| Sagsnummer: | 471/2019 |
| Dato: | 11-05-2021 |
| Ankenævn: | Vibeke Rønne, Jesper Claus Christensen, Jimmy Bak, Morten Bruun Pedersen, Anna Marie Schou Ringive. |
| Klageemne: | Afvisning - bevis § 5, stk. 3, nr. 4 Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ubegrænset hæftelse Netbank - øvrige spørgsmål |
| Ledetekst: | Indsigelser mod transaktioner i netbank, herunder til udenlandsk betalingsmodtager. |
| Indklagede: | Lån & Spar Bank |
| Øvrige oplysninger: | SD |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Denne sag vedrører indsigelser mod transaktioner i netbank, herunder overførsler til en udenlandsk betalingsmodtager.
Sagens omstændigheder
Klageren er kunde i Lån & Spar Bank, hvor hun blandt andet har en lønkonto med et tilknyttet Visa/Dankort og en boligkredit.
Den 4. november 2019 blev der via netbank foretaget en udenlandsk overførsel på 250 USD til en betalingsmodtager, A. Beløbet blev trukket på klagerens lønkonto. Ifølge bankens kvittering for overførslen var betalingsformålet ”INITIAL PAYMENT”. Klageren har oplyst, at hun foretog overførslen med henblik på at investere i bitcoins, og at hun ikke havde til hensigt at overføre yderligere beløb.
Den 8. november 2019 blev der via netbank overført 100.000 kr. og 50.000 kr. fra klagerens boligkredit til lønkontoen. Samme dag blev der via netbank ved træk på lønkontoen foretaget en udenlandsk overførsel på 19.950 EUR, svarende til 149.345,70 kr., til betalingsmodtager B. Gebyret for overførslen udgjorde 20 kr.
Den 10. november 2019 bookede klageren via bankens hjemmeside et møde, der skulle finde sted den 13. november 2019. På klagers foranledning blev mødet rykket til den 15. november 2019.
Den 11. november 2019 ringede klageren til Nets og spærrede sit Visa/Dankort.
Den 12. november 2019 blev der via netbank overført 40.000 kr. og 1.000 kr. fra klagerens boligkredit til lønkontoen.
Den 13. november 2019 blev der via netbank ved træk på lønkontoen foretaget en udenlandsk overførsel på 5.330 EUR, svarende til 39.897,98 kr., til betalingsmodtager B. Gebyret for overførslen udgjorde 20 kr.
Banken har oplyst, at transaktionerne blev korrekt registrerede og bogførte, og at systemet var ikke ramt af tekniske svigt eller andre fejl de pågældende dage.
Banken har oplyst, at der vedrørende overførslerne den 8. og 13. november 2019 til udlandet blev anvendt SMS engangskoder, som af bankens datacentral blev sendt til klagerens telefonnummer, hvilket er praksis for overførsler af en vis størrelse. Af SMS’erne fremgik følgende tekst:
”Denne kode må aldrig udleveres til andre. Indtast engangskode: […] i Netbank, for at godkende betalingen.
Er du ikke i gang med en betaling, kontakt straks dit pengeinstitut og/eller få spærret dit NemID.”
Banken har videre anført, at SMS engangskoden vedrørende overførslen den 13. november 2019 blev anvendt den 12. november 2019 kl. 14.41, men selve overførslen blev gennemført og bogført på klagerens konto den 13. november 2019. Baggrunden var, at en ordre i netbank om overførsel til modtagere i udlandet, der af kunden indtastes efter kl. 14.30, først bliver afsendt og bogført den følgende bankdag. Konto-til-konto overførsler i netbank mellem kundens egne konti sker uden anvendelse af SMS-kode.
Banken har oplyst, at B er et selskab, der handler med bitcoins og kryptovaluta. Klageren har oplyst, at hun ikke kender noget til B.
Den 15. november 2019 blev der afholdt et møde mellem klageren og banken. I den forbindelse blev klagerens netbank og Nemid spærret.
