Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod netbank transaktion efter telefonisk henvendelse. Videregivelse af Nemid oplysninger og sms-kode.

Sagsnummer: 207 /2019
Dato: 16-09-2019
Ankenævn: John Mosegaard, David Sander Hjortsø, Ida Marie Moesby og Anna Marie Schou Ringive
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Netbank - øvrige spørgsmål
Ledetekst: Indsigelse mod netbank transaktion efter telefonisk henvendelse. Videregivelse af Nemid oplysninger og sms-kode.
Indklagede: Skjern Bank
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Klager medhold.

Indledning

Sagen vedrører indsigelse mod netbank transaktion i forbindelse med telefonisk henvendelse.

Sagens omstændigheder

Klageren var kunde i Skjern Bank, hvor hun havde en lønkonto og en opsparingskonto med netbankadgang.

Den 25. april 2019 om aftenen blev klageren kontaktet telefonisk af en mand, M, der udgav sig for at være fra Skjern Bank, og som oplyste, at der foregik mistænkelige transaktioner på klagerens konto. M anmodede klageren at oplyse sit cpr. nr. og Nem-id oplysninger, så de mistænkelige transaktioner kunne stoppes. Klageren videregav de efterspurgte oplysninger til M. Klageren modtog derefter en sms fra banken. Banken har oplyst, at sms’en havde følgende indhold:

”Indtast SMS-kode XXXX i Netbanken/Mobilbanken for at godkende betalingen på DKK XX.XXX til konto XXXX XXXXXXXXXX.

Mener du ikke, at denne betaling tilhører dig så kontakt Skjern Bank på telefon 96821444.”

Klageren videregav sms-koden.

Samme dag kl. 21.39.33 og kl. 21.40.35 blev der overført henholdsvis 7.000 kr. og 18.500 kr. fra klagerens lønkonto til klagerens opsparingskonto. Fra opsparingskontoen blev der samme dag kl. 21.50.39 overført 32.000 kr. til en tredjemands konto i et andet pengeinstitut, P.

Straks efter telefonsamtalen ringede klageren til sin søn, som kontaktede Nets og fik spærret klagerens Nemid og betalingskort.

Den 3. maj 2019 indgav klagerens søn på vegne klageren en klage til banken, hvori blandt andet følgende var anført om telefonsamtalen med M:

”… Min mor bliver selvfølgelig nervøs for de mistænkelige transaktioner, hvorfor hun oplyser hendes CPR nr. Personen beroliger hende og giver udtryk for, at han nok skal hjælpe hende, men han har lige brug for [klagerens] NEM-ID for at få stoppet de mistænkelige hævninger fra hendes konto, min mor spørger om det er nødvendigt, men personen siger til hende og siger at det er vigtigt at vi får stoppet disse kriminelle, hun giver efterfølgende personen hendes NEM-ID.

Min mor beder om personens navn og telefonnummer, hvis hun har yderligere spørgsmål, personen siger, at han nok skal give hende navn og nummer, men først er det vigtigt at få de vigtige ting på plads. Kort tid efter modtager [klageren] en SMS fra Skjern Bank hvor hun bekræfter en overførsel på 32.000 kr. til [en konto hos P]. Personen fortæller hende, hvis hun bekræfter SMS, vil de mistænkelige overførsler blive stoppet og alt vil blive som før. [Klageren] bekræfter desværre SMS, og i stedet for at stoppe hævningerne, overfører hun 32.000 kr. til [en konto hos P]. Da min mor derefter spørger personen, om alt er OK, får hun intet svar og røret er lagt på.”

Den 9. maj 2019 afviste banken klagen.

Banken har fremlagt ”Regler for Nem-ID Regler for NemID til netbank og offentlig digital signatur”, hvoraf det blandt andet fremgik:

”… 3.2 Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp

Du skal være opmærksom på, at du;

• skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem

• ikke må oplyse din adgangskode dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre

• ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne

• ikke må skrive din adgangskode/din pinkode til din nøgleapp ned

• ikke må opbevare adgangskoden sammen med dit nøglekort/din nøgleviser eller på den mobile enhed, hvor din nøgleapp er installeret eller skrive adgangskoden på dit nøglekort/din nøgleviser

• kun må installere din nøgleapp på din egen mobile enhed.

