Indsigelse mod netbank-transaktioner i forbindelse med tele-fonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.
| Sagsnummer: | 359/2020 |
| Dato: | 03-05-2021 |
| Ankenævn: | Henrik Waaben, Karin Duerlund, Ida Marie Moesby, Finn Borgquist. |
| Klageemne: |
Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod netbank-transaktioner i forbindelse med tele-fonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder. |
| Indklagede: | Sydbank |
| Øvrige oplysninger: | IF |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.
Sagens omstændigheder
Klageren var kunde i Sydbank, hvor hun havde en konto med netbankadgang.
Søndag den 7. juni 2020 blev klageren kontaktet telefonisk af en person, P, der udgav sig for at være fra Sydbank. P oplyste, at klagerens konto var blevet hacket, og at P skulle stoppe en overførsel på 40.000 kr. til Holland. Klageren oplyste i løbet af telefonsamtalen sit cpr. nr., NemID adgangskode og NemID nøgler til P. P anvendte oplysningerne til at få adgang til klagerens netbank og oprette 13 overførsler til konti i andre pengeinstitutter. Banken har oplyst, at alle overførslerne krævede indtastning af en sms-kode, og at der den 7. juni 2020 i tidsrummet fra kl. 15.02 til kl. 19.59 blev sendt 13 sms’er til klagerens telefonnummer med følgende indhold:
”Koden må aldrig udleveres til andre heller ikke medarbejdere i banken.
Indtast SMS-kode [fire-cifret kode] i Netbanken/Mobilbanken for at godkende betalingen på DKK [beløb] til konto - [kontonummer] (Bestillingsnummer [ni-cifret tal]).
Er denne betaling ikke oprettet af dig, kontakt straks Sydbank på telefon ... Venlig hilsen Sydbank”
Banken har oplyst, at beløb og kontonummer fremgik af de enkelte overførsler, og at hver overførsel havde sit eget unikke bestillingsnummer. Banken har oplyst, at klageren udleverede 12 af de 13 fremsendte koder, at der derefter blev gennemført 12 overførsler på i alt 472.000 kr. den 7. juni 2020 i tidsrummet fra kl. 15.00 til kl. 19.59. De 11 af overførslerne på i alt 272.000 kr. blev gennemført i tidsrummet fra kl. 15.00 til kl. 16.51, mens den sidste overførsel på 200.000 kr. blev gennemført kl. 19.59.
Den 9. juni 2020 indgav klageren indsigelse til banken. Banken godtgjorde pr. kulance klageren for de første 11 overførsler på i alt 272.000 kr., men afviste at godtgøre klageren for den sidste overførsel på 200.000 kr. I et brev af 19. juni 2020 til klageren anførte banken bl.a.:
”… I tidsrummet fra kl. 15.00 til kl. 16.51 bliver der lavet betalinger for i alt 272.000,00. Herefter er der en pause i overførslerne, hvor du fortæller, at svindleren holder dig i røret. Den sidste betaling på 200.000,00 laves kl. 19.59. …
… du burde have fattet mistanke i den lange periode inden den sidste betaling på 200.000,00 blev gennemført …”
Sagen blev anmeldt til politiet
Banken har fremlagt et kundebrev, som den sendte til klageren og andre kunder i banken i februar 2020. Banken har oplyst, at brevet blev sendt til klageren i netbank og med almindelig post. Af brevet fremgik:
”Pas på telefonopkald fra svindlere
Kære kunde
Vi oplever i øjeblikket, at vores kunder bliver ringet op af svindlere. Svindlerne udgiver sig for at være fra fx banken, Skat, Nets eller Skifteretten.
Svindlerne forsøger at lokke oplysninger ud af kunderne ved fx at fortælle, at oplysningerne skal bruges til at stoppe overførsler, betalinger, hacking eller til at hjælpe kunden på anden vis.
De spørger typisk efter CPR-nummer, koden til NetBank, NemID oplysninger, betalingskort oplysninger eller SMS-koder. Oplysningerne bliver brugt til at tømme kundens konti.
Hverken banken, Nets eller offentlige myndigheder vil bede om dine personlige oplysninger på telefon eller mail. Det er kun forbrydere, der beder om dem. Du må derfor aldrig udlevere sådanne oplysninger over telefonen eller i en mail.
Bliver du ringet op af en person, der skal bruge oplysninger for at stoppe overførsler, betalinger eller hacking, skal du straks lægge på. Hvis du alligevel udleverer oplysninger, kan det få betydning for, om banken vil dække dit tab.