Klageren har fremlagt seks mails i perioden 7.- 8. november 2019 fra B til klageren vedrørende ”Fund Password Setup”, ”Binding Google Authenticator”, ”Binding Mobile Number”, ”Verification code” og Successful Registration”. Klageren har endvidere fremlagt to mails af 11. og 14. november 2019 fra B til hende om ”withdrawal request” som blev ”accepted”.
Den 19. november 2019 indgav klageren en anmeldelse til politiet. Af anmeldelsen fremgik et gerningstidspunkt, den 8. november 2019 kl. 12.30, og et tab på 149.345,70 kr. Under overskriften ”Anmelders oplevelse” anførte klageren:
”Den 30/10 2019 k[ø]ber jeg for 250 USD fra min konto: […] via mobilbanking hos [B], efter at de havde kontaktet mig per telefon
Den 8/11 er [der] pludseligt blevet over[fø]rt 149.345, 70 DKK fra min konto (den samme […]) dette er foretaget af L[å]n og Spars hovedkontor uden mit vidende eller accept til [B] i Lichtenstein.
Den 8/11 er jeg i kontakt med L[å]n og Spar per telefon og […] jeg [får] sp[æ]rret mit Visa -Dankort (tilh[ø]rende ovenst. Konto).
Den 13/11 foreg[å]r atter en overf[ø]rsel nu p[å] 39.897,98 DKK uden mit vidende.
Den 15/11 har jeg s[å] et m[ø]de i min bank, hvor vi lukker alt ned (inklusive Netbank og NemlD).
D. 13/11 kontakter jeg [B] og anmoder om at f[å] mine penge tilbage.
Jeg f[å]r d. 14/11 per email en bekr[æ]ftelse p[å] at [B] acceptere[r] at jeg vil tr[æ]kke mine penge tilbage. [Dernæst] er der intet sket.
Jeg har [fået renset min PC og telefon, og f[å]et nyt NemlD.”
Klageren har oplyst, at hun fejlagtigt anførte B som modtager af de 250 USD i stedet for korrekt A.
Klageren har fremlagt en hændelseslog vedrørende sit Nemid for perioden 4. - 25. november 2019. Banken har oplyst, at hændelsesloggen blandt andet viser, at der ved transaktionen på 250 USD til A – som klageren vedkendte sig - blev benyttet nøgleapp, mens der ved transaktionerne på 19.950 EUR og 5.330 EUR til B blev benyttet Nemid koder fra klagerens nøglekort.
Klageren har fremlagt et dokument, der viser fire engangskoder den 31. september 2019, vedrørende transaktioner på hver knap 16.000 russiske rubel (RUB), der var ”Stoppet af Nets”. Klageren har oplyst, at koderne vedrørte nogle transaktioner den 30. september 2019. Banken henvendte til hende for at høre, hvorvidt hun ønskede, at transaktionerne skulle gennemføres, og da hun benægtede dette, blev overførslerne stoppet. Hun modtog ikke andre koder af den slags.
Klageren har fremlagt en mail af 20. december 2019 til hende fra et IT-sikkerhedsfirma. Af mailen fremgik:
”Jeg bekræfter hermed, at vi er blevet kontaktet af dig d. 19-11-2019
På den pågældende dato, ringede du for at få renset og kigget din computer igennem, efter at du havde haft besøg af en hacker.
Vi rense[de] maskinen igennem, og tjekkede at der ikke lå nogle virusser tilbage.”
Endelig har klageren fremlagt en liste over opkald til hendes telefon i perioden 15. november 2019 - 18. december 2019.
Efter det oplyste underskrev klageren en tro- og loveerklæring til banken, hvor hun gjorde indsigelse mod transaktionerne. Indsigelsesblanketten er ikke fremlagt i forbindelse med sagen.
Parternes påstande
Den 16. december 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal betale 189.243,68 kr. (149.345,70 kr. + 39.897,98 kr. = 189.243,68 kr.) med tillæg af renter og omkostninger.