3.3 Sikkerhed ved brug

Du skal sikre, at

• dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din nøgleapp kun bruges af dig selv og i overensstemmelse med reglerne …”

Af Skjern Banks regler for netbank fremgik blandt andet:

”… 17. Ansvar for private konti

… Du hæfter med op til 375 kr. for tab som følge af andres uberettigede anvendelse af din adgang til funktionerne i Skjern Banks e-Banking, når der har været anvendt en personlig sikkerhedsløsning.

Du hæfter med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af funktionerne i Skjern Banks e-Banking, hvis Skjern Bank godtgør, at en personlig sikkerhedsløsning har været anvendt, og du

- med forsæt har oplyst detaljerne for en personlig sikkerhedsløsning til den, der har anvendt funktionen uberettiget, uden at du indså eller burde indse, at der var risiko for misbrug eller

- ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Du hæfter uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af Skjern Banks e-Banking, hvis Skjern Bank godtgør, at en personlig sikkerhedsløsning har været anvendt, og du med forsæt har oplyst detaljerne om din personlige sikkerhedsløsning til den, der har anvendt funktionen uberettiget under omstændigheder, hvor du indså eller burde have indset, at der var risiko for misbrug.

Du hæfter også uden beløbsbegrænsning for tab, hvis du har handlet svigagtigt, med forsæt har undladt at opfylde din forpligtelse til at beskytte din personlige sikkerhedsløsning, eller hvis du har undladt at spærre funktionerne i Skjern Banks e-Banking….

1. Personlig sikkerhedsløsning

… Generelt gælder, at dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din nøgleapp er personlig og kun må bruges af dig. Du skal derfor opbevare dit bruger-id og din adgangskode samt dit nøglekort/din nøgleviser/din pinkode til din nøgleapp, så andre ikke kan få kendskab til det/den. …

3. Regler vedrørende brug af NemID …

3.2. Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp

Du skal være opmærksom på, at du: …

- ikke må oplyse din adgangskode, dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre …

3.3. Sikkerhed ved brug

Du skal sikre, at:

- dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din nøgleapp kun bruges af dig selv og i overensstemmelse med reglerne …”

Parternes påstande

Den 16. maj 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Skjern Bank skal tilbageføre 32.000 kr. med fradrag af 375 kr. til hende.

Skjern Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun har handlet i god tro. Hun troede på M, som var høflig, tillidvækkende og veltalende.

Banken har anført, at hun var mistænksom over for M, fordi hun spurgte M, hvorvidt det var nødvendigt at udlevere Nemid. Dette var et naturligt spørgsmål. Hun hverken indså eller burde havde indset, at der var risiko for misbrug. M vandt hendes tillid. M præsenterede sig som en ansat fra banken, der ønskede at hjælpe hende med at stoppe mistænkelige transaktioner, og som bad om hendes hjælp hertil. Hun er 80 år og har været kunde i banken i 60 år.

Banken skrev til alle sine kunder i netbanken dagen efter, at hun var blevet svindlet. Dette viser, at der er rigtige mange bankkunder, som ikke ved, hvad eller hvem man må fortælle sine personlige oplysninger, men også at Skjern Bank var bekendt med, at den ikke havde informeret sine kunder godt om, hvad eller hvem man må fortælle sine personlige oplysninger til.

Andre større pengeinstitutter har oplyst, at de i en tilsvarende situation ville holde en kunde skadesløs første gang, men at kunden selv skulle hæfte, hvis det skete igen. Hun skal ikke straffes for at være kunde i en mindre bank.

Hun hæfter alene for 375 kr., jf. betalingslovens § 100, stk. 3. Hun udleverede ikke med forsæt sit cpr. nr. og Nemid oplysninger. Hun burde, også henset til sin alder, ikke have indset, at der var risiko for misbrug.

Subsidiært kan man argumentere for en hæftelse efter på 8.000 kr. efter betalingslovens § 100, stk. 4. Hun har imidlertid ikke udvist groft uforsvarlig adfærd. Hun udleverede ikke oplysningerne med forsæt, og hun kontaktede straks Nets. Hun opfylder ikke betingelserne for hæftelse efter betalingslovens § 100, stk. 4.

Skjern Bank har anført, at banken er enig i klagerens beskrivelse af sagens faktiske omstændigheder. Klageren oplyste sit cpr. nr. og Nemid oplysninger til M, der derved fik adgang til klagerens netbank. Klageren videregav endvidere sms-koden til M.

