Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer: 238 /2023
Dato: 12-12-2023
Ankenævn: Henrik Waaben, Christina Bryanth Konge, Karin Duerlund, Jacob Ruben Hansen og Anna Marie Schou Ringive
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål
Ledetekst: Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede: Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde en konto -384 og netbankadgang.

Banken har oplyst, at den inden den 31. december 2022 blandt andet gav sine kunder følgende informationer om svindel:

• Advarsel om telefonsvindel på forsiden af Nordea.dk og netbank - den 12.–26. august 2022

• Reklame på TV2’s kanaler og TV2 PLAY fra den 1.–18. december 2022 (Bodil Jørgensen videoerne).

• Podcast episode i PengePulsen om svindel den 7. december 22.

• TV interview på TV2 med filialdirektør på Bornholm og et offer den 7. december 22. Dette interview fremgik også på TV2.dks hovedside.

• Løbende opslag og advarsler på sociale medier.

Klageren har oplyst, at hun den 31. januar 2023 kl. 16:49, hvor hun var på ferie i Spanien, blev ringet op af en kvinde, der udgav sig for at være fra Nordea Danmark og bad klageren bekræfte, at det var korrekt, at hun havde oprettet et forbrugslån på 76.000 kr., der skulle udbetales til tredjemand. Klageren oplyste, at det ikke var hende, som havde oprettet lånet. Hun blev herefter ”viderestillet” til en mand, der sagde, at han var fra Rigspolitiets IT-afdeling. Svindlerne overtalte klageren til at foretage en overførsel via sin netbank til en ”depotkonto” i et andet pengeinstitut, P, på 85.125 kr.

Klageren har endvidere oplyst, at svindlerne overtalte hende til at overføre yderligere 49.000 kr., men denne overførsel blev opfanget af Nordea Danmarks moniteringssystem, og klagerens netbank blev lukket, således at overførslen og yderligere svindel blev forhindret. Bankens afdeling for svindel kontaktede hende kl. 19:02, mens hun fortsat talte med svindlerne. Samtidig rettede banken kl. 19:06 henvendelse til P med anmodning om, at det overførte beløb på 85.125 kr., blev tilbageholdt. P nåede at tilbageholde og returnere henholdsvis 46.324,86 kr. og 2.500 kr., i alt 48.824,86 kr. Hendes tab udgjorde herefter 36.300,14 kr.

Banken har oplyst, at overførslen blev foretaget af klageren selv, ved at hun loggede på netbank med MitID og godkendte overførslen med MitID. Overførslen blev således gennemført med stærk kundeautentifiktion. Som en yderligere sikkerhed til frigivelse af overførslen blev der sendt en SMS til klagerens telefonnummer, til hvilken hun skulle svare ”JA”, hvis overførslen skulle gennemføres.

Banken har fremlagt en log, hvoraf fremgår, at der forinden overførslen blev sendt en SMS med følgende tekst til klagerens telefonnummer:

”Bekræft overførsel af 85.125,00 kr. til konto […]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”

Af loggen fremgår, at SMS’en blev godkendt med ”Ja”.

Banken har oplyst, at kontooverførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Ved en tro- og loveerklæring af 3. februar 2023 gjorde klageren over for banken indsigelse mod overførslen. I indsigelsesblanketten oplyste klageren, at hun benyttede netbank og mobilbank. Endvidere havde klageren sat kryds ved teksten ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet med overførslerne”. Klageren anførte endvidere under ”Hændelsesforløb”:

Tirsdag den 31. januar 2023

Kl. 16.49 blev jeg ringet op af Nordea (tlf. 70 33 33 33). En kvinde, som måske hed Charlotte. De ville gerne have oplyst, om jeg havde oprettet et forbrugslån på kr. 76.000. De undrede sig over, at lånet ikke skulle udbetales til en af mine egne konti, men til en person med et arabisk fornavn og efternavn, og jeg blev spurgt om det var korrekt. Det kunne jeg fortælle, at det ikke var. Jeg fik oplyst, at det kunne se ud som noget identitetstyveri, og i de tilfælde, ville Nordea gerne viderestille mig direkte til Rigspolitiets ITkriminelle afdeling, så de kunne lave de nødvendige tiltag. Det ville jeg jo ikke modsætte mig, men spurgte også, hvad jeg skulle sige til Rigspoltiet, jeg vidste jo ikke, hvad der var sket, og fik så svaret, at Nordea nok skulle sende opklarende oplysninger med. ”Omstillingen kunne tage lidt tid”. [Thomas S…] kom i telefonen, og fortalte, at vi i fællesskab skulle finde ud af, hvad der var sket. Han identificerede sig med sit tjenestenummer [nummer] og gav mig det sagsnummer, der blev oprettet nu [sagsnummer]. Det kunne jeg bruge hvis jeg havde spørgsmål til sagen senere, og det var det nummer, der blev brugt, når sagen blev bekræftet i e-boks. Jeg fik også oplyst, det telefonnummer jeg kunne henvende mig til for yderligere kontakt om spørgsmål etc. (Tlf. 33 14 88 88 – verificeret - Rigspolitiet, Polititorvet, København).

Som udgangspunkt fik jeg oplyst, at det var vigtigt at finde ud af, hvad der var sket på min bank. Han var klar over, at det var en meget ubehagelig situation vi var blevet udsat for, og vi skulle bare bruge den tid, der var nødvendig for at komme igennem det hele. Jeg skulle bare stille de spørgsmål jeg havde brug for. Han kunne også oplyse mig om, at jeg ikke var den eneste, der havde været udsat for identitetstyveriet. Det var sag nummer 19 i dag. Han bad mig åbne min computer for at komme på banken. Banken skulle tjekkes for nuværende og fremtidige betalinger. Han skulle ikke have oplyst bankkontonummeret, men bare navnet på kontoen og saldoen, så kunne han sammen med Nordea, og uden at overtræde reglerne i GDPR, identificere de enkelte konti. Han fik identificeret kontiene hos Nordea og så kunne jeg, med ham i røret gå ind og se på, om der var foretaget transaktioner på de enkelte konti. Det var der ikke, og han sagde, at det var rigtig godt, at vi havde fået kontakt, så der ikke var gået en time fra lånet blev oprettet. Vi skulle så også finde ud af, om der var en konto hvor afdrag på forbrugslånet skulle trækkes fra. Ved nærmere samtale med Nordea blev der fundet ud af, at det var min grundkonto, der skulle benyttes til det. Det var derfor nødvendigt, at overføre saldoen på grundkontoen til en depotkonto som Nordea ville oprette evt. i en samarbejdende bank, hvor der var kapacitet på tidspunktet, det skulle gøres. Pengene skulle overføres 6 – 7 timer for derefter at blive tilbageført. Saldoen skulle overføres af 2 omgange af sikkerhedsmæssige årsager. Vi aftalte allerede nu, at vi skulle tale sammen i morgen kl. 9, for at kontrollere, at alt var foregået planmæssigt. Jeg skulle lave en straks overførsel nu, så beløbet blev flyttet straks til konto [-894 (pengeinstitut P)] på kr. 85.125. Her blev jeg bekymret fordi, nu skulle jeg indtaste kontonummer og godkende beløb. Det er jo det man ikke skal. Men Nordea havde ringet op. Rigspolitiets telefonnummer kunne verificeres, det havde vi gjort undervejs. Så mit spørgsmål var til Thomas: Hvordan finder jeg ud af, om du er den rigtige person? Du kan tale med min kollega. ”Bed ham ringe til min mand” på tlf. [telefonnummer] – Thomas havde fået telefonnummeret tidligere, det kunne han ikke huske. [Henrik J…], tjenestenummer [nummer], ringer fra tlf. 33 66 14 48 til [klagerens mand] og bekræfter at de ringer fra Rigspolitiet og der er tale om en betroet medarbejder. Jeg foretager overførslen. Jeg ser, at den er bekræftet.