Lån & Spar Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.
Parternes argumenter
Klageren har anført, at overførslerne fra boligkreditten til lønkontoen og fra lønkontoen til B skete uden hendes viden og samtykke, og at banken skal tilbageføre dem.
Hun var udsat for identitetstyveri. Det bør derfor ikke afvises, at der er foretaget uautoriserede overførsler.
Det er som anført af banken korrekt, at hun i 2016 og 2018 gjorde indsigelse mod nogle transaktioner. Der var tale om mindre beløb, hvor hun blev snydt eller uvidende tegnede dyre abonnementer.
Det er også korrekt, at hun den 30. september 2019 som anført af banken blev kontaktet på baggrund af, at det fremgik, at der skulle ske en overførsel til en bank på Malta. Hun meddelte, at hun ikke havde kendskab hertil og ikke ønskede beløbet overført. Banken overførte herefter ikke beløbet. Det var i den forbindelse, at hun modtog koder, der var ”Stoppet af Nets”.
Hun har ikke modtaget andre SMS-koder.
Meddelelser fra banken blev sendt via e-mail eller e-boks, ikke over SMS.
Hun investerede 250 USD i Bitcoins, fordi hun ønskede at tjene lidt ekstra til sin pension. I forbindelse med overførslen af beløbet benyttede hun sin adgangskode til netbank og indtastede sin Nemid engangskode fra nøgleappen på telefonen. Dette skete ikke siden, og hendes Nemid har således ikke været anvendt af hende i forbindelse med overførslerne den 8. og 13. november 2019. Hun erindrer ikke, hvorfor posteringsteksten skulle være ”initial payment”. Det er hendes opfattelse, at teksten er påført af banken i forbindelse med overførslen, som hun anmodede banken om at foretage. Hun havde alene til hensigt at investere 250 USD og ikke mere.
Hun havde ikke tidligere aktivt forsøgt sig med investeringer af nogen art, herunder investering af frie midler i aktiemarkedet. Bitcoins er et uforudsigeligt og ukontrolleret marked, og det ville derfor være usædvanligt, hvis hun kort tid efter at have lavet en forsigtig investering på 250 USD skulle have overføre yderligere 149.375,70 kr. og 39.897,98 kr.
Størrelsen på de overførte beløb adskilte sig væsentlig fra hendes sædvanlige forbrugsmønster.
Hun kontaktede straks banken med henblik på et møde, da hun opdagede den første overførsel blev opdaget og fik spærret sit kort. Henvendelsen skulle ske elektronisk, og hun anførte så meget hun kunne i de rubrikker, der var til rådighed. Årsagen til, at hun efterfølgende anmodede om, at mødet blev flyttet, var, at hun var blevet syg.
Hun anmeldte sagen til politiet, hvilket understøtter, at der ikke – som anført af banken – var tale om, at hun selv havde overført pengene og efterfølgende fortrudt.
Hun havde sit nøglekort på en app på telefonen. Da hun konstaterede, at hun tilsyneladende var blevet hacket, blev hendes computer og telefon renset, hvilket er bekræftet ved den fremlagte mail. Mailen skal ikke som anført af banken forstås således, at der ikke havde været virus eller lignende på hendes computer.
Hun blokerede alle numre i sin telefon, men kan stadig se numrene. Telefonen blev screenet/renset hos hendes teleselskab. Det fremgår af den fremlagte telefonliste, at hun også efter, at telefon og computer var blevet renset, modtog en række opkald fra udenlandske numre. Dette understøtter, at der har været foretaget en hacking af hendes computer, der har medført, at en ukendt uberettiget tredjemand har foretaget overførslerne. Der blev endvidere forsøgt overført penge fra hendes konti flere gange. Disse blev dog stoppet af Nets.
Hvis hendes computer var hacket, var det også muligt for hackeren at lave uautoriserede overførsler fra hendes computer og IP-adresse.
