Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 kr. for kontooverførsel. Aktivering af MitID på svindlerens enhed ved brug af NemID.

Sagsnummer: 335 /2022
Dato: 15-11-2023
Ankenævn: Bo Østergaard, Inge Kramer, Janni Visted Hansen, Morten Bruun Pedersen og Jørn Ravn
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Netbank - øvrige spørgsmål
Ledetekst: Indsigelse mod at hæfte for 8.000 kr. for kontooverførsel. Aktivering af MitID på svindlerens enhed ved brug af NemID.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun bl.a. havde en grundkonto og adgang til netbank. Klageren havde endvidere NemID-nøglekort.

Den 13. juni 2022 blev der foretaget en netbankoverførsel på 8.600 kr. fra klagerens grundkonto til tredjemands konto.

Om baggrunden for overførslen har klageren oplyst, at hun den 13. juni 2022 modtog en SMS fra Skattestyrelsen og en halv time efter et opkald fra en person, der udgav sig for at være fra banken. Personen oplyste, at nogen forsøgte at trække penge fra hendes konto, og at hendes NemID skulle spærres.

Klageren har fremlagt et print af sin opkaldsliste, hvoraf fremgår, at hun blandt andet fra kl. 11:53 til kl. 12:12 havde et indgående opkald fra telefonnummer 70333333.

Banken har oplyst, at der blev sendt en midlertidig PIN-kode til MitID til klagerens telefonnummer, at indlogning i klagerens netbank skete kl. 12:03, og at overførslen på 8.600 kr. blev gennemført kl. 12:07 med en nyoprettet MitID-app.

Banken har fremlagt en beskrivelse af processen for oprettelse af MitID med NemID. Kunden går ind på mitid.dk og klikker på linket ”Kom i gang med MitID”, hvorefter kunden trykker ”Få MitID her” og ”Få MitID med NemID”. Derefter logger kunden ind med sit NemID, hvorefter hun skal vælge brugernavn og kan vælge et nyt identifikationsmiddel, for eksempel MitID-app. Derefter vises kundens brugerID og en ny aktiveringskode, som skal indtastes på hendes mobiltelefon i forbindelse med oprettelsen.

Banken har fremlagt en udskrift fra bankens MitID-portal vedrørende klageren. Af udskriften fremgår:

Dato/Tid

Hændelse

Tjenesteudbyder

Alvorlighedsgrad

13-06-2022 12:09

App – permanent spærret

-

Kritisk

13-06-2022 12:09

Godkendelse – logget på med MitID

-

Information

13-06-2022 12:09

App – autentificering lykkedes

-

Information

13-06-2022 12:09

Godkendelse – indtastet bruger-ID

-

Information

13-06-2022 12:08

Godkendelse – logget på med MitID

-

Information

13-06-2022 12:08

App – autentificering lykkedes

-

Information

13-06-2022 12:07

Godkendelse – indtastet bruger-ID

-

Information

13-06-2022 12:03

Godkendelse – logget på med MitID

-

Information

13-06-2022 12:03

App – autentificering lykkedes

-

Information

13-06-2022 12:03

Godkendelse – indtastet bruger-ID

-

Information

13-06-2022 12:02

App – ny MitID app aktiveret

-

Kritisk

13-06-2022 12:01

Midlertidig PIN-kode – til MitID app valideret

-

Information

13-06-2022 12:01

Midlertidig PIN-kode – til MitID app sendt på SMS

-

Information

13-06-2022 12:01

Aktiveringskode – til MitID app valideret

-

Kritisk

13-06-2022 12:01

Aktiveringskode – til ny MitID app oprettet

-

Kritisk

Klageren har bestridt MitID-portalens indhold.

Klageren har fremlagt et skærmprint af SMS’er modtaget fra MitID. Heraf fremgår, at følgende to SMS’er blev modtaget kl. 12:01 den 13. juni 2022:

”IMPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support.
Temporary PIN code for MitID app: [xx]

Din nye MitID app er nu aktiveret.
Har du ikke aktiveret din app? Ring til MitID support +45 33980010”

To SMS’er med tilsvarende indhold blev modtaget samme dag kl. 18:27.

Klageren har endvidere fremlagt skærmprint fra hjemmesiden mitid.dk af aktiviteter den 14. juni 2022 samt et skærmprint af en søgning på datoen den 13. juni 2022, hvor søgeresultatet angiver, at der ikke er fundet aktiviteter. Klageren har endvidere fremlagt en GDPR-rapport fra MitID.dk, hvoraf fremgår, at der den 14. juni 2022 kl. 13:49 var hændelsen ”Aktiveringskode – til ny MitID app oprettet”.