Thomas kommer tilbage og oplyser, at hans chef er bekymret for, at det drejer sig om et malwere angreb – trojanske heste angreb, så der er risiko for, at alle vores enheder er inficerede. Det er derfor også nødvendigt, at overføre saldoen fra alle konti herunder fælleskontoen [Grundkonto navn] til en midlertidig depotkonto. Han skulle lige have stillet nogle flere depotkonti til rådighed fra Nordea. Det tog lidt tid med den næste, og vi skulle starte med at flytte penge fra vores fælleskonto. Nordea skulle åbne for nogle depoter med mulighed for større overførsler, men det var ikke muligt endnu. Så jeg skulle lave en straks overførsel til konto [-474] [pengeinstitut P1] på kr. 49.000. Den kunne jeg ikke få lov til at godkende. Nordea (den rigtige) kontaktede samtidig [klagerens mand], kl. 19.02, for at få oplyst, hvem jeg talte med. Manden fra Nordea oplyste at der var tale om svindel, og jeg skulle lægge på straks. Det gjorde jeg. Men hvem talte jeg med - fra Nordea? Han har sikkert præsenteret sig. Det jeg kunne få oplyst, da jeg fortalte, at jeg havde talt med Rigspolitiets IT-kriminelle afdeling var, at sådan en, eksisterede ikke – undskyld, har vi alle styr på, hvad der er af afdelinger f.eks. indenfor politiet? Hvem var svindleren? Hvorfor reagerede jeg så på opfordringen? Fordi den anden transaktion på kr. 49.000 ikke kunne blive gennemført. Nordea havde lukket ned og kan måske spore ting, vi ikke er bekendt med.

…”

Klageren har oplyst, at hun ligeledes har anmeldt forholdet til politiet.

Banken afviste indsigelsen med den begrundelse, at der var tale om en autoriseret overførsel.

Parternes påstande

Den 10. april 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 36.300,14 kr.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun alene har kendskab til bankens advarsler om svindel på netbank og Nordea.dk. De er udaterede, og ligger i hendes erindring noget tid tilbage. Men advarslerne handlede ikke om, at man kunne blive ringet op af f.eks. Nordea Danmarks hovednummer, som alligevel ikke var Nordea Danmarks hovednummer

Hun har ikke forventning om at modtage vigtig information fra sin bank via reklame på TV2, Podcasts, TV interviews eller sociale medier. Hun befinder sig i øvrigt ikke på sociale medier, har aldrig været der, og forventer ikke, at hun unddrages væsentlig information fra banken ved ikke at være der.

Hun anerkender, at der er tale om en transaktion, som hun selv har anlagt, gennemført og godkendt med MitID og via SMS.

Hendes klage går på, at banken var vidende om, at der eksister en app, der kan ringes op fra, og som viser f.eks. bankens hovednummer 70 33 33 33, og at banken ikke har videregivet den oplysning til sine kunder. Det var det, der skete i hendes sag. Hun kendte ikke denne apps eksistens. Det gjorde banken hende opmærksom på, da ugerningen var sket. Hun var overbevist om, at det var Nordea Danmark, der ringede hende op. Hun kender nummeret. Et tjek undervejs bekræftede da også, at nummeret var Nordea Danmarks.

Det var udslagsgivende for hende for overhovedet at besvare opkaldet, at det var et genkendeligt nummer, der ringede hende op. Hun afviser normalt numre, som hun ikke kender. Det var ligeledes udslagsgivende for hende i hendes fortsættelse af samtalen med ”Rigspolitiet”, fordi udgangspunktet var et opkald fra banken bekræftet af bankens telefonnummer.

Hun har ikke inden for en rimelig tidshorisont modtaget en advarsel fra Nordea Danmark:

- I mobilbank når man åbner

- På hjemmesiden når man går ind

- Når man logger ind på Netbank

- I korrespondancen i Net- eller Mobilbank mellem hende og banken

- I e-boks

- På en mail

Banken var på tidspunktet for overførslen også vidende om, ”at der foregår en omfattende svindel i øjeblikket”. Alligevel sendte den ikke advarsler ud på nogen af de platforme, som hun normalt interagerer med banken på.

Det er bankerne, ikke mindst de store, eller deres organisationer, der har styrken til at sætte ind overfor denne svindel. Hun kan godt forstå, at det ikke er attraktivt for Nordea Danmark at skulle skrive ud til sine kunder, at ”hvis du bliver ringet op af Nordea, skal du ikke være sikker på, at det er os der ringer”. Men banken kunne benytte lejligheden til at fortælle sine kunder om de tiltag, den gør for at forhindre svindel. F.eks. ville det klæde banken at gøre et forsøg på at få den slags apps forbudt. I hendes optik er det svært at finde eksistensberettigelsen. Hvilket legitimt formål er der ved at angive, at man ringer fra et andet telefonnummer end man gør?

