| Sagsnummer: | 171/2024 |
| Dato: | 14-05-2025 |
| Ankenævn: | Bo Østergaard, Bjarke Levinsky Svejstrup, Signe Vejen Hansen, Rolf Høymann Olsen og Elizabeth Bonde. |
| Klageemne: | Betalingstjenester - ikke-vedkendte hævninger Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod at hæfte for op til 8.000 kr. af kontooverførsel. Aktivering/indrullering af MitID på svindlers enhed. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for op til 8.000 kr. af kontooverførsel. Aktivering/indrullering af MitID på svindlers enhed.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor hun havde en konto -149.
Klageren har oplyst, at hun den 29. januar 2024 kl. 17:30 blev kontaktet af en person M, som ringede fra bankens telefonnummer, som meddelte hende, at banken var blevet hacket. Person M fortalte, at der var mistanke om, at det omhandlede hende. Klageren har oplyst, at hun anmodede person M om at bekræfte, at han var fra banken, hvorefter person M korrekt oplyste, hvem hendes bankrådgiver var, hvornår hun sidst havde haft møde med bankrådgiveren, hvem hendes tidligere bankrådgiver var, hvor klageren arbejdede, og hvor hun tidligere havde arbejdet, samt at hun havde været kunde i banken siden 2007. For at sikre klageren mod svindel, skulle klageren sammen med person M slette enheder, som var tilføjet på hendes konto ved at anvende klagerens pas og ansigtsscan.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår, at der den 29. januar 2024 blev bestilt en aktiveringskode til MitID. Banken har anført, at klageren i forbindelse hermed scannede sit pas i MitID, hvorefter der blev oprettet en aktiveringskode ved anvendelse af ansigtsgodkendelse. Aktiveringskoden blev sendt til klagerens telefonnummer.
Banken har oplyst, at indholdet af SMS’en med aktiveringskoden var:
”MitID valideringskode: [XXX]
Har du ikke bedt om en valideringskode? Ring til MitID support.”
Aktiveringskoden blev indtastet på klagerens iPhone 13 (model identifier 14,5). Herefter blev der sendt en midlertidig PIN-kode til klagerens telefonnummer.
Banken har oplyst, at indholdet af SMS’en med den midlertidige PIN-kode var:
”Midlertidig PIN-kode til MitID app: [XXX]
VIGTIGT: Del aldrig denne kode med andre. Heller ikke med én som påstår at komme fra banken eller supporten.”
Den midlertidige PIN-kode blev indtastet på klagerens telefon. MitID -160 blev herved aktiveret.
Samme dag blev der bestilt en ny aktiveringskode til MitID, som blev anvendt til at oprette MitID -547 på tredjemands iPhone 14 pro (model identifier 15,2). Banken har anført, at oprettelsen af MitID -547 fulgte samme procedure, som oprettelsen af MitID -160. Banken har anført, at klagerens telefonnummer ikke blev ændret i forbindelse med aktiveringen af MitID -547. Banken har anført, at både aktiveringskoden og den midlertidige PIN-kode blev sendt til klagerens telefonnummer, og at klageren må have udleveret disse til tredjemand, som indtastede dem på sin mobiltelefon. MitID -547 blev herved aktiveret på tredjemands mobiltelefon.
Banken har fremlagt en udskrift af klagerens MitID-log, hvoraf fremgår:
”…
29-01-2024 18:41:41 […] App – autentificering lykkedes
…
MitID identifikationsmiddel-ID [-547]
…”
Banken har fremlagt en udskrift fra dens system, hvoraf fremgår:
”…
|
… |
29-01-2024 18:46:09 |
… |
Show/create Service code |
Received |
…”
Banken har oplyst, at tredjemand loggede ind på klagerens netbank og aflurede klagerens servicekode.
Banken har herudover oplyst, at tredjemand herefter installerede mobilbank på sin egen mobiltelefon og loggede ind med MitID -547. Tredjemand foretog en devicebinding af mobilbanken til tredjemands telefon. Dette bevirkede, at tredjemands telefon blev bundet til mobilbanken, og dermed udgjorde et besiddelseselement. Tredjemand godkendte samtidig, at han kunne logge på med servicekoden, der blev afluret i klagerens netbank.
Den 30. januar 2024 blev der foretaget en kontooverførsel på 37.383 kr. fra klagerens konto -149 i banken til tredjemands konto, som klageren ikke kan vedkende sig.
Banken har anført, at kontooverførslen blev gennemført på tredjemands iPhone 14 pro, og at kontooverførslen blev godkendt i mobilbanken med servicekoden, der sammen med mobiltelefonen udgjorde stærk kundeautentifikation.
Klageren konstaterede efterfølgende, at der var hævet et beløb på hendes konto.