Klageren har fremlagt et skærmprint af SMS’er modtaget fra NemID. Heraf fremgår, at fire SMS’er med følgende tekst blev modtaget den 13. juni 2022 kl. 15:23, to stk. kl. 16:50 og kl. 18:18:

”Midlertidig adgangskode til NemID: Koden udløber kl. […] den 14/6. Hilsen Nets DanID.”

Klageren har endvidere fremlagt et skærmprint fra service.nemid.nu. Heraf fremgår hændelsen ”Bruger kan ikke autentificeres pga. adgangskode forkert fra IP-adresse [xx]” fem gange i tidsrummet fra kl. 12:10 til kl. 12:11 den 13. juni 2022. Kl. 12:11 fremgår hændelsen ”Adgangskoden er låst i 8 timer fra IP-adresse [xx]”, samt at ”Bruger kan ikke autentificeres pga. adgangskode låst i 8 timer fra IP-adresse [xx]”. Kl. 14:07 fremgår hændelsen, at et nøglekort var spærret fra kl. 14:07.

Klageren har endvidere fremlagt et skærmprint fra service.nemid.nu, hvoraf fremgår, at klageren har et aktivt nøglekort -361.

Klageren gjorde indsigelse over for banken mod overførslen på 8.600 kr. Af indsigelsesblanketten fremgik, at hun benyttede ”PAP nøglekort”. Endvidere svarede klageren ja til følgende spørgsmål:

”Har du modtaget mail eller sms, hvor du er blevet bedt om at tage et billede af dit nøglekort? [JA]

Har du modtaget et telefonopkald hvori du blev bedt om at oplyse dit NemID brugernavn, NemID kodeord og koder fra dit NemID nøglekort [JA]”

Klageren anførte endvidere:

”Jeg får først en SMS fra SKAT mht. at de har lavet en fejl, og at jeg skal give dem oplysninger. Jeg ventede med dette fordi jeg blev lidt utryg. En halv time efter får jeg et opkald fra Nordea som er jeres nummer. De spørger om jeg har set aktivitet på min konto, fordi der er nogen der prøver at trække penge. Han siger at mit Nem-id skal spærres. Han oplyser mit nøglekort nr. som han på forhånd har og de første 4 cifre. Han beder mig om at oplyse resterende 6 cifre. Han siger efterfølgende at han spære kortet, og at jeg skal tage i banken i morgen for at åbne kortet igen. Der går ca. 2 timer og de ringer igen og siger at de vil gennemgå det der lige skete. Hvor de forklarer at der er sket en del aktivitet på kontoen. Jeg sagde, at jeg næsten lige havde snakket med en anden. Han siger at nogen forsøger at hæve 200.000 kr., jeg spørger ham hvordan det kan lade sig gøre når kortet er spærret. Jeg tjekker min konto fordi jeg bliver lidt utryg og kan se at de har trukket 8600.”

Ved brev af 14. juni 2022 svarede banken på indsigelsen. Af svaret fremgik, at klageren blev godtgjort 600 kr. og selv hæftede med 8.000 kr., fordi hun havde udleveret oplysninger om sit NemID samt midlertidig PIN-kode til MitID sendt til hendes telefonnummer, jf. Regler for Netbank, punkt 5.1.

Ved besked i netbank af 15. juni 2022 klagede klageren til banken over afgørelsen. Samme dag anmeldte klageren forholdet til politiet.

Banken fastholdt afgørelsen.

Af bankens Regler for Netbank – Privat fremgår:

5.1 Dit ansvar ved misbrug af Netbank

Hvis Netbank har været misbrugt af en anden, vil banken dække tabet, medmindre tabet er omfattet af reglerne nedenfor. Det er banken, der skal bevise, at tabet er omfattet af reglerne nedenfor.

Hvis en anden har misbrugt Netbank og brugt din adgangskode og/eller nøgler fra dit nøglekort/din nøgleviser, skal du dække tab op til 375 kr.

Du skal dække tab op til 8.000 kr. (inkl. selvrisiko), hvis en anden har misbrugt Netbank og brugt din adgangskode og/eller nøgler fra dit nøglekort/din nøgleviser, og:

- du har undladt at underrette os snarest muligt, efter at du har opdaget, at en anden er blevet bekendt med adgangskoden og/eller nøglerne fra nøglekortet/ nøgleviseren

- du med forsæt har oplyst adgangskoden og/eller nøglerne fra nøglekortet/nøgleviseren til den, der har misbrugt Netbank, uden at du indså eller burde have indset, at der var risiko for misbrug eller

- du ved groft uforsvarlig adfærd har muliggjort misbruget. Du hæfter for hele tabet, hvis misbruget af Netbank er foretaget af den, som du med forsæt har oplyst din adgangskode og/eller nøgler fra dit nøglekort/din nøgleviser til under omstændigheder, hvor du indså eller burde have indset, at der var risiko for misbrug. …”

Parternes påstande

Den 31. august 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 8.000 kr.

