Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Krav om tilbageførsel af netbank/mobilbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagsnummer: 267 /2023
Dato: 06-02-2024
Ankenævn: Henrik Waaben, Inge Kramer, Janni Visted Hansen, Tina Thygesen og Lisbeth Baastrup Burgaard.
Klageemne: Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst: Krav om tilbageførsel af netbank/mobilbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbank/mobilbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klagerne, M og H, var kunder i Nordea Danmark, hvor de blandt andet havde en fælleskonto -554, som de hver især havde adgang til at disponere over. De havde endvidere begge netbankadgang/mobilbankadgang.

Den 1. marts 2023 blev der foretaget fem overførsler på i alt 574.105 kr. fra klagernes konto -554 til tredjemands konto i banken og i andre pengeinstitutter. Der blev via H’s mobilbank overført henholdsvis 61.250 kr., 52.125 kr. og 150.120 kr. og via M’s mobilbank overført henholdsvis 85.225 kr. og 225.385 kr.

Banken har oplyst, at klagerne den 1. marts 2023 kl. 22:07 kontaktede Nordea 24/7 og forklarede, at der samme dag var foretaget flere mobilbanktransaktioner fra deres konto -554 til konti i banken og til konti i andre pengeinstitutter. Klagerne oplyste, at transaktionerne blev foretaget på opfordring af en mand, der foregav at være fra Nordea. Senere fandt klagerne dog ud af, at manden havde svindlet dem til at lave overførslerne.

Banken har endvidere oplyst, at den herefter forsøgte at tilbagekalde overførslerne og samtidig oplyste klagerne om, at den ikke kunne garantere, at overførslerne ville blive tilbageført.

Banken har oplyst, at alle transaktionerne blev godkendt af klagerne med MitID fra klagernes IP-adresse. Som en ekstra sikkerhed blev der ved overførslerne sendt SMS’er til H for så vidt angår de tre overførsler og til M vedrørende de to overførsler, til hvilke de skulle svare ”JA”, hvis overførslen skulle gennemføres.

Banken har fremlagt logs, hvoraf det fremgår, at der forinden overførslerne blev sendt SMS’er til H’s telefonnummer for så vidt angår de tre overførsler og til M’s telefonnummer for så vidt angår de to overførsler med følgende tekst:

”Bekræft overførsel af [beløb] til [konto …xxx]. Svar JA, hvis den skal gennemføres – NEJ hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea.”

Af de fremlagte logs fremgår, at SMS’erne blev godkendt med ”JA”.

Ved tro- og loveerklæringer af 2. marts 2023 gjorde klagerne over for banken indsigelse mod overførslerne.

I indsigelsesblanketten fra H vedrørende de tre overførsler foretaget via hendes mobilbank oplyste hun, at hun benyttede netbank og mobilbank. Endvidere havde H sat kryds ved teksten: ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”. H anførte under ”Hændelsesforløb”:

”1) D. 1/3-23 kl. ca. 14:45 blev jeg ringet op af en tidl. Nordea-rådgiver fra hendes direkte nummer [(telefonnummer)], hvor det var en anden i telefonen, [S…], der ringede fra Nordeas hovedkontor. Årsag: At der var kommet en anmodning om forbrugslån på 71.000 kr. Vi/jeg kunne ikke godkende anmodningen, men ”[S…]” insisterede på at bede politiets afd. For IT-kriminalitet se på sagen. Hun viderestillede direkte til Rigspolitiets afd for IT-krim.

2) Her kommer jeg straks til at tale med en forstående, flink, tryghedsskabende [F… L…] som mener jeg er blevet udsat for russiske hackere (som nr. 18 samme dag). Han er i kontakt med både Nordea og MitID og har tilsyneladende en oversigt over vores data.

Han bedyrede beroligende at evt. svindel og tyveri selvfølgelig ville blive erstattet. Hans samarbejde med Nordea og MitID gik ud på at sikre vores konti mod misbrug ved at overføre alt indestående til nye konti som de to instanser hver især skulle godkende – men vi skulle også selv godkende via MitID, hvilket vi gjorde.

3) Jeg nåede at registrere et enkelt registreringsnummer på en filial fra [pengeinstitut og reg. nr.] men desværre ikke kontonummeret.”

I indsigelsesblanketten fra M vedrørende de to overførsler foretaget via hans mobilbank oplyste han, at han benyttede netbank og mobilbank, samt at han havde modtaget et opkald fra bankens telefonnummer 70333333, der var i gang, da han kom hjem. Endvidere havde M sat kryds ved teksten: ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”. M anførte under ”Hændelsesforløb”:

”Jeg kommer hjem kl. ca. 15:15, hvor min kone er oprevet, fordi en bankrådgiver har ringet angående et misbrug af vores konto (en låneanmodning). Jeg bliver bedt om at bekræfte 3 overførsler med Mit- ID.”

Henholdsvis den 12. marts og 14. marts 2023 afviste banken klagernes indsigelser, idet den anførte, at overførslerne var autoriserede, fordi klagerne selv havde overført pengene.