De fremlagte mails fra B er alene bekræftelsesmails på aktive handlinger, som hackerne foretog, da de i kraft af, at have hacket hendes computer og telefon kunne oprette en konto hos B i hendes navn. Hun har fremlagt al korrespondance der kunne findes fra B.
Lån & Spar Bank har til støtte for afvisningspåstanden anført, at det på det foreliggende grundlag ikke er muligt at afgøre, om der er foregået tredjemandsmisbrug. De digitale spor, som transaktionerne har efterladt, kan formentlig kun fremskaffes ved politimæssig efterforskning. En stillingtagen til klagerens anbringender forudsætter en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men må finde sted ved domstolene. Klagen bør derfor afvises, jævnfør Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Til støtte for frifindelsespåstanden har Lån & Spar Bank anført, at der ikke er tale om uautoriserede betalingstransaktioner, og at banken følgelig ikke er forpligtet til at godtgøre klageren transaktionerne.
Overførslerne fra boligkreditten til lønkontoen blev godkendt af klageren med Nemid og overførslerne til B blev godkendt af klageren med Nemid og SMS engangskode. Klageren var bekendt med formålet for overførslerne og foretog overførslerne selv. Dette understøttes af klagerens egen forklaring om, at hun ikke udleverede Nemid oplysninger, SMS-koder eller kontonummer til nogen. Bankens datacentral har med sikkerhed fastslået, at klagerens computer og IP-adresse blev anvendt. Overførslerne var signerede med klagerens Nemid og SMS-valideringskode. Ved overførsler med Nemid lægges der cookies ind i browseren på den computer, der anvendes.
Klageren vedkendte sig overførslen på 250 USD med teksten ”Initial payment”, der tydede på, at klageren forventede at gennemføre flere overførsler.
Klageren undlod at henvende sig til banken straks, da hun den 11. november 2019 blev opmærksom på overførslen, der blev gennemført den 8. november 2019.
Trods viden om overførslen den 8. november 2019 gennemførte klageren en ny overførsel til samme modtager.
Klageren oplyste under mødet den 15. november 2019, at hun på en hjemmeside, hvor man kunne investere i Bitcoins, kun havde oplyst sine kortoplysninger og ikke andet. Hun oplyste, at hun ikke havde klikket på links, modtaget mistænkelige mails, korresponderet eller talt med nogen, hun ikke kendte. Medarbejderen kunne dog se, at klager havde medbragt en mailkorrespondance, som hun havde haft med et firma, der handlede med Bitcoins.
Banken undersøgte, om klagerens telefonnummer af for eksempel en hacker var søgt ændret, hvilket ikke var tilfældet. Medarbejderen konstaterede, at klageren – i modstrid med sin forklaring – havde modtaget en række SMS’er med éngangskoder til overførsler til udlandet. Klageren nægtede på dette tidspunkt imidlertid at kende noget til koderne.
Transaktionsmønstret harmonerede ikke med et sædvanligt misbrugsmønster. Det er atypisk, at der gik seks dage mellem de to transaktioner, klageren ikke vil vedkende sig. Hackere/svindlere ville normalt gennemføre straksoverførsler med få minutters mellemrum, indtil kontohaver ikke havde flere penge tilbage. Transaktionsmønstret tyder på, at klageren selv har foretaget overførslerne, men siden har fortrudt sit køb af de Bitcoins, der var baggrunden for overførslerne.
Hackere kunne på klagerens computer have installeret programmet Teamviewer eller et tilsvarende program, der giver tredjemand adgang, men dette havde krævet en aktiv medvirken af klager til at acceptere installationen. På baggrund af klagerens forklaring om, at hun ikke var i kontakt med nogle svindlere eller hackere forud for de omtvistede transaktioner er det ubetænkeligt at lægge til grund, at klageren ikke accepterede eller uforvarende medvirkede til installationen af Teamviewer eller tilsvarende programmer.