Ved tro og love-erklæring af 31. januar 2024 gjorde klageren indsigelse mod overførslen. Af tro og love-erklæringen fremgår blandt andet:
”…
Hændelsesforløb/ …
Hvornår og hvordan er transaktionen opdaget? Er beløbsmodtageren kendt af afsenderen? Atypiske hændelser? …
|
Jeg blev d. 29 Januar kl. 17:30 ca. ringet op fra Danske Bank tlf. 70123456 og blev oplyst at banken var blevet hacket som jeg havde læst i nyhederne d. 11 januar og at jeg var blevet ramt af dette. vi skulle derfor have sikret mine konti. Han oplyste min kunderådgivers navn [navn A] og at jeg havde haft møde med hende d. 4 januar kl 10 og at jeg tidligere havde haft [navn B] som rådgiver og at jeg har været kunde i Danske Bank i ca 20 år han fortalte at jeg arbejder hos [firma A] og kunne nævne mine 3 sidste arbejdspladser. Så… jeg troede på personen !!! han bad mig gå ind via Mitid og skulle lukke for at personer kunne hacke mine konti… desværre er det jo så det der er sket for mig !!!!! Jeg opdager næste formiddag d. 30 Januar at der er kommet nogle beskeder fra Danske Bank om at jeg har hævet flere store beløb på mine konti… og finder der ud af at min tlf. er lukket jeg kan ikke kan ringe fra den… jeg køre til [teleudbyder] og får skiftet mit Sim kort 2 gange og spære ALT jeg hænger der i 45 min i tlf. før jeg kommer igennem og får spæret mine konti, hvorefter jeg får spæret mit MitID… Kørte d. 31 om morgenen til [teleudbyder] og fik igen nyt Simkort i min tlf. hvorefter den virkede. Derefter til Borgerservice for nyt MitID i banken for at få kontoudskrift over mine konti direkte til politiet. Hjem og udfylde indsigelse til politi og bank. |
Uddybende oplysninger/…
|
Hvordan opbevarer du dit nemID eller MitID nøglekort, dit brugerID til netbank og dit password til netbank?/… Jeg har Mitid på min tlf. password til netbank på min tlf. |
|
… |
|
Hvem foretog benævnte overførsel/overførsler ud af kontoen? – Beskriv:/ … Jeg har IKKE foretaget nogle overførsler ud af mine konti så det må jo være vedkommende som har kontaktet mig. |
|
Er du blevet kontaktet af nogen der bad dig bekræfte dine bankoplysninger?/ … Ja… |
|
… |
…”
Den 1. februar 2024 anmeldte klageren forholdet til politiet. Klageren har fremlagt en udskrift af anmeldelsen og af kvittering for anmeldelse til politiet af 1. februar 2024.
Ved brev af 2. februar 2024 meddelte banken klageren, at den ville dække klagerens tab med fradrag af 8.000 kr., hvorfor den godtgjorde klageren 29.383 kr.
Klageren gjorde indsigelse mod bankens afgørelse af 2. februar 2024.
Ved e-mail af 7. marts 2024 fastholdt banken dens afgørelse af 2. februar 2024.
Parternes påstande
Den 17. marts 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal godtgøre hende 8.000 kr.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun er blevet hacket af en person, der udgav sig for at være fra banken. Hun fik misbrugt sit MitID, og svindleren hævede mange penge fra hendes konto.
Banken har behandlet sagen ensidigt. Den fokuserede alene på, at hun udleverede sit MitID, men ikke baggrunden herfor. Svindleren, hun talte med, kendte en række personlige oplysninger om hende. Hun havde anmodet banken om at oplyse, hvor personen havde disse oplysninger fra, men banken svarede hende ikke. Hvis det er muligt at få disse oplysninger i banken, så er der noget galt med bankens sikkerhedssystem. På grund af manglende sikkerhed er hun ikke længere kunde i banken.
Hendes mobiltelefon blev også hacket. Hackeren havde adgang til hendes MitID. Hun kunne ikke anvende sin telefon. Hun henvendte sig flere gange til sit teleselskab, som måtte udskifte hendes SIM-kort flere gange.
Banken opkrævede hende 8.000 kr., inden politiet havde afsluttet sin efterforskning. Det kan ikke være korrekt. Det må banken ikke.
Det er åbenlyst med alle de sager mod banken, som vælter frem i medierne, at hun ikke er alene om at have et problem med banken. Det må stoppes – og der bør være en konsekvens for banken.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren blev ringet op af en person, der udgav sig for at være banken. Efter instruks fra denne loggede klageren ind på sit MitID, hvor hun bestilte en ny aktiveringskode ved brug af pas og ansigtsgenkendelse. Aktiveringskode og midlertidig PIN-kode blev sendt på SMS til klagerens telefon.
SMS’en med den midlertidige PIN-kode indeholdt en advarsel om, at koden aldrig må deles med andre, hellere ikke en, som påstår at komme fra banken eller supporten. Aktiveringskoden og den midlertidige PIN kode blev brugt til at oprette MitID -547 på en telefon tilhørende svindleren. Klageren udleverede aktiveringskoden og den midlertidige PIN-kode til svindleren.
