telefonopkald.
Vi finder ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Elizabeth Bonde – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder NemID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 18.119,60 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.