I visse tilfælde overtaler svindlere en bank til at ændre et mobilnummer på den bedragnes mobiltelefon, sådan at SMS-koder omdirigeres og sendes direkte til svindlernes mobiltelefon. Svindlerne behøver derefter ikke – typisk telefonisk – at overtale den bedragne til at indtaste SMS-koden i forbindelse med overførslen. Banken har ikke registreret, at banken forud for den 8. november 2019 blev kontaktet med henblik på at ændre klagers mobiltelefonnummer.
Overførsler fra klagerens konti kunne teoretisk gennemføres uden klagers aktive medvirken, hvis klagerens mobiltelefon, hvorpå der var downloaded en Nemid nøgle App, eller (i strid med Regler for NemID) var indlagt et foto af klagerens fysiske nøglekort - tillige var kompromitteret og overtaget af hackere den 8. og den 12. november 2019. Dette er forekommet i sjældne tilfælde. Overførslerne kunne herefter være gennemført uden aktiv medvirken af klageren til for eksempel at indtaste kode fra Nøgle-app/billedet af nøglekortet og indtaste SMS-koden. Klageren benyttede imidlertid sin mobiltelefon efter den 13. november 2019 og benytter den fortsat. Det har derfor formodningen imod sig, at kompromittering af mobiltelefonen fandt sted.
Klageren har ikke fremlagt dokumentation for, at hendes mobiltelefon skulle være hacket forud for den 8. november 2019. Det kan derfor lægges til grund, at dette ikke skete.
Den af klageren fremlagte mail fra et IT-sikkerhedsfirma synes at bekræfte, at klagerens computer ikke var udsat for et hackerangreb.
Det må lægges til grund, at overførslerne til B blev indsat på klagerens nyoprettede konto hos B. Klageren har ikke dokumenteret, hvad hun foretog sig over for B efter den 14. november 2019 med henblik på tilbagebetaling af de overførte beløb.
I 2016 foretog klageren på internettet to køb på 510,82 EUR og EUR 400, som blev søgt tilbage. I 2018 købte klager via internettet nogle prøvepakker og tegnede samtidig et abonnement. På baggrund af en indsigelse fra klageren tilbagesøgte banken forgæves et beløb på 70 EUR. I 2018 gjorde klageren endvidere indsigelse mod nogle transaktioner i forbindelse med, at hun reagerede på en oplysning om, at hun havde vundet en Iphone. I slutningen af september 2019 overførte klageren et beløb til Malta. Ved indtastningen i netbank manglede nogle oplysninger for at gennemføre overførslen. Banken kontaktede derfor klageren, der imidlertid meddelte, at der alligevel ikke skulle overføres et beløb til Malta.
Klagers adfærd i denne sag stemmer med hendes adfærd og risikovillighed i de tidligere indsigelsessager.
Ankenævnets bemærkninger
Klageren er kunde i Lån & Spar Bank, hvor hun blandt andet har en lønkonto med et tilknyttet Visa/Dankort og en boligkredit.
Den 8. november 2019 blev der via netbank overført 100.000 kr. og 50.000 kr. fra klagerens boligkredit til lønkontoen, hvorefter der ved træk på lønkontoen blev foretaget en udenlandsk overførsel på 19.950 EUR, svarende til 149.345,70 kr.
Den 12./13. november 2019 blev der via netbank overført 40.000 kr. og 1.000 kr. fra boligkreditten til lønkontoen. hvorefter der ved træk på lønkontoen blev foretaget en udenlandsk overførsel på 5.330 EUR, svarende til 39.897,98 kr.
Klageren gjorde indsigelse mod transaktionerne, som hun har anført var uautoriserede, og anmeldte sagen til politiet. Banken afslog at godtgøre klageren de udenlandske overførsler på i alt 189.243,68 kr. (149.345,70 kr. + 39.897,98 kr. = 189.243,68 kr.) med tillæg af renter og omkostninger.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt af afgøre, om der foreligger et misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter helt eller delvist for tabet, jf. betalingslovens § 100, herunder betalingslovens § 100, stk. 5, om ubegrænset hæftelse. Ankenævnet finder, at en stillingtagen til sagen forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.