Indsigelse mod kontooverførsel, som klageren ikke kan vedkende sig.
| Sagsnummer: | 261/2021 |
| Dato: | 04-03-2022 |
| Ankenævn: | Vibeke Rønne, Christina B. Konge, George Wenning, Jacob Ruben Hansen, Anna Marie Schou Ringive. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod kontooverførsel, som klageren ikke kan vedkende sig. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod kontooverførsel, som klageren ikke kan vedkende sig.
Sagens omstændigheder
Klageren var kunde i Nykredit Bank, hvor han havde en konto og netbankadgang.
Den 22. september 2020 kl. 15:58 loggede klageren på netbanken.
Den 22. september 2020 kl. 16:02 blev der fra klagerens konto foretaget en kontooverførsel på 7.395 EUR (55.187,41 DKK) til et udenlandsk pengeinstitut, P, som klageren ikke kan vedkende sig.
Banken har fremlagt en logbog vedrørende klagerens NemID. Banken har oplyst, at log in i netbanken kl. 15:58, blev foretaget ved brug af klagerens NemID og NemID-nøgleapp, at overførslen kl. 16:02 blev gennemført ved brug af NemID kodeord, og at der samme dag kl. 16:05 blev logget på klagerens netbank ved brug af klagerens NemID og NemID-nøgleapp.
Klageren har oplyst, at kodeordet til NemID var gemt i hans browser, og at han brugte en funktion, der medførte, at browseren selv foreslog at anvende det gemte log in, når NemID spurgte om kode. Han brugte endvidere en funktion, hvorefter sms’er blev videresendt til hans pc.
Klageren har anført, at han ikke foretog overførslen, og at tredjemand må have foretaget overførslen ved fjernstyringsadgang, da klageren forlod sin pc kort efter log in kl. 15:58. Banken har anført, at overførslen blev foretaget af klageren selv.
Kontooverførslen blev foretaget med teksten ”[F] Film GFX…)] (herefter F) i netbanken. Banken har fremlagt et print af sin internetsøgning på ”F”. Printet viser et kamera af fabrikat/model ”F”, som var til salg hos et e-handelssted, E, til en pris på 55.221,46 DKK.
Banken har oplyst, at overførslen blev gennemført med clearing den 23. september 2020.
Den 9. oktober 2020 indgav klageren indsigelse til banken mod transaktionen i kategorien tredjemandmisbrug. Banken afviste indsigelsen.
Klageren anmeldte sagen til politiet og rettede henvendelse til P, der i svar af 26. oktober 2020 til klageren blandt andet anførte:
”… At the time your funds were received into this account, we had no knowledge or suspicion that this was anything other than a legitimate account. Although we can confirm that the account into which you transferred money has now been closed, no funds were remaining at the time that we were made aware of your situation. For this reason [P] is unable to return any money to you.
…. we have no way of knowing that an account holder will be using the account for fraudulent purposes. [P] does regularly review and adapt its processes in order to minimise these risks in the future. …”
Banken har fremlagt en oversigt over klagerens log in på netbank og mobilbank i perioden 21. september til 11. oktober 2020.
Banken har fremlagt udskrifter af tre posteringer på klagerens konto vedrørende køb af kameraer. Det fremgår heraf, at der blev overført 22.750 DKK den 14. april 2020 og henholdsvis overført/tilbageført 10.498 DKK den 8. og 10. juni 2020.
Parternes påstande
Den 29. maj 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal tilbageføre 55.187,41 DKK samt et gebyr på 400 DKK for tilbagekaldelse af det overførte beløb, med tillæg af renter.
Nykredit Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at han ikke har godkendt overførslen. Der er tale om tredjemandsmisbrug, jf. § 100 og § 101 i betalingsloven. Han loggede på netbank kl. 15:58, hvorefter han formentlig rejste sig fra pc’en og glemte at logge ud. Hackeren kunne herefter gennemføre overførslen. Hackeren har formentlig kunnet følge med i alt, hvad han foretog sig, og ventede på, at han skulle logge på netbank og forlade pc’en.
