Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod hæftelse for netbankoverførsler i forbindelse med bedrageriske telefonopkald.

Sagsnummer: 135 /2023
Dato: 30-11-2023
Ankenævn: Vibeke Rønne, Mette Lindekvist Højsgaard, Tina Thygesen og Elizabeth Bonde.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål
Ledetekst: Indsigelse mod hæftelse for netbankoverførsler i forbindelse med bedrageriske telefonopkald.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod hæftelse for netbankoverførsler i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde en konto -803 og netbankadgang.

Den 16. og 17. december 2022 i tidsrummet fra kl. 22:52 til kl. 02:38 foretog klageren ti netbankoverførsler på i alt 553.173 kr. til konti i andre pengeinstitutter og til én konto i banken.

Om baggrunden for overførslerne har klageren oplyst, at hun blev kontaktet telefonisk af en person, P1, der udgav sig for at være fra politiet. P1 oplyste, at hendes konto var ved at blive hacket, og at hun skulle overføre sine midler til sikkerhedsdepoter. P1 oplyste envidere, at hun ville blive kontaktet af banken. Efterfølgende blev hun kontaktet telefonisk af en person, P2, der udgav sig for at være fra banken. P2 henviste til sagen fra politiet og anbefalede hende at anbringe hendes midler i sikkerhedsdepoter, til hvilke han opgav kontonummeret, og vejledte hende i, til hvilke konti og hvilke beløb hun skulle overføre. Hun blev bedt om at holde telefonen åben hele natten, og hun opdagede næste morgen, at der var tale om svindel. Hun kontaktede banken og fik spærret sit kort, sine konti og sit MitID, og herefter anmeldte hun sagen til politiet.

Klageren har fremlagt en kopi af politiets journal med beskrivelse af hændelsesforløbet.

Banken har oplyst, at overførslerne blev foretaget ved at klageren loggede på sin netbank i banken ved at indtaste sit brugernavn og adgangskode til MitID samt efterfølgende via godkendelse i klagerens MitID-app, og at der som en ekstra sikkerhedsforanstaltning i bankens netbank blev sendt en SMS til klageren, til hvilken hun skulle svare ”JA”, hvis overførslen skulle gennemføres, hvortil klageren svarede ”JA” til alle SMS’er hun modtog.

Banken har blandt andet fremlagt et eksempel på én af SMS’erne, som blev sendt til klagerens telefon, transaktionsoversigt, SMS-oversigt og kontoudskrift.

Klageren gjorde indsigelse over for banken. I indsigelsesblanketten svarende klageren bekræftende på, at hun selv havde foretaget de anførte transaktioner på baggrund af tredjemands urigtige oplysninger omkring formålet af overførslerne, og anførte om hændelsesforløbet følgende:

”Opkald fra Fredericia Politi kl. 21:23 fredag den 16.12. Spurgte ind til navn og formål. Blev oplyst navn [B], tjenestennr. [V]. Omtalte stor svindelsag, henviste til nyhederne. De var tæt på opklaring og kunne se, at mine konti var blevet hacket. Gav mig sagsnr. [T]. Oplyste at jeg ville blive ringet op af min bank. Kl. 22.10 ringer Nordea. Taler med en ansat, der hedder [S]. Han henviste til sagen fra politiet og anbefalede at anbringe mine konti i forskellige sikkerhedsdepoter. Det ene var fra Nordea [By], som er min egen afdeling, og det andet fra [Pengeinstitut]. Derefter vejledte han mig i, hvor jeg skulle overføre til og hvilke beløb. Jeg spurgte ind til beløbene og fik gode forklaringer på det. Jeg blev holdt hen og vejledt med besked om, ikke at måtte lukke telefonen. Forløbet strækker sig over flere timer (fra 21.30-02.30) hvor jeg bliver holdt i røret som jeg føler at jeg ikke kan bryde ud af. Nordea ringede igen næste morgen den 17.12. kl. 8.50 og jeg blev opmærksom på, at noget ikke var, som det skulle være. Jeg ringede selv op til banken kl. 9.25 og fik spærret mine kort, konti og Mit-ID. Efterfølgende ringede jeg og anmeldte sagen til politiet kl. 10.50.”

