Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for op til 8.000 kr. for misbrug af netbank i forbindelse med phishing. Oprettelse af MitID-app på svindlerens enhed/device.

Sagsnummer: 453/2022
Dato: 06-02-2024
Ankenævn: Helle Korsgaard Lund-Andersen, Mette Lindekvist Højsgaard, Karin Sønderbæk, Tina Thygesen og Elizabeth Bonde.
Klageemne: Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for op til 8.000 kr. for misbrug af netbank i forbindelse med phishing. Oprettelse af MitID-app på svindlerens enhed/device.
Indklagede: Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. for netbankoverførsel og korttransaktioner i forbindelse med phishing. Oprettelse af MitID-app på svindlerens enhed/device.

Sagens omstændigheder

Klageren var kunde i Nordea, hvor hun havde en konto -584 med tilhørende betalingskort og netbank.

Den 18. maj 2022 kl. 16:34 blev der foretaget en netbankoverførsel fra klagerens konto på 9.900 kr. til en betalingsmodtager, A, og to korttransaktioner samme dag på 5.000 kr. til betalingsmodtagerne, B og C, som klageren ikke kan vedkende sig.

Om baggrunden for transaktionerne har klageren oplyst, at hun modtog en SMS fra SKAT, hvor der stod, at hun skulle have penge tilbage, indeholdende et link, som hun trykkede på, hvorefter hun blev viderestillet til en hjemmeside ved navn skatbetaling.com. Herefter kom den officielle NemID-boks op, hvor hun begyndte at udfylde sine informationer. Hun blev mistroisk og ringede til SKAT, som oplyste, at SMS’en ikke var fra SKAT, hvorefter hun lukkede browseren. En time senere ringede en mand fra bankens telefonnummer og sagde, at nogen forsøgte at føre penge ud af hendes konto.

Klageren har fremlagt en NemID-log, hvoraf det blandt andet fremgår, at NemID med serienummeret -9895 blev oprettet den 27. oktober 2020 og spærret den 19. maj 2022, at der den 18. maj 2022 kl. 16:03 blev sendt en notifikation til NemID-nøgleapp med serienummeret -9895 og transaktionen accepteret fra IP-adresse -221, at dette gentog sig den 18. maj 2022 kl. 16:14 og 16:16, at der den 18. maj 2022 kl. 16:24 blev sendt en notifikation til NemID-nøgleapp med serienummeret -9895 og kl. 16:25 blev transaktionen accepteret fra IP-adresse -19, og at der den 18. maj 2022 kl. 16:31, 16:32 og 16:33 blev sendt notifikationer til NemID-nøgleapp med serienummeret -9895 fra IP-adresse -233.

Klageren har endvidere fremlagt en MitID-log, hvoraf det blandt andet fremgår, at der den 18. maj 2022 kl. 16:04 blev sendt en midlertidig PIN-kode til MitID-app på SMS, som blev valideret, hvorefter ny MitID-app blev aktiveret, og at der den 18. maj 2022 kl. 16:34 skete godkendelse af indtastet bruger-ID, hvorefter autentificeringen lykkedes, og der var logget på med MitID.

Banken har oplyst, at svindleren forsøgte at få klagerens MitID indrulleret på sin egen telefon. Banken har fremlagt en log for MitID, hvoraf det fremgår, at der den 18. maj 2022 kl. 16:03 blev oprettet en aktiveringskode til ny MitID-app, at aktiveringskoden blev valideret samme dag kl. 16:04, og at der samme dag kl. 16:04 blev sendt en midlertidig pinkode på SMS, som blev valideret samme dag kl. 16:04, og banken har anført, at der den 18. maj 2022 kl. 16:04 blev sendt en SMS til klagerens telefon med følgende besked:

”VIGTIGT: Del aldrig denne kode med andre. Heller ikke med én, som påstår at komme fra banken eller supporten. Midlertidig PIN-kode til MitID app: XXXX”

Der blev kl. 16:05 foretaget godkendelse med bruger-id og autentificeringen lykkedes. Den nye MitID-app blev aktiveret.

Banken har oplyst, at man som bruger ved geninstallering af MitID skal anvende NemID, og har fremlagt en beskrivelse af processen vedrørende oprettelse af MitID med NemID.