Ved hjælp af en Remote Access Trojan (RAT) er det både muligt at få adgang til fjernstyring af en andens pc og adgang til alt data på pc’en. Han tjekkede efter råd fra bankens sikkerhedsafdeling sin pc og fandt ud af, at han havde et fjernstyringsprogram på pc’en. Fjernstyringsprogrammer kræver ikke adgang via NemID-nøgleapp. Hvis man har fjernadgang, kræver det adgang til NemID-nøgleapp for at logge ind i netbank. Det er kun ham, der har adgang til hans NemID-nøgleapp. Hvis man efter log in i netbank forlader pc’en uden at logge ud af netbanken, kan en person med fjernadgang overføre penge fra kontoen. Bankens påstand om, at den ikke er bekendt med sådanne hackerangreb, er i modstrid med oplysninger fra bankens sikkerhedsafdeling.
Overførslen blev alene gennemført med én-faktor autentifikation, ved brug af et enkelt kodeord, som var gemt i hans browser. I dag skal alle transaktioner godkendes med to-faktor autentifikation. Hvis to-faktor autentifikation havde været nødvendig, ville overførslen ikke være sket.
Kodeordet var gemt i hans browser. Han bruger en funktion, der medfører, at browseren selv foreslår at anvende det gemte log in, når NemID spørger om kode. Det var således ikke nødvendigt for hackeren at aflure hans NemID kode via fjernadgang. Han har gjort brug af funktionen hos Nykredit og hos sit nuværende pengeinstitut. Højesteret har i en dom fra 26. februar 2021 om et lån optaget ved misbrug af NemID, udtalt, at ”Det forhold, at dele af NemID’et (brugernavn og adgangskode) var lagret i tabletten og i mere end et år, indebærer … ikke en sådan grad af uagtsomhed, at det kan føre til hæftelse for låneoptagelserne”. Hackeren kunne nemt oversætte tekst i netbank via en oversættelsesfunktion. Sms’er blev sendt til hans pc, som hackeren havde adgang til.
P oplyste, at bankkontoen havde været brugt til “fraudulent activity” og var blevet lukket med det samme.
Det er veldokumenteret, at der er mangler og huller i sikkerheden omkring NemID. Han forstår ikke, at han som forbruger skal overbevise sin bank om, at dette er en mulighed. Banken er kommet med skiftende begrundelser for at afvise indsigelsen. Banken hævdede i flere måneder, at overførslen var godkendt med NemID-nøgleapp, men bankens sikkerhedsafdeling havde tidligere oplyst, at overførslen var godkendt med kodeord og sms.
Banken har henvist til, at han først gjorde indsigelse efter 16 dage. Det kan tage flere dage, før transaktioner til udlandet bliver trukket og kan ses på kontoen. Han havde flere depoter hos Nykredit, som man nemt kunne klikke videre til uden at opdage værdien af kontoen. Der gik et stykke tid, fra han opdagede, at pengene var væk, til han indsendte indsigelse, da han panikkede og loggede ind og ud flere gange for at sikre sig, at det ikke var en teknisk fejl. Han ringede bankens kundeservice, der opfordrede ham til at spærre sit kort. Han loggede på en del gange for at hente information til brug for indsigelsen.
Ingen hjemmesider sælger et så dyrt kamera ved en så usikker betalingsmetode som en udenlandsk overførsel. Idéen om at han skulle have betalt for et kamera ved overførsel til en udenlandsk bankkonto uden en betalingsreference, ordre ID, faktura nr. eller noget andet er langt ude. Han ville aldrig blindt overføre penge. Man ville ikke betale et køb med en betalingsoverførsel kun med angivelse af navn på produktet. Han ville aldrig vente to til tre uger på at modtage et kamera. E tager ikke mod bankoverførsler som betaling og er kendt for kun at bruge sin egen betalingsportal. Betalingsmodtagers navn lyder ikke som et firma, der sælger kameraer.
Banken har henvist til, at han tidligere har købt kameraer. Der er tale om kameraer til helt andre priser købt i Danmark hos CVR registrerede butikker eller privatpersoner med CPR numre og NemID. Han har ikke købt uden først at have produktet i hånden.
En hacker har nemt kunnet google sig frem til, at han er fotograf, og til prisen på et kamera, og bruge disse oplysninger til at sløre misbruget med teksten i netbanken.