Banken har oplyst, at banken i forbindelse med indsigelsen den 17. december 2022 kontaktede de modtagende pengeinstitutter og anmodede om tilbageførsel af beløbene, og spærrede tillige den konto i banken, til hvilken klageren havde overført til.

Banken har endvidere oplyst, at det lykkedes at få tilbageført 142.736,22 kr., 8.001 kr., 378,76 kr. og 30.030 kr., som blev indsat på klagerens konto.

Banken afviste den 15. januar 2023 klagerens krav under henvisning til, at der var tale om autoriserede transaktioner.

Efter indbringelse af sagen for Ankenævnet har klageren blandt andet gjort gældende, at banken har ydet mangelfuld rådgivning vedrørende placeringen af hendes formue. Banken har bestridt dette og har fremlagt to mødereferater fra 2018, der består af resumé af møderne mellem klageren og banken vedrørende hendes formue.

Parternes påstande

Den 16. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre det fulde beløb på 372.027,02 kr.

Nordea Danmark har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun blev udsat for bedrageri og svindel under trusler, jf. straffelovens § 266 og 279.

Hun var fra begyndelsen udsat for trusler om tab af hele sin formue blandt andet i form af, at der var alvorlige konsekvenser ved at afbryde telefonsamtalen. Tidspunktet var bevidst valgt med henblik på at svække hendes selvforsvar, hvilket skabte opfattelsen af en akut og farlig situation, at hun følte sig tvunget til at handle på en måde, som aldrig ville handle i en normal situation, og kan have forlænget svindelperioden.

Verifikation og autorisation skete i et stresset og usikkert miljø, der umuliggjorde en klar tankegang. Bedragerne gav umiddelbart logiske forklaringer på de relevante og hensigtsmæssige spørgsmål hun stillede.

Bankens beskrivelse af sagen og forløbet er ufyldestgørende, og konklusion er forkert.

Hun var udsat for et meget veltilrettelagt spoofing og bedrageri, hvor hun via overførslerne har lidt et økonomisk tab. Hun bestrider ikke, at hun selv foretog overførslerne.

I henhold til aftalelovens § 28 er transaktioner ikke bindende, hvis en viljeserklæring retsstridigt er fremkaldt ved trussel om øjeblikkelig anvendelse af vold, og det er en forudsætning, at den tvungne uden ugrundet ophold giver meddelelse til banken, efter at tvangen er ophørt. Ovenstående gør sig gældende i hendes sag, hvor hun var sat i en alvorlig belastningsreaktion og psykisk pres.

Der var ikke tale om autoriserede overførsler ved bedrageriet. I telefonopkaldet blev hun, ved trusler om tab af hele min formue, sat i en alvorlig belastningsrelation, hvilket medførte, at hun følte sig tvunget til at overføre beløb til konti i danske banker.

Bedragerne virkede kompetente og anvendte korrekte telefonnumre og hjemmesider, og ved bedrageriet blev hendes stresssituation udnyttet til, at hun led et stort formuetab.

Bankens konklusion, at idet hun selv foretog overførslerne, så er overførslerne autoriseret, er derfor ikke korrekt. Hun var ikke i stand til at agere logisk og kalkuleret, og situationer som hendes er der taget højde for i betalingslovens § 100, stk. 5, hvorefter betalerens personlige ansvar alene gælder, hvis betaleren med forsæt har oplyst personlig sikkerhedsforanstaltning, og hvis betaleren indså eller burde havde indset, at der var risiko for misbrug. Ingen af de nævnte forhold gør sig gældende for hende, idet hun handlede under tvang. Overførslerne kan derfor ikke siges at være autoriserede i henhold til betalingslovens § 82, idet hendes handlinger alene var begrundet i at beskytte sin formue.

Banken anerkender, at transaktionerne er foregået under tvang og manipulation, men tager ikke konsekvensen heraf og påtager sig ansvaret.

Banken har et medansvar for, at bedrageriet kunne finde sted, idet bedragerne ved de indledende telefonopkald havde væsentlige oplysninger om hendes personlige forhold som navn, bopæl, civilstand, indkomst, bankforbindelse og kontoforhold. Hun er uforstående over for, hvordan personfølsomme oplysninger kan være tilflydt uvedkommende, og hun mener, at der har været et datasikkerhedsbrud hos banken, der kan være ansvarspådragende i henhold til betalingslovens § 25, stk. 1, 8. pkt. og § 54, stk. 8 a.