Banken har oplyst, at det i perioden fra den 12. marts 2023 til den 29. marts 2023 lykkedes at få tilbageført i alt 269.138,35 kr. til klagerne. 

Parternes påstande

Den 26. april 2023 har klagerne indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre deres tab på 304.966,65 kr. eventuelt med fradrag af selvrisiko i henhold til betalingslovens § 100.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klagerne har blandt andet anført, at de er grundlæggende uenige med banken om både hændelsesforløbet og den juridiske kvalificering af det passerede og anvendelsen af betalingslovens hæftelses- og ansvarsregler.

Det bestrides, at sagen handler om ”krav om tilbageførsel af netbankstransaktioner.” For det første involverer sagen ikke nogen netbanktransaktioner, men udelukkende brug af mobilbank. For det andet handler sagen om, hvorvidt banken hæfter for klagernes tab efter betalingslovens § 100, stk. 1, eller subsidiært § 100, stk. 4. Betingelserne for hæftelse efter betalingslovens § 100, stk. 5, er ikke opfyldt i sagen. Banken er derimod forpligtet til at dække det tab, som de har lidt som følge af andres uberettigede anvendelse af den betalingstjeneste, som banken udbyder, jf. betalingslovens § 100, stk. 1, eller subsidiært § 100, stk. 4.

De har sammen med klagen til Ankenævnet fremlagt en erklæring for hændelsesforløbet i sagen. Heraf fremgår blandt andet, at H i intet tilfælde har oprettet overførsler i mobilbank eller indtastet de beløb eller kontonumre, der blev overført til, idet samtlige transaktioner var forberedt af svindleren på forhånd.

Det fremgår endvidere af deres erklæring om hændelsesforløbet, at H ikke fik oplyst eller ikke vidste, at beløbene blev overført til fremmede konti i banken eller i andre pengeinstitutter, idet hun alene fik oplyst, at de omhandlede beløb ville blive overført til sikre konti i Nordea oprettet til dem for at sikre deres indestående.

Yderligere fremgår det af deres erklæring, at svindleren har kunnet trænge ind i Nordeas systemer og forberede transaktioner, som derefter kun har krævet deres (personlige) brug af MitID og svar på SMS-beskeder for at kunne blive gennemført. De har i intet tilfælde oplyst den personlige sikkerhedsforanstaltning eller andre login til den, der har foretaget den uberettigede anvendelse, og de har i intet tilfælde indset eller burde have indset, at der var risiko for misbrug, idet alle henvendelser (telefoniske og skriftlige) fremstod som reelle henvendelser fra Nordea.

Hændelsesforløbet viser, at betingelserne for hæftelse efter betalingslovens § 100, stk. 5, ikke er opfyldt i den foreliggende sag.

Hændelsesforløbet viser ligeledes, at den uberettigede brug af bankens betalingstjeneste i høj grad skyldes, at bankens sikkerheds- og overvågningssystemer svigtede.

Sagen skal afgøres i overensstemmelse med Ankenævnets afgørelse af 23. juni 2023 i sag nr. 588/2021. Der er tale om, at svindleren i denne sag har fulgt samme fremgangsmåde som i sag nr. 588/2021. Det forekommer endvidere sandsynligt, at svindleren i dette tilfælde på samme måde som i sag 588/2021 har fået adgang til deres konti gennem et fjernstyringsprogram. Dette stemmer med, at H ikke har oprettet overførsler i mobilbank eller indtastet de beløb eller kontonumre, der blev overført til, men derimod havde en oplevelse af, at samtlige transaktioner var forberedt af svindleren på forhånd.

Hertil kommer, at banken ikke har redegjort for hændelsesforløbet, herunder forholdt sig til eller undersøgt det forhold, at svindleren havde et åbenlyst forhåndskendskab til deres konti og øvrige oplysninger og derfor må have haft adgang til systemoplysninger f.eks. gennem et fjernstyringsprogram.

Overførslerne i deres sag var på samme måde som i sag 588/2021 motiveret af den stresssituation, som svindleren fremkaldte med sin fiktive identitet og løgnehistorie om en faresituation. Under disse omstændigheder er der ikke grundlag for at karakterisere overførslerne i deres sag som autoriserede.

Banken har ikke godtgjort, at de med forsæt har overladt deres MitID-oplysninger og SMS-koder til svindleren. Banken har heller ikke godtgjort, at udleveringen – henset til den stresssituation, svindleren fremkaldte - skete under sådanne omstændigheder, at de indså eller burde have indset, at der var risiko for misbrug. Betingelserne for hæftelse efter betalingslovens § 100, stk. 5, er derfor ikke er opfyldt.

Det vil stride mod Ankenævnets praksis og lighedsgrundsætningen at vurdere og afgøre de to identiske sager forskelligt.

Nordea Danmark har blandt andet anført, at overførslerne ikke skyldtes tredjemands misbrug af klagernes netbank eller MitID. Det forhold, at klagerne telefonisk blev overtalt til at gennemføre transaktionerne, medfører ikke, at overførslerne må anses som uautoriserede efter betalingsloven. Klagerne har oplyst, at de selv gennemførte og godkendte transaktionerne på baggrund af telefonsamtalen.