Nykredit Bank har til støtte for frifindelsespåstanden blandt andet anført, at der ikke er tale om en uautoriseret transaktion. Overførslen blev foretaget fra klagerens IP adresse, hvilket kræver adgang til klagerens netbank og personlige internet. Dette kan gøres ved fjernstyring. Et sådant hackerangreb er kompliceret og banken har ikke kendskab til, at denne type angreb har været anvendt til indbrud i netbank. Det kan lade sig gøre at få fjernadgang til en pc via diverse programmer, men ikke, når der kræves godkendelse med NemID-nøgleapp.
Klagerens redegørelse er ikke troværdig. Efter klagerens egen redegørelse loggede han på netbank kl 15:58 og forlod skærmen, mens en hacker derefter sad klar og gennemførte transaktionen kl. 16:02, inden klageren kom tilbage og igen loggede sig på med NemID-nøgleapp kl. 16:05, hvor han ikke opdagede, at der var forsvundet 55.000 DKK fra hans eneste konto.
Det er usandsynligt, at en hacker/gerningsperson skulle give sig tid til at navngive en transaktion med navnet på et kamera, der kostede præcis det overførte beløb. Gerningspersonen havde ingen interesse i dette og havde et meget lille tidsvindue til at gennemføre en transaktionen og orientere sig i en fremmed netbank, hvor der ikke kan vælges engelsk sprog efter log in. Der var et femcifret beløb tilbage på kontoen efter overførslen. Det er usandsynligt, at en hacker/gerningsperson ikke ville have tømt kontoen.
Efter bankens opfattelse er der tale om en autoriseret overførsel i form af et mislykket civilkøb/privatkøb, som banken ikke er forpligtet til at dække. Tidsforløbet passede med, at klageren foretog overførslen og i de kommende uger afventede, at det bestilte kamera skulle dukke op. Da kameraet ikke dukkede op, forsøgte klageren at få sit tab inddækket ved at anmelde sagen som en uautoriseret betalingstransaktion. Klageren har tidligere handlet kameraer på samme måde, hvor han har benyttet sig af bankoverførsler, jævnfør de fremlagte udskrifter med posteringstekster. Banken påstår ikke, at kameraet er købt på E, men angav blot dette som et eksempel.
Det forekommer usandsynligt, at klageren ved de mange log in mellem transaktionen og indsigelsen ikke skulle have opdaget, at beløbet manglede, også i lyset af, at klageren kun havde én konto, som var vist på forsiden af såvel mobilbank som netbank. Klageren anfører, at han havde flere depoter hos Nykredit. Dette ændrer ikke på, at der kun var én konto, som er det første, man ser ved log in. Der gik 16 dage fra pengene blev overført, til klageren indgav indsigelse til banken. Klageren var i den mellemliggende periode logget ind i sin mobilbank 37 gange, jævnfør den fremlagte log. Overførslen kunne ses på kontoen fra det øjeblik, den var godkendt, og selve clearingen skete dagen efter.
P’s svar kan ikke tillægges betydning. Svaret er en standardskrivelse, som kun bekræfter, at den anvendte konto nu er lukket. P forholder sig ikke i øvrigt til den konkrete sag.
Nykredit Bank har til støtte for afvisningspåstanden blandt andet anført, at uddybning af anbringenderne i sagen bør finde sted under vidneansvar.
Ankenævnets bemærkninger
Klageren var kunde i Nykredit Bank, hvor han havde en konto med netbank.
Den 22. september 2020 kl. 15:58 loggede klageren på netbanken. Den 22. september 2020 kl. 16:02 blev der foretaget en kontooverførsel på 7.395 EUR (55.187,41 DKK) fra klagerens konto til et udenlandsk pengeinstitut. Klageren har anført, at han ikke foretog overførslen, og at tredjemand må have foretaget overførslen ved fjernstyringsadgang, da klageren forlod sin pc kort efter log in kl. 15:58. Banken har anført, at overførslen blev foretaget af klageren selv.
Afgørelsen af, om klageren hæfter for kontooverførslen, beror på, om der må antages at være tale om tredjemandsmisbrug. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jævnfør Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.