Er du det mindste i tvivl om en konkret henvendelse, skal du straks ringe til os på telefonnummer …”
Banken har fremlagt ”Regler for Sydbanks eBanking – Privat”, hvoraf det bl.a. fremgår:
”… 3.2. Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp
Du skal være opmærksom på, at du:
• skal opbevare dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem
• ikke må oplyse din adgangskode, dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre
• ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne
• ikke må skrive din adgangskode/din pinkode til din nøgleapp ned
• ikke må opbevare adgangskoden sammen med dit nøglekort/din nøgleviser eller på den mobile enhed, hvor din nøgleapp er installeret eller skrive adgangskoden på dit nøglekort/din nøgleviser
• kun må installere din nøgleapp på din egen mobile enhed ….”
Parternes påstande
Den 24. september 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Sydbank skal tilbageføre de resterende 200.000 kr. til hende.
Sydbank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at P overtalte hende til at udlevere hendes NemID oplysninger under dække af, at dette var nødvendigt. P var i telefonen i fem timer. Der var tale om én opringning uden afbrydelse.
Hun fattede ikke mistanke om, at der var tale om svindel.
Gerningsmændene havde sat hende i en situation, som hun ikke havde overblik over. Hun blev bedt om at fokusere på den kode, der kom på sms, som de skulle bruge. Hun læste således ikke de sms’er, der kom, men kun koden, som gerningsmændene skulle bruge.
Banken har erstattet de 11 transaktioner og bør også erstatte den sidste transaktion. Der var tale om en fortløbende svindelsag den samme dag og med de samme svindlere. Hun forstår ikke bankens forskellige behandling af transaktionerne. Det er ikke afgørende, om der har været 5, 7, 11 eller 12 transaktioner. Når banken valgte at tilbagebetale de første 11 transaktioner, er banken også forpligtet til at betale den sidste transaktion. Hvis den sidste betaling havde været på 15.000 kr. eller 20.000 kr., er hun sikker på, at banken også ville have tilbagebetalt denne.
Hun er rystet over, at der ikke er bedre kontrol hos banken, når der pludselig foretages et større antal store og uregelmæssige betalinger. Hendes normale adfærdsmønster og forbrug er meget langt fra dette. Hun har aldrig inden for samme dag sendt adskillige store betalinger til helt nye betalingsmodtagere. Det burde ikke kunne ske, at hendes konti kunne blive tømt helt en søndag eftermiddag på denne måde.
Bankens systemer burde have reageret og bremset disse overførsler i systemet, inden de blev sendt videre til de andre forskellige banker. En overførsel på 200.000 kr. burde ikke kunne ske uden bankens godkendelse. Overførslen burde have været spærret, og hendes bankrådgiver skulle have fået besked. Med den opmærksomhed, som banken har på online svindel, forstår hun ikke, at der ikke er bedre kontrol hos banken.
Banken bør erstatte også erstatte den sidste transaktion og selv køre sagen mod tredjemand.
Sydbank har anført, at klageren med forsæt har oplyst personlige sikkerhedsforanstaltninger til en person under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for misbrug, jf. betalingslovens § 100, stk. 5.
Der har gennem 2020 være stort fokus på phishing og misbrug i netbank i dagspressen, og forskellige aktører, herunder politiet, har udsendt advarsler. Banken sendte i februar 2020 en specifik advarsel mod præcis denne type misbrug til klageren i netbank og med almindelig post.
Klageren burde på baggrund heraf være bekendt med, at banken ikke behøver at få oplyst cpr. nr., NemID adgangsode og NemID nøgler for at stoppe en betaling. Det fremgår meget tydeligt, at koder og sikkerhedsløsninger ikke må udleveres til andre.
Klageren burde under alle omstændigheder, da hun modtog den første sms, have indset, at der ikke var tale om at standse en betaling, men at koden skulle bruges til at godkende en betaling på et bestemt beløb til en bestemt konto. Det fremgik også klart, at koden ikke måtte udleveres til andre, heller ikke til bankens medarbejdere. Det var ikke muligt at se koden uden at åbne sms’en og dermed se den fulde tekst. Klageren modtog 13 sms’er og videregav 12 af koderne.
Klageren burde allerede ved den første overførsel have indset, at der var risiko for misbrug. Banken har dog pr. kulance valgt at godtgøre klageren de første 11 overførsler.
Banken anerkender, at svindlere er dygtige og har held til at opbygge en stress-situation, hvor offerets dømmekraft kan påvirkes. I den konkrete sag var der imidlertid en pause på 3 timer og 8 minutter mellem den næstsidste og den sidste overførsel. Banken er ikke bekendt med, om telefonsamtalen blev afbrudt i den lange pause. Klageren blev i denne periode bragt ud af en eventuel stress-situation. Klageren burde derfor senest på dette tidspunkt have indset, at udlevering af sms-koden var forbundet med risiko for misbrug. Banken henviser i den forbindelse til Ankenævnets afgørelse i sag 17/2020.