Klageren handlede ikke efter de gældende regler om beskyttelse af Nemid nøgler eller efter bankens regler for anvendelse af netbank, ligesom betalingslovens § 100, stk. 5 finder anvendelse.

Klageren oplyste i sin klage til banken, at hun var mistænksom over for M, blandt andet om det nu kunne være korrekt, at hun skulle udlevere sit cpr. nr. og Nemid, ligesom hun i samtalen bad om at få M’s navn og telefonnummer. Det viser klart, at klageren havde en mistanke om, at hun ikke talte med en ansat i Skjern Bank. Trods mistanken udleverede klageren sine oplysninger og personlige sikkerhedsforanstaltninger samt sms-koden.

Når klageren til trods for mistanken udleverede sine personlige sikkerhedsforanstaltninger samt sms-koden til at bekræfte pengeoverførslen, indså eller burde klageren have indset, at der var risiko for misbrug. Klageren hæfter derfor fuldt ud i henhold til betalingslovens § 100, stk. 5 ud fra princippet om sandsynlighedsforsæt. Afgørende for hæftelsen efter betalingslovens § 100, stk. 5 er, at klageren i klagen til banken oplyste, at hun blev mistænksom over for M, men til trods herfor stadig udleverede sine personlige sikkerhedsforanstaltninger.

Banken vurderer ikke sms-koden som værende en personlig sikkerhedsforanstaltning, men blot en ekstra sikkerhed over for kunderne, så der ikke sker forkerte overførsler.

Banken informerer løbende - som en god service - sine kunder via Netbank, på mail eller via sociale medier om forskellige former for svindel, som kunderne kan blive udsat for, og hvilke faresignaler de skal være opmærksomme på.

Det af klageren anførte om hendes alder eller varighed af kundeforholdet kan ikke føre til, at hun fritages for ansvar for manglende overholdelse af bankens og Nemid’s regler. Det af klageren anførte om andre pengeinstitutters forretning er ikke relevant.

Ankenævnets bemærkninger

Den 25. april 2019 blev der via netbank overført 32.000 kr. fra klagerens konto i Skjern Bank til en tredjemands konto i pengeinstituttet, P.

Baggrunden for transaktionen var, at klageren den samme dag blev kontaktet telefonisk af en mand, M, der udgav sig for at være fra Skjern Bank. M oplyste, at der foregik mistænkelige transaktioner på klagerens konto og anmodede klageren om hjælp til at stoppe disse. Klageren videregav herefter sine Nemid oplysninger til M, der fik adgang til klagerens netbank. Klageren modtog en sms fra banken med en engangskode, som hun videregav til M. Ankenævnet lægger til grund, at sms’en indeholdt oplysning om, at koden var til godkendelse af en betaling på 32.000 kr. til den pågældende konto hos P.

Transaktionen skyldtes tredjemands misbrug af klagerens Nemid. Det lægges endvidere til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens Nemid var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede an-vendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug. Ankenævnet finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5 er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3 hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godt-gør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – John Mosegaard, Ida Marie Moesby og Anna Marie Schou Ringive – udtaler:

Vi lægger til grund, at klageren er blevet franarret sin personlige sik-kerhedsforanstaltning. På denne baggrund og efter det i øvrigt fremkomne finder vi ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 eller 5 er opfyldt. Klagerens hæftelse for tabet på 32.000 kr. udgør herefter højst 375 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre differencen på 31.625 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

Et medlem – David Sander Hjortsø, der i medfør af Ankenævnets vedtægter § 16, stk. 1, tillagt to stemmer – udtaler:

Det fremgik af den til klageren sendte sms, at klageren ved brug af engangskoden godkendte en overførsel på 32.000 kr. til en konto i P. Jeg finder, at klageren ved at videregive engangskoden ved groft uforsvarlig adfærd har muliggjort transaktionen, og at klageren som følge heraf hæfter med op til 8.000 kr.

Jeg stemmer derfor for, at Skjern Bank skal tilbageføre differencen på 24.000 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

 

Skjern Bank skal inden 30 dage tilbageføre 31.625 kr. kr.  til klagerens konto som ovenfor anført.

Klageren får klagegebyret tilbage.