I betalingslovens § 25, stk. 1 er det anført, at banken skal have effektive procedurer til at overvåge de risici som banken kan blive udsat for. Banken har ikke på noget tidspunkt i bedrageriperioden reageret på antallet af større transaktioner inden for en kort tidsperiode, men reagerede først, da hun afdækkede svindlen.

Hun anmeldte straks den 17. december 2022 sagen til politiet og banken, og det er hendes opfattelse, at banken først tog aktivt fat på at spore de svindlede beløb den 19. december 2022. Herved er kostbar tid gået tabt, idet en hurtigere indsats formodes at kunne have begrænset bedragernes videreførelse af beløb til andre konti.

Det er uforståeligt, at hendes bankrådgiver har kunne fremføre, at det ikke hastede med at få en mere sikker placering af hendes formue, særligt når der er tale om store likvide formuer. Formålet med bankrådgiverordningen er, at personer uden økonomiske forudsætninger, herunder hun, kan få god og relevant rådgivning, og hun mener, at der kan være tale om et ansvarspådragende forhold.

Hun har ikke økonomiske forudsætninger for vurdering af bankforretninger og har ikke tvivlet på bankens rådgivning.

Hun har ikke udvist grov uagtsomhed i den aktuelle sag, og banken har ikke løftet bevisbyrden herfor. Bedrageriet skal ligestilles med en situation med fysisk overgreb, og banken skal dække det fulde beløb.

Nordea Danmark har til støtte for frifindelsespåstanden anført, at de i sagen omtvistede ti overførsler på samlet 553.173 kr. er autoriserede overførsler i henhold til betalingslovens § 82.

Det ubestridt, at klageren selv godkendte samtlige transaktioner med sit MitID og SMS-koder. Klageren anerkender i Tro- og loveerklæringen, at hun selv foretog overførslerne.

Klageren svarede ”JA” til de SMS’er, som hun modtog vedrørende overførslernes gennemførelse. Teksten i SMS’erne var meget tydelig omkring hvad det omhandlede, og med klagerens ”JA”, så godkendte hun overførslerne.

Overførslerne blev således foretaget ved brug af stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30 samt § 128.

Overførslerne er endvidere korrekt registreret og bogført og er ikke ramt af tekniske svigt eller andre fejl.

I henhold til betalingslovens § 111, kan en betalingsordre ikke tilbagekaldes efter den er modtaget af betalerens udbyder – i dette tilfælde banken, hvorfor banken som udgangspunkt er forpligtet til at gennemføre en overførsel, når den er autoriseret.

Det bestrides, at klagerens forklaring eller forløbet i øvrigt indebærer, at der er tale om en uautoriseret transaktion som følge af trusler. Der er ikke tale om voldelig kompulsiv tvang, jf. aftalelovens § 28. Aftalelovens § 28, stk. 1 er en stærk ugyldighedsgrund, men er af samme årsag begrænset til de tilfælde, hvor tvangen er sket med personlig vold eller trussel om øjeblikkelig anvendelse af vold rettet mod løftegiver – eller under visse omstændigheder løftegivers nærmeste personer.

Det bemærkes i øvrigt, at klageren selv har oplyst, at hun var i den tro, at Svindler A og B var fra banken. Det stemmer således heller ikke overens med klagerens efterfølgende forklaring om, at hun skulle være blevet truet til at overføre midlerne, da hun i situationen gik ud fra, at hun talte med hhv. politiet og banken.

Klageren skal således selv skal bære tabet i sagen, idet betalingslovens § 100 ikke finder anvendelse på autoriserede overførsler.

For så vidt angår klagerens bemærkninger om sikkerheden og betalingslovens § 25, har banken tilstrækkelige sikkerhedsforanstaltninger.

Svindlerne har ikke omgået nogle af bankens tekniske sikkerhedsforanstaltninger vedrørende instruktioner om betalingstransaktioner, da overførslerne netop blev gennemført af klageren selv, hvilket er ubestridt.

Herudover er banken som betalingstjenesteudbyder underlagt Finanstilsynets tilsyn. Det er således Finanstilsynet som påser, at banken har tilstrækkelige sikkerhedsforanstaltninger, jf. betalingslovens § 126.