Nordea Danmark har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun den 13. juni 2022 modtog en SMS, hvori Skattestyrelsen oplyste, at hun manglede at få 2.600 kr. tilbage i skat. Hun valgte at afvise denne SMS, da hun vidste, at det kunne være/var et hyppigt svindelnummer.

Efter cirka 30 minutter, kl. 11:53, modtog hun et opkald fra en person, der udgav sig for at være fra banken. Nummeret, personen udgav sig for at ringe fra, var bankens telefonnummer. Hun tolkede det som en troværdig kilde. Personen oplyste, at nogen havde forsøgt at overføre 2.600 kr. fra hendes konto, hvorfor hendes NemID og hendes bankkonto skulle spærres. Eftersom personen kendte hendes fulde navn og CPR-nummer og henset til, at personen ringede fra et nummer tilhørende banken, virkede det ikke mistænkeligt, da personen anmodede hende om at oplyse de seks sidste cifre til hendes NemID. En time efter samtalen med personen kunne hun se, at der var overført 8.600 kr. fra hendes konto, hvorefter hun straks rettede henvendelse til banken for at få spærret sit NemID samt gøre opmærksom på svindlen. Hun gjorde således indsigelse med det samme.

Banken afviste hendes klage med begrundelsen, at hun er skyldig, og banken anfører, at hun har været i kontakt med MitID. Det kan hun dokumentere, at hun ikke har. Hun brugte kun NemID-nøglekort indtil den 14. juni 2022.

Hun delte ikke MitID-koder med svindleren den 13. juni 2022.

Banken har fremlagt hændelser fra MitID med tidspunkter fra kl. 12:01 til kl. 12:09 om aktivering af ny MitID-app, som banken påstår er sket under hendes telefonnummer. Hverken hun, MitID support eller Digitaliseringsstyrelsen kan se aktiviteter på disse tidspunkter eller på dagen.

Af hendes indhentede hændelseslog-oplysninger fra service.nemid.nu fremgår, at der først var aktivitet kl. 12:10, men uden at det lykkedes, idet det fremgår ”bruger kan ikke autentificeres pga. adgangskode forkert”. Derfor blev det låst i otte timer kl. 12:11, og alle hendes konti blev spærret kl. 14:07 og ikke kl. 12:09.

Hun kan både fremvise troværdige bilag fra sin kontakt med MitID samt dokumentere, at hun har været i kontakt med Digitaliseringsstyrelsen, som bekræfter hendes udsagn. De oplyser, at der ingen aktivitet var den pågældende dag. Hvis banken ikke mener, at denne dokumentation er tilstrækkelig, bør banken kontakte dem på egen hånd og få sin argumentation i orden.

Bankens udskrift fra dens MitID-portal med datoer samt tidspunkter stemmer ikke overens med virkeligheden. Hun har fremlagt et helt andet virkelighedsbillede. Hvis banken bruger dette argument som det eneste argument for dens afvisning, ønsker hun et mere grundigt skema, som kan fremvise en mere dybdegående fremtræden, hvori banken kan bevise, at det er hendes oplysninger.

Nordea Danmark har til støtte for frifindelsespåstanden anført, at betalingen på 8.600 kr. er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl.

Det fremgår af klagerens indsigelsesskema og supplerende oplysninger, at klageren udleverede NemID-koder til svindleren fra klagerens nøglekort samt i tidsrummet fra kl. 11:53 til kl. 12:12 havde talt i telefon med svindleren. I samme periode blev der sendt en SMS til klagerens telefonnummer, som indeholdt en midlertidig MitID-kode. I SMS’en fremgik det eksplicit, at klageren ikke måtte dele koden med andre – heller ikke med ”én som påstår at komme fra banken”.

Klageren har selv anført, at den pågældende person påstod at komme fra banken. Henset til ovennævnte omstændigheder omkring tidsrummet for klagerens kald, og at klageren har erkendt at have udleveret NemID-koder gøres det gældende, at det ligeledes kan lægges til grund, at klageren må have udleveret de pågældende aktiveringskoder til MitID til den formodede svindler.