Det fremgik udtrykkeligt af de SMS’er, som blev sendt til klagernes telefonnumre, at de ved at svare ”JA” godkendte overførslerne til konti i banken og i andre pengeinstitutter.

Der var ikke tale om phishing i forhold til Ankenævnets praksis om uautoriserede transaktioner og forarbejderne til betalingsloven. Ved phishing gennemføres en uautoriseret betalingstransaktion ved andres uberettigede anvendelse af en betalingstjeneste eller ved tredjemands misbrug af et offers fortrolige oplysninger, herunder Mit- ID eller SMS-koder, som svindleren forinden har ”fisket” fra offeret – deraf navnet ”phishing”.

Der var ikke tale om ”phishing”, da klagerne ikke udleverede MitID, nøglekode eller SMS-kode til den falske politimand/Nordea medarbejder, som ringede til klagerne, hvilket er ubestridt i sagen.

Da klagerne selv har iværksat og godkendt de pågældende transaktioner, er der dermed tale om autoriserede transaktioner, jf. betalingslovens § 82, og klagerne kan således ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.

Der henvises endvidere til Ankenævnets afgørelse nr. 88/2020. Denne afgørelse er, ligesom omstændighederne i nærværende sag, karakteriseret ved, dels at klageren talte med den formodede svindler, dels at klageren i forbindelse med samtalen blev forledt til selv at overføre penge til tredjemand under falske forudsætninger. I afgørelsen lagde Ankenævnet til grund, at de i sagen omhandlede transaktioner skete med klagerens medvirken og samtykke. Betalingslovens § 100 om uautoriserede betalinger fandt derfor ikke anvendelse.

Det bestrides, at banken ikke havde de rette foranstaltninger til at stoppe misbrug. Banken kan af sikkerhedsmæssige grunde ikke redegøre nærmere for sine forskellige systemer og foranstaltninger i forbindelse med bekæmpelse af kort- og kontomisbrug. Det bemærkes, at banken har ydet en indsats for at begrænse klagernes tab ved at forsøge at tilbagekalde overførslerne (klagerne har samlet fået 269.138,35 kr. retur), og det har ikke været muligt for banken at handle hurtigere og begrænse tabet yderligere. En yderligere afklaring af klagernes forsæt og burde-viden vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet.

Såfremt Ankenævnet i nærværende sag måtte finde, at transaktionerne er uautoriserede, hæfter klagerne for det fulde tab i henhold til betalingslovens § 100, stk. 5, da det må have stået dem klart, at en politimand eller en medarbejder i banken ikke ville anmode om at overføre beløb til en anden bank, idet det mest naturlige i sådan en sag ville være at bede personen om at kontakte sin bank med henblik på en spærring. Der har i medierne været utallige historier om telefonsvindel, lige som banken blandt andet på sin netbank og hjemmeside har advaret imod svindlere.

Ankenævnets bemærkninger

Klagerne, M og H, var kunder i Nordea Danmark, hvor de blandt andet havde en fæl-leskonto -554, som de hver især havde adgang til at disponere over. De havde endvi-dere begge netbankadgang/mobilbankadgang.

Den 1. marts 2023 blev der foretaget fem overførsler på i alt 574.105 kr. fra klagernes konto -554 til tredjemands konto i banken og i andre pengeinstitutter. Der blev via H’s mobilbank overført henholdsvis 61.250 kr., 52.125 kr. og 150.120 kr. og via M’s mobilbank overført henholdsvis 85.225 kr. og 225.385 kr.

Om baggrunden for overførslerne har klagerne oplyst, at overførslerne blev foretaget på opfordring af en mand, der kontaktede dem telefonisk og foregav at være fra Nordea. Senere fandt de dog ud af, at manden havde svindlet dem til at lave overførslerne.

I tro- og loveerklæringer af 2. marts 2023, hvor klagerne over for banken gjorde indsigelse mod overførslerne, havde de begge sat kryds ved teksten: ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”.

I forbindelse med indgivelsen af klagen til Ankenævnet har klagerne fremlagt en erklæring om hændelsesforløbet, hvoraf blandt andet fremgår, at H/de ikke fik oplyst eller ikke vidste, at beløbene blev overført til fremmede konti i banken eller i andre pengeinstitutter, idet hun/de alene fik oplyst, at de omhandlede beløb ville blive overført til sikre konti i Nordea oprettet til dem for at sikre deres indestående. Det fremgår endvidere af erklæringen, at svindleren har kunnet trænge ind i Nordeas systemer og forberede de omtvistede transaktioner, som derefter kun har krævet deres (personlige) brug af MitID og svar på SMS-beskeder for at kunne blive gennemført. De har i intet tilfælde oplyst den personlige sikkerhedsforanstaltning eller andre login til den, der har foretaget den uberettigede anvendelse.

Banken har oplyst, at overførslerne var autoriserede, idet klagerne selv foretog og godkendte overførslerne.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der er tale om misbrug under sådanne omstændigheder, at klagerne hæfter delvist for tabet, jf. betalingslovens § 100, stk. 4, eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klagerne får klagegebyret tilbage.