Så snart klageren gjorde indsigelser mod transaktionerne forsøgte banken i videst muligt omfang at sikre midlerne, herunder ved at kontakte øvrige modtagerbanker om svindlen.

For så vidt angår klagerens bemærkninger om placering af midlerne bemærkes det, at ni af overførslerne vedrørte indlånsmidler på klagerens Nordea Prioritets-konto. Der er knyttet både en ind- og udlånskonto til Nordea Prioritet, hvorfor indeståendet har bevirket at klageren alene har betalt renter af nettogælden på lånet. Det bestrides derfor, at banken skulle have ifaldet et erstatningsansvar vedrørende placering af midlerne, ligesom der under alle omstændigheder mangler den fornødne adækvans for at gøre et erstatningsansvar gældende for manglende placering af midlerne.

Klagerens prioritetslån blev oprindeligt ydet i 2010. I marts 2018 afholdtes et møde i banken, hvoraf det blandt andet fremgår af mødereferatet, at Nordea Prioritet fortsatte i klagerens navn alene, herudover kunne klageren helt eller delvist nedbringe sine renteudgifter til prioritetslånet ved at indskyde midler på indlånsdelen af Nordea Prioritetslånet op til 580.000 kr., hvilket blandt andet blev drøftet på et møde mellem klageren og klagerens rådgiver i april 2018.

Banken er således ikke enig i klagerens udlægning af rådgivningen i 2018, ligesom et eventuelt ansvar for mangelfuld rådgivning ved ydelsen af lånet i 2010, hvilket banken bestrider, er forældet.

Til støtte for afvisningspåstanden har banken anført, at en afgørelse af sagen forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Sagen bør derfor afvises i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto -803 og netbankad-gang.

Den 16. og 17. december 2022 i tidsrummet fra kl. 22:52 til kl. 02:38 foretog klageren ti netbankoverførsler på i alt 553.173 kr. til konti i andre pengeinstitutter og til én konto i banken.

Om baggrunden for overførslerne har klageren oplyst, at hun blev kontaktet telefonisk af en person, P1, der udgav sig for at være fra politiet. P1 oplyste hende, at hendes konto var ved at blive hacket, og at hun skulle overføre sine midler til sikkerhedsdepoter. P1 oplyste endvidere, at hun ville blive kontaktet af banken. Efterfølgende blev hun kontaktet telefonisk af en person, P2, der udgav sig for at være fra banken. P2 henviste til sagen fra politiet og anbefalede hende at anbringe hendes midler i sikkerhedsdepoter til hvilke han opgav kontonummeret, og vejledte hende i til hvilke konti og hvilke beløb hun skulle overføre. Hun blev bedt om at holde telefonen åben hele natten, og hun opdagede næste morgen, at der var tale om svindel. Hun kontaktede banken og fik spærret sit kort, sine konti og sit MitID, og herefter anmeldte hun sagen til politiet.

Klageren har oplyst, at hun selv foretog overførslerne, og anført, at de ikke var autoriserede, idet hun foretog disse under tvang og manipulation.

Banken har anført, at overførslerne var autoriserede, idet klageren selv foretog og godkendte overførslerne.

Ankenævnet lægger det som ubestridt til grund, at klageren selv foretog og godkendte overførslerne.

To medlemmer – Vibeke Rønne og Mette Lindekvist Højsgaard, der i medfør af Ankenævnets vedtægter § 16 er tillagt to stemmer, – udtaler:

Det er ikke banken, men svindlerne, der har narret og presset klageren til at foretage transaktionerne. Indsigelsen om, at overførslerne er fremkaldt ved retsstridig handling, jf. aftalelovens § 28 kan derfor ikke gøres gældende overfor banken.

Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100.

Vi finder det heller ikke godtgjort, at banken på andet grundlag, herunder som følge af påstået manglende eller utilstrækkelig rådgivning vedrørende placering af klagerens formue, kan gøres ansvarlig for klagerens tab.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Elizabeth Bonde – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 364.027,02 kr. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnet bemærker, at spørgsmål om bankens overholdelse af databeskyttelsesloven og persondataforordningen hører under datatilsynet, Carl Jacobsens Vej 35, 2500 Valby. Ankenævnet kan ikke behandle denne del af klagen, jf. Ankenævnets vedtægter § 4.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.