Svindleren brugte MitID -547 på sin mobiltelefon til at logge ind i klagerens mobilbank, som svindleren havde downloadet på sin mobiltelefon. Kontooverførslen på 37.383 kr. blev gennemført ved brug af klagerens servicekode.
Ved at udlevere aktiveringskoden og den midlertidige PIN-kode til svindleren udviste klageren groft uforsvarlig adfærd, der muliggjorde oprettelse af MitID -547 og adgangen til mobilbank på svindlerens telefon, hvor gennemførelsen af kontooverførslen blev udført.
Klageren har ikke bestridt bankens beskrivelse af hændelsesforløbet. Hændelsesforløbet vedrørende scanning af pas og ansigtsgodkendelse stemmer overens med forklaringen i klagerens politianmeldelse. Klageren anerkender selv, at hun har udleveret sit MitID til svindleren.
Klageren hæfter som følge af den groft uforsvarlige adfærd for 8.000 kr., jf. betalingslovens § 100, stk. 4.
Banken er ikke bekendt med, hvordan svindleren er kommet i besiddelse af oplysningerne om klageren. Banken afviser, at der har været sikkerhedsbrud i banken, som har medført, at svindleren er kommet i besiddelse af oplysningerne via bankens systemer.
Banken var berettiget til at behandle indsigelsessagen, selvom sagen ikke var afsluttet hos politiet. Banken har ikke i øvrigt handlet ansvarspådragende.
Banken har til støtte for afvisningspåstanden anført, at hvis klageren bestrider hændelsesforløbet, så vil en vurdering af sagen kræve yderligere bevisførelse i form af vidne- og/eller partsforklaring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor hun havde en konto -149.
Klageren har oplyst, at hun den 29. januar 2024 kl. 17:30 blev kontaktet af en person M, som ringede fra bankens telefonnummer, som meddelte hende, at banken var blevet hacket. Person M fortalte, at der var mistanke om, at det omhandlede hende. Klageren har oplyst, at hun anmodede person M om at bekræfte, at han var fra banken, hvorefter person M korrekt oplyste, hvem hendes bankrådgiver var, hvornår hun sidst havde haft møde med bankrådgiveren, hvem hendes tidligere bankrådgiver var, hvor klageren arbejdede, hvor hun tidligere havde arbejdet, samt at hun havde været kunde i banken siden 2007. For at sikre klageren mod svindel, skulle klageren sammen med person M slette enheder, som var tilføjet hendes konto ved at anvende klagerens pas og ansigtsscan.
Banken har fremlagt en udskrift af klagerens MitID-log, og har anført, at der den 29. januar 2024 blev bestilt en aktiveringskode og midlertidig PIN-kode til MitID, som blev sendt til klagerens mobiltelefon. Klageren sendte aktiveringskoden og den midlertidige PIN-kode til tredjemand, som anvendte disse til at oprettet MitID -547 på tredjemands iPhone 14 pro (model identifier 15,2).
Banken har oplyst, at tredjemand ved brug af MitID -547 loggede ind på klagerens netbank og aflurede klagerens servicekode.
Banken har herudover oplyst, at tredjemand herefter installerede mobilbank på sin egen mobiltelefon og loggede ind med MitID -547. Tredjemand foretog en devicebinding af mobilbanken til tredjemands telefon. Dette bevirkede, at tredjemands telefon blev bundet til mobilbanken, og dermed udgjorde et besiddelseselement. Tredjemand godkendte samtidig, at han kunne logge på med servicekoden, der blev afluret i klagerens netbank.
Den 30. januar 2024 blev der foretaget en kontooverførsel på 37.383 kr. fra klagerens konto -149 i banken til tredjemands konto, som klageren ikke kan vedkende sig.
Klageren gjorde indsigelse mod kontooverførslen. Ved brev af 2. februar 2024 meddelte banken klageren, at den ville dække klagerens tab med fradrag af 8.000 kr., hvorfor den godtgjorde klageren 29.383 kr.
Ankenævnet lægger til grund, at overførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved kontooverførslen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30
Ankenævnet finder det godtgjort, at kontooverførslen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Tre medlemmer – Bo Østergaard, Bjarke Levinsky Svejstrup og Signe Vejen Hansen – udtaler:
Vi lægger til grund, at klageren må have videregivet sine personlige MitID-oplysninger til tredjemand, hvorved tredjemand har kunnet foretage aktivering af et nyt MitID-identifikationsmiddel på sin egen enhed og foretage den ikke-vedkendte kontooverførsel.
Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 kr.
Vi finder, at banken ikke i øvrigt har handlet ansvarspådragende.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Elizabeth Bonde – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren.
Der træffes afgørelse efter stemmeflertallet.
Klageren får herefter ikke medhold i klagen.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.