Banken har anført, at de oplysninger, som klageren videregav om sit NemID, er dem, som svindleren anvendte i processen med henblik på oprettelsen af MitID på svindlerens telefon. Klageren delte aktiveringskoden, som blev sendt til hende på SMS med svindleren.

Det fremgår endvidere af loggen, at der samme dag kl. 16:33 og 16:34 skete godkendelse af indtastet bruger-id, at autentificering i appen lykkedes, at der skete godkendelse af login med MitID, at der kl. 16:35 skete godkendelse af indtastet bruger-id, og at anmodning om godkendelse blev annulleret, da der var to samtidige anmodninger.

Banken har anført, at koden blev anvendt af svindleren, idet klagerens MitID var aktivt kl. 16:04 samme dag. Som følge af installeringen af MitID på svindlerens enhed fik denne adgang til klagerens netbank.

Banken har endvidere anført, at svindleren anlagde en netbankoverførsel, som blev gennemført den 18. maj 2022 kl. 16:34 ved at indtaste modtagerens kontooplysninger og derefter indtaste klagerens brugernavn til MitID for derefter at godkende overførslen i klagerens MitID-app, som nu var installeret på svindlerens telefon.

Banken har oplyst, at der som en ekstra sikkerhed blev sendt en SMS til klagerens telefon, hvortil der skulle svares ”JA”, hvis overførslen skulle gennemføres, og har fremlagt en udskrift fra sit system, hvoraf det fremgår, at der den 18. maj 2022 kl. 16:34 blev sendt en SMS til klageren med anmodning om bekræftelse af en overførsel på 9.900 kr. til konto -821, og at der kl. 16:34 blev svaret ”JA”.

Banken har oplyst, at netbankoverførslen blev foretaget med stærk kundeautentifikation.

Klageren gjorde indsigelse over for banken i to separate indsigelsesblanketter.

Af indsigelsesblanketten af 19. maj 2022 fremgik det blandt andet, at klageren ikke benyttede pap-Nøglekort, at hun havde nogle nøglekort liggende i reserve, at hun benyttede Nøgleapp, at hun havde noteret sine koder til netbank i en note på computeren, og at ingen andre havde kendskab til hendes NemID-oplysninger. Klageren oplyste endvidere, at hun var blevet bedt om at oplyse sit NemID brugernavn og password til personer, hun ikke kendte, idet hun den 18. maj 2022 indtastede NemID oplysninger via link fra en svindler. Klageren beskrev hændelsesforløbet således:

”Jeg modtog en SMS fra skat, hvor der stod at jeg skulle have penge tilbage, med et link, som jeg trykkede på. Der kom en boks op med NemID, det var den officielle boks, og det fik mig til at tro den var autentisk, jeg begyndte at udfylde info på hjemmesiden skatbetaling.com, blev mistroisk og ringede til skat, som sagde at det ikke var dem, jeg lukkede browseren. En time senere ringede en mand fra Nordeas telefonnummer og sagde at nogen forsøgte at føre penge ud af min konto, han havde info om min konto, hvilke type jeg havde og havde også mit Mitid brugernavn. Jeg følte mig overbevist om at det var fra Nordea. Han sendte nemid godkendelse, hvilket igen bekræftede, at det var Nordea jeg talte med. Da han bad om godkendelse af 35.000 (pga de strenge regler for personsikkerhed, som han angiveligt var underlagt i banken, skulle jeg godkende at han flyttede pengene på min konto ud i en sikker konto) Han sagde at der fortsat blev forsøgt at betale for bil mm. og at det derfor var vigtigt. Her lagde jeg røre på og ringede op til banken… ”

Banken vurderede, at klageren i forbindelse med både korttransaktionerne og netbankoverførslen havde handlet groft uforsvarligt og tilbageførte klagerens tab med fradrag af to gange 8.000 kr.

Klageren klagede over bankens afgørelser, idet hun blandt andet var uenig i, at hun skulle betale 8.000 kr. to gange.

Den 4. juli 2022 skrev banken til klageren, at den havde genovervejet klagerens sag og havde besluttet at godtgøre hende for den ene selvrisiko på 8.000 kr. pr. kulance.