Henset til ordlyden af SMS’erne muliggjorde klageren ved groft uforsvarlig adfærd den uberettigede anvendelse ved at gøre det muligt for svindleren at oprette en MitID-app, som muliggjorde den efterfølgende overførsel via bankens netbank, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3, samt afsnit 5.1 i bankens Regler for Netbank – Privat.

Til brug for oprettelse af det nye MitID var der ikke blot krav om anvendelse af NemID-brugernavn, adgangskode, kode fra nøglekort, men også en kode til MitID sendt til klagerens mobiltelefon. Banken havde således foretaget de nødvendige forholdsregler i forhold til sikkerheden for at begrænse misbrug.

Klageren bestrider at have videregivet den pågældende kode fra SMS’en til brug for aktivering af en ny MitID-app, men det fremgår af udskriften fra MitID-portalen, at den pågældende kode blev sendt kl. 12:01 og indtastet korrekt, og altså i samme tidsrum som klageren selv har oplyst at være i telefonisk kontakt med den formodede svindler – og selvsamme kald, hvor klageren har erkendt at have udleveret koder fra sit nøglekort.

Herudover anfører klageren, at hun modtog en SMS fra Skattestyrelsen, som anmodede om oplysninger, men at hun havde ventet med at indlevere oplysningerne. Det er en typisk måde for svindlere at få phishet en persons NemID-oplysninger. Henset til den korte tidshorisont mellem svindlen og modtagelsen af SMS’en fra Skattestyrelsen, og at klageren selv uopfordret har oplyst at have modtaget SMS’en med anmodning om oplysningerne, så har det formodningen for sig, at klageren ikke ventede med at besvare SMS’en, hvilket sætter spørgsmål ved klagerens forklaring i forhold til, at hun heller ikke udleverede aktiveringskoden til MitID.

Banken bestrider klagerens påstand om, at udskriften fra MitID-portalen ikke er korrekte oplysninger. Klageren har selv vedhæftet et skærmprint fra MitID, som stemmer overens med oplysningerne fra portalen. I de af klageren fremlagte bilag fremgår skærmprint fra både NemID og MitID. Der er tale om hændelser, som ligger før og efter den omhandlede transaktion.

Banken bestrider klagerens udlægning omkring det hændte. Klageren har fremlagt et ikke-dokumenteret skærmprint fra MitID, hvilket af samme årsag ikke kan anvendes til sagens behandling. Det vedhæftede skærmprint fra NemID dokumenterer ikke, at klageren ikke udleverede de respektive koder til den pågældende svindler, som ringede til hende.

Banken har til støtte for afvisningspåstanden anført, at afgørelse i sagen forudsætter en vidneførelse under strafansvar omkring indholdet af telefonsamtalen med svindleren, herunder hvilke oplysninger klageren videregav til svindleren, og derfor bør sagen afvises jf. § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Den 13. juni 2022 blev der via netbank foretaget en overførsel på 8.600 kr. fra klagerens grundkonto til tredjemands konto.

Baggrunden for overførslen var, at klageren den 13. juni 2022 modtog en SMS fra Skattestyrelsen og en halv time efter et opkald fra en person, der udgav sig for at være fra banken. Personen oplyste, at nogen forsøgte at trække penge fra hendes konto, og at hendes NemID skulle spærres. Klageren har oplyst, at hun udleverede de sidste seks cifre til sit NemID til personen.

Klageren talte med personen i tidsrummet fra kl. 11:53 til kl. 12:12.

Klageren har fremlagt et skærmprint af SMS’er modtaget fra MitID. Heraf fremgår, at to SMS’er blev modtaget kl. 12:01 den 13. juni 2022. Af SMS’erne fremgik: ”IMPORTANT: Never share this code with others. Not even with someone who claims to come from the bank or support. Temporary PIN code for MitID app: [xx]” samt ”Din nye MitID app er nu aktiveret.  Har du ikke aktiveret din app? Ring til MitID support +45 33980010”.

Banken har anført, at det kan lægges til grund, at klageren også udleverede aktiveringskoder til MitID til den formodede svindler, der blev sendt på SMS til klagerens telefonnummer. Dette gjorde det muligt for svindleren at oprette en MitID-app, som muliggjorde overførslen af 8.600 kr. via klagerens netbank. Banken har endvidere oplyst, at indlogning i klagerens netbank skete kl. 12:03, og at overførslen på 8.600 kr. blev gennemført kl. 12:07 med den nyoprettede MitID-app. Klageren har bestridt, at hun udleverede koder til MitID.

Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at transaktionen skyldtes tredjemands misbrug af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionen skete under omstændigheder, der medfører, at klageren hæfter efter betalingslovens § 100, stk. 4, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.