Ankenævnet fandt i en anden lignende sag, nr. 373/2019, at betalingslovens § 100, stk. 5, ikke fandt anvendelse. Overførslerne i sag 373/2019 fandt sted i juli 2019 i løbet af 29 minutter. Nærværende sag adskiller sig fra sag 373/2019 ved, at misbruget fandt sted over næsten 5 timer, og at banken havde sendt et advarselsbrev til klageren. Endvidere adskiller sagerne sig ved, at der i den mellemliggende periode på næsten et år mellem de to sager har været massiv fokus på dette område i dagspressen. Den massive fokus på området og bankens specifikke advarsel har således påvirket klagerens ”burde viden”.
Klageren modtog 13 sms’er og videregav 12 af koderne. Inden klageren oplyste den sidste sms-kode, havde hun modtaget 12 sms-koder. Den lange pause og hele forløbet op til den sidste overførsel må have givet klageren anledning til at tænke sig om.
Ankenævnets bemærkninger
Den 7. juni 2020 blev der via netbank ved 12 transaktioner overført i alt 472.000 kr. fra klagerens konto i Sydbank til tredjemands konti i andre pengeinstitutter. De 11 af transaktionerne på i alt 272.000 kr. blev gennemført i tidsrummet fra kl. 15.00 til kl. 16.51, mens den sidste transaktion på 200.000 kr. blev gennemført kl. 19.59.
Baggrunden for transaktionerne var, at klageren den samme dag blev kontaktet telefonisk af en person, P, der udgav sig for at være fra Sydbank. P oplyste, at klagerens konto var blevet hacket, og at P skulle stoppe en overførsel til Holland.
Banken har oplyst, at der den 7. juni 2020 i tidsrummet fra kl. 15.02 til kl. 19.59 blev sendt 13 sms’er fra banken til klagerens telefonnummer. Hver sms indeholdt en kode og oplysning om, at koden var til godkendelse af en betaling på et bestemt beløb til en bestemt konto.
Transaktionerne blev gennemført ved brug af klagerens NemID oplysninger, herunder NemID-nøgler samt ved brug af 12 af de fremsendte sms-koder. Banken har oplyst, at brug af sms-koderne var nødvendig til gennemførelse af de enkelte transaktioner.
Det lægges efter det oplyste til grund, at klageren videregav sine NemID oplysninger og sms-koderne til P.
Banken tilbagebetalte pr. kulance 272.000 kr. af de hævede beløb, men afviste at tilbagebetale 200.000 kr. vedrørende den sidste transaktion.
Transaktionerne skyldtes tredjemands misbrug af de af klageren videregivne oplysninger, herunder klagerens NemID-oplysninger.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.
Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.
Tre medlemmer - Henrik Waaben, Ida Marie Moesby og Finn Borgquist - udtaler:
Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L 157 af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.
Vi finder, at klageren har været udsat for phishing.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.
I løbet af telefonsamtalen med P modtog klageren i alt 13 sms’er med engangskoder. Det fremgik af sms’erne, at engangskoden skulle indtastes i netbank for at godkende en betaling, at koden aldrig måtte udleveres til andre, heller ikke medarbejdere i banken, og at klageren skulle kontakte banken, hvis hun ikke havde oprettet betalingen. På trods af dette videregav klageren engangskoderne til P. Vi finder, at klageren ved at videregive sine NemID-oplysninger og engangskoderne til P har udvist groft uforsvarlig adfærd, og at klageren som følge heraf hæfter med op til 8.000 kr. Det gælder, selv om det som anført må lægges til grund, at hun har været udsat for phishing.
Sydbank skal derfor tilbageføre differencen på 192.000 kr. (200.000 kr. – 8.000 kr.) til klagerens konto med valør fra datoen for debiteringen.
Et medlem - Karin Duerlund, der i medfør af Ankenævnets vedtægter § 16, stk. 1 er tillagt to stemmer - udtaler:
Det må lægges til grund, at klageren videregav 12 engangskoder, som var sendt på sms til klagerens telefon, uden at læse oplysningerne i sms-beskederne om transaktionens størrelse og beløbsmodtageren.
Jeg finder, at Sydbank har godtgjort, at betingelserne for, at klageren hæfter efter den udvidede ansvarsbestemmelse i betalingslovens § 100, stk. 5, for den sidste transaktion på 200.000 kr. er opfyldt. Jeg har herved lagt vægt på sms-kodernes indhold og opbygning samt på, at transaktionen fandt sted fem timer efter den første uautoriserede transaktion, hvorfor klageren ikke på det tidspunkt kan have befundet sig i en presset situation. Klageren hæfter derfor uden beløbsbegrænsning for tabet og får ikke medhold i klagen over for Sydbank.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Sydbank skal inden 30 dage tilbageføre 192.000 kr. til klagerens konti med valør fra datoen for debiteringen.
Klageren får klagegebyret tilbage.