Klageren har fremlagt en e-mailkorrespondance af 11. september 2023 mellem MitID-support og klageren, hvor klageren forespurgte, hvorvidt det var muligt at oprette et MitID alene ved hjælp af NemID den 18. maj 2022. MitID-support besvarede, at det var muligt, hvis det var første gang, at man skulle oprettes på MitID og man havde opdateret sine oplysninger om NemID.

Parternes påstande

Den 30. oktober 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal nedsætte hendes hæftelse til 375 kr. og tilbageføre 7.625 kr.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at der aldrig har været tale om, at hun opgav sit MitID brugernavn og adgangskode til den person, der ringede fra bankens telefonnummer. Det var derimod denne person, der kunne oplyse hende om hendes MitID brugernavn, da det var tilgængeligt for ham i bankens system, hvilket bidrog til en bekræftelse af, at det var banken hun talte med.

Hendes tillid til svindleren beroede på, at han kunne oplyse hendes MitID brugernavn, så da hun blev bedt om at godkende med NemID, var tilliden allerede etableret.

Hun valgte ikke at udfylde sine NemID-oplysninger. NemID-appen åbnede og opførte sig på alle måder som den plejer.

Banken har oplyst hende, at den aldrig ringer til sine kunder ved mistanke om svindel, men det gør den ifølge bankens regler for netbank punkt 5.2.

Hun har på intet tidspunkt oplyst sit kontonummer til svindleren. Hvis der er foregået svindel via hendes betalingskort, betyder det, at svindleren på anden vis er lykkes til at få adgang i bankens system, hvilket hun ikke kan holdes ansvarlig for.

Beskrivelsen af processen for oprettelse af MitID er ikke relevant i sagen. Hun er ikke bekendt med, at der kunne være et behov for at installere MitID-app igen, eller at det skulle være muligt for en person, der ikke er hende, ved brug af hendes NemID-oplysninger at ændre hendes MitID, da det er to forskellige systemer.

Hun er af MitID-support blevet oplyst om, at oprettelse af nyt MitID med ved anvendelse af NemID kun er muligt, såfremt det er første gang man oprettes på NemID. Hun oprettede sit oprindelige MitID længe inden svindlen foregik.

Nordea Danmark har til støtte for sin primære påstand anført, at betalingen på 9.900 kr. blev korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Klageren har selv anført, at hun modtog en SMS fra SKAT, som linkede hende til hjemmesiden skatbetaling.com, hvor hun skulle udfylde visse informationsfelter, idet hun efter SMS’ens ordlyd skulle have penge tilbage i skat. Klageren har selv beskrevet i sin indsigelse, at hun udfyldte sine NemID-oplysninger på hjemmesiden, hvorfor det også må kunne lægges til grund, at disse blev overgivet til svindleren.

Det er en typisk måde for svindlere at få phishet en persons NemID-oplysninger, hvilke de efterfølgende også kan bruge overfor samme person til at skabe tillid, idet svindleren i den efterfølgende samtale kan nævne personens NemID-oplysninger.

I den SMS, som blev sendt til klagerens telefonnummer, og som indeholdt en midlertidig MitID kode, fremgik det eksplicit, at klageren ikke måtte dele koden med andre – heller ikke med ”én som påstår at komme fra banken”.

I sagen har klageren selv oplyst, at den pågældende person påstod at komme fra banken.

Den pågældende kode blev sendt kl. 16:04 og indtastet korrekt på samme tidspunkt, mens klageren var i telefonisk kontakt med svindleren, som ringede på baggrund af, at klageren kort forinden havde indtastet sine NemID-oplysninger på skatbetaling.com, hvorfor det har formodningen for sig, at klageren under dette telefonopkald videregav aktiveringskoden til MitID. MitID kan kun aktiveres af en person som er i besiddelse af koden. Når det ikke var klageren selv, der aktiverede MitID et minut efter modtagelsen af SMS’en med aktiveringskode, må det være personen, som ringede til klageren, og som klageren videregav aktiveringskoden til.

Henset til ordlyden af SMS’en har klageren ved groft uforsvarlig adfærd muliggjort uberettigede anvendelse ved at gøre det muligt for svindleren at oprette en MitID-app, som muliggjorde den efterfølgende overførsel via netbanken, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3, samt afsnit 5.1 i bankens regler for netbank – privat.