Det er ansvarspådragende for banken, at den ingen tiltag har gjort på nogen af de gængse platforme for at skærpe sine kunders opmærksomhed omkring muligheden for svindel, når de bliver ringet op fra Nordea Danmarks hovedtelefonnummer. Derfor skal hendes tab dækkes af banken.

Hvis banken vurderer, at antallet af svindelsager, som følge af kundernes tiltro til, at man taler med banken, når det er Nordea Danmarks hovednummer, man bliver ringet op af, ikke er så stort, at den ønsker at give indgående information om det til kunderne, må banken påtage sig ansvaret og dække omkostningerne for de kunder, der bliver ramt.

Banken kan ikke ansvarsfrit sidde med en så væsentlig viden, som kan være fatal for sine kunders eksistensgrundlag, uden at bringe denne viden videre.

Nordea Danmark har anført, at overførslen på 85.125 kr. var en autoriseret overførsel.

Som bekræftet af klageren var det hende, der selv foretog den pågældende overførsel via sin netbank ved brug af MitID og godkendte overførslen med MitID på sin enhed. Overførslen blev således gennemført ved stærk kundeidentifikation. Som en yderligere sikkerhedsforanstaltning blev overførslen bekræftet af klageren via SMS fra klagerens telefon.

Overførslen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Der var endvidere ikke tale om phishing i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, idet klageren hverken udleverede MitID eller SMS-kode til svindleren, og denne person var ikke logget på klagerens netbank.

Overførslerne skyldtes således ikke tredjemands misbrug af klagerens netbank eller MitID. Det forhold, at klageren var udsat for svindel af en kriminel til at foretage overførslen, medfører ikke, at overførslen kan anses som uautoriseret efter betalingsloven.

Klageren kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100, idet hun selv har foretaget og godkendt overførslen, og klageren hæfter derfor fuldt ud.

Det bestrides, at banken – som anført af klageren – har handlet ansvarspådragende, og at banken ikke på nogen gængse platforme tiltrækkeligt har informeret sine kunder om mulighederne for svindel med brug af Nordea Danmarks telefonnummer. Banken har løbende informeret sine kunder om denne type svindel med brug af Nordea Danmarks telefonnummer, som har stået på i flere år.

Ankenævnets bemærkninger

Den 31. januar 2023 blev der via netbank foretaget en overførsel på 85.125 kr. fra klagerens konto i Nordea Danmark til tredjemands konto i et andet pengeinstitut.

Om baggrunden for transaktionen har klageren oplyst, at hun den 31. januar 2023 blev ringet op af en kvinde, der udgav sig for at være fra Nordea Danmark og bad klageren bekræfte, at det var korrekt, at hun havde oprettet et forbrugslån på 76.000 kr., der skulle udbetales til tredjemand. Klageren oplyste, at det ikke var hende, som havde oprettet lånet. Hun blev herefter ”viderestillet” til en mand, der sagde, at han var fra Rigspolitiets IT-afdeling. Svindlerne overtalte hende til at foretage en overførsel via sin netbank til en ”depotkonto” i et andet pengeinstitut, P, på 85.125 kr.

Banken rettede henvendelse til P med henblik på, at det overførte beløb blev tilbageholdt. Det lykkedes banken at få tilbageført i alt 48.824,86 kr. fra P, og klagerens tab udgjorde herefter 36.300,14 kr.

Banken har oplyst, at overførslen blev godkendt med klagerens MitID. Endvidere blev transaktionen forudgående bekræftet ved SMS til og fra klagerens telefonnummer.

Tre medlemmer – Henrik Waaben, Christina Bryanth Konge og Karin Duerlund – udtaler:

Ud fra klagerens egne oplysninger i tro- og loveerklæringen af 3. februar 2023 om, at hun selv foretog overførslen, finder vi, at transaktionen blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionen i forbindelse med et bedragerisk telefonopkald.

Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Anna Marie Schou Ringive – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktionen, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 28.300,14 kr. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.