Med den ekstra sikkerhed banken havde på overførslen i form af krav om SMS-godkendelse, så vil klagerens ”JA” til gennemførelse også berettige banken til at opkræve 8.000 kr. i selvrisiko, når dette sammenholdes med klagerens øvrige ageren under forløbet.

Klageren spurgte MitID-support generelt til den 18. maj 2022 og ikke på sit eget MitID, hvorfor svaret fra MitID-support ikke uden videre kan lægges til grund som gældende for klagerens tilfælde. Uanset svaret fra MitID support, så har banken vedlagt fuldgod dokumentation for det hændte omkring indrulleringen på tredjemands enhed, herunder klagerens ansvar herfor.

Klageren må nødvendigvis have swipet én gang til godkendelse af indlogning på MitID’s hjemmeside. Banken er ikke i besiddelse af den konkrete tekst, men den må have været i retning af følgende: ”Godkend log ind på MitID[.dk]”.

I tidsrummet op til overførslens foretagelse var klagerens NemID med serienummeret -9895 aktivt og sidste anvendt den 18. maj 2022 kl. 16:25. Op til transaktionens foretagelse, og dermed i tidsrummet op til oprettelse af MitID, var der aktivitet via hendes NemID. Det stemmer med, at klageren havde overgivet sine NemID oplysninger til svindleren, som anvendte disse til at oprette et MitID på klageren.

Til støtte for sin subsidiære påstand har banken anført, at afgørelse af sagen forudsætter en vidneførelse under strafansvar omkring indholdet af telefonsamtalen med svindleren, herunder hvilke oplysninger klageren videregav til svindleren, og sagen bør derfor afvises.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Bank, hvor hun havde en konto -584 med tilhørende betalingskort og netbank.

Den 18. maj 2022 kl. 16:34 blev der foretaget en netbankoverførsel fra klagerens konto -584 på 9.900 kr. og to korttransaktioner med klagerens betalingskort på to gange 5.000 kr., som klageren ikke kan vedkende sig.

Om baggrunden for netbankoverførslen og korttransaktionerne har klageren oplyst, at hun modtog en SMS fra SKAT med oplysning om, at hun skulle have penge tilbage. Hun trykkede på linket i SMS’en og blev viderestillet til en hjemmeside ved navn skatbetaling.com, hvor hun begyndte at udfylde sin oplysninger, blev mistroisk og ringede til SKAT, hvor hun blev oplyst om, at det ikke var dem, hvorefter hun lukkede browseren ned.

Klageren har anført, at hun ikke udfyldte sine NemID-oplysninger, at hun ikke videregav MitID brugernavn og adgangskode til den pågældende person, og at det var denne, der kunne oplyse hende om hendes MitID brugernavn.

Banken har anført, at klageren i indsigelsen til banken har beskrevet, at hun udfyldte sine NemID-oplysninger, hvorfor det må kunne lægges til grund, at disse blev overgivet til svindleren. Banken har oplyst, at klageren modtog aktiveringskoden på SMS med følgende ordlyd: ”VIGTIGT: Del aldrig denne kode med andre. Heller ikke med én, som påstår at komme fra banken eller supporten. Midlertidig PIN-kode til MitID app: XXXX”, og anført at klageren videregav aktiveringskoden til MitID til svindleren, som herefter indrullerede klagerens MitID på sin egen enhed og foretog overførslen.

Banken har endvidere oplyst, at der som en ekstra sikkerhed blev sendt en SMS til klagerens telefon med anmodning om bekræftelse af en overførsel på 9.900 kr. ved at svare ”JA”, og anført, at klageren svarede ”JA”.

Banken godtgjorde klagerens tab med fradrag af to gange 8.000 kr. Efterfølgende godtgjorde banken pr. kulance yderligere 8.000 kr.

Ankenævnet finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjenester.

Det lægges endvidere til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ankenævnet lægger til grund, at der ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3 hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Ankenævnet finder, at en afgørelse af sagen blandt andet beror på, hvorvidt klageren har videregivet sine oplysninger, herunder aktiveringskode til MitID. Ankenævnet finder, at en stillingtagen til sagen forudsætter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.