| Sagsnummer: | 490/2022 |
| Dato: | 09-05-2023 |
| Ankenævn: | Henrik Waaben, Jimmy Bak, George Wenning, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsler foretaget i forbindelse med bedragerisk telefonopkald. |
| Indklagede: | Nordea Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsler foretaget i forbindelse med bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Bank, hvor hun havde konti og netbankadgang.
Den 24. september 2022 blev klageren ringet op af en person, P, der udgav sig for at være fra banken. P oplyste, at politiets IT-afdeling og banken havde registreret, at klagerens konto var blevet hacket, og at de resterende midler skulle overføres til en fælles konto for danske pengeinstitutter til brug for den slags situationer. Klageren foretog den 24. september 2022 mellem kl. 15:20 og 17:43 seks overførsler, som i alt beløb sig til 306.352 kr.
Banken har oplyst, at overførslerne blev foretaget ved, at klageren loggede på sin netbank i banken ved at indtaste brugernavn og adgangskode til NemID samt godkendelse med NemID. Overførslerne blev godkendt ved brug af NemID. Som en yderligere sikkerhed blev der, ved alle overførslerne, fremsendt en SMS til klagerens telefonnummer, hvortil der skulle svares ”JA”, for at bekræfte overførslerne. Banken har oplyst, at SMS’erne vedrørende de seks overførsler blev besvaret med ”JA”.
Der er i sagen fremlagt en SMS, hvoraf fremgår:
”Bekræft overførsel af 52.931,00 kr. til konto … 439 152. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”
Banken har oplyst, at klageren telefonisk kontaktede banken den 24. september 2022, og at klagerens NemID blev spærret. Klageren oplyste i samtalen med banken, at hun ikke havde udleveret personlige koder og ikke mente, at hun havde indtastet overførslerne selv, hvorfor banken bad hende om at få hendes computer undersøgt hos et IT-firma.
Banken har fremlagt en erklæring fra et IT-firma af 7. oktober 2022, hvoraf det fremgår, at der ikke er fundet malware eller andet hacker-software på klagerens computer.
Den 26. september 2022 gjorde klageren indsigelse ved en tro- og loveerklæring over for banken. I indsigelsesblanketten oplyste hun blandt andet, at hun ikke på noget tidspunkt var blevet bedt om at oplyse sit NemID brugernavn og password til personer, hun ikke kendte, at hun ikke modtog et telefonopkald, hvori hun blev bedt om at oplyse NemID brugernavn og koder, og at hun selv havde foretaget transaktionerne på baggrund af tredjemands urigtige oplysninger omkring formålet med overførslerne. Klageren oplyste endvidere, at forholdet var anmeldt til politiet.
Klageren har anført, at det på telefonskærmen fremgik at opkaldet stammede fra ”politiet i Nykøbing Sjælland pk 8”. Der er i sagen fremlagt et skærmbillede, hvoraf fremgår kontaktoplysninger på Nærpolitiet, Nykøbing Sj.
Det er lykkes banken at få i alt 16.798 kr. retur fra de modtagende pengeinstitutter, således at klagerens tab beløber sig til i alt 289.554 kr. Banken har afvist at tilbageføre beløbet til klageren.
Parternes påstande
Den 24. november 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre beløbet.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren, som under klagesagen er repræsenteret af sin ægtefælle, har anført, at hun har handlet på baggrund af de SMS’er, hun modtog, og som hun troede var fra banken og politiet.
Hackerne har overtaget hendes identitet ved et ID-tyveri og efterfølgende lavet hendes personlige adgangskode om. For at overføre pengene har de bedt hende godkende med MitID for at opfylde tre-faktorgodkendelsen.
Der er overført beløb på mellem 45.000 og 55.000 kr. pr. gang flere gange en lørdag eftermiddag, uden at bankens sikkerhedssystem har reageret.
Hun blev den 21. september 2022 ringet op af en person, M, fra banken, der ville have nogle oplysninger. Hun afviste og ringede til banken og efterlod sit telefonnummer. Banken kendte ikke noget til den pågældende. Denne hændelse kendte banken til, da hun var i forbindelse med de falske medarbejdere fra banken, hvilket yderligere gjorde opkaldet troværdigt.
Hun bad, under samtalen med P, sin ægtefælle om at kontakte politiet for at kontrollere opkaldet. Politiet kunne oplyse, at der var tale om svindel, og da P hørte, at klageren nu talte med det rigtige politi, blev forbindelsen afbrudt.
Hun fik hurtigt spærret konti, kort, NemID og MitID, og hun er i besiddelse af en log fra mobilselskabet, der bekræfter den prompte reaktion. Hun opfyldte sin pligt til at begrænse skadevolders ansvarspådragende handling.
Banken var bekendt med de konti, der var overført beløb til, men undlod at blokere eller tilbageføre beløbene, selvom den kunne have gjort det lige så hurtigt, som den spærrede hendes kort og konti. I betalingsloven er der ikke omtalt fristdage, bankdage eller andre muligheder for at udskyde en blokering eller tilbageførsel.
Af den af banken fremlagte transaktionsliste fremgår, hvilke konti der er overført til, hvilket vil sige at banken har været vidende om de uretmæssige modtagere.
Den usikkerhed, der er forbundet med tidsforskydningen mellem tidspunktet for overførsel og for bogføring, ligger i bankens system og er uden for kundens indflydelse. Tidsforskydningen betyder, at svindlerne er i stand til at tømme deres konti, før bogføring finder sted i banken.
Banken har undladt at opfylde sin tabsbegrænsningspligt.
Nordea Danmark har anført, at overførslerne alle er autoriserede overførsler.
Overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Klageren har anerkendt i tro- og loveerklæringen, at hun selv foretog overførslerne. Det er således uomtvistet, at klageren selv foretog overførslerne og godkendte dem via sin netbank ved brug af sit NemID og efterfølgende godkendte overførslerne via SMS.
Der er ligeledes ikke tale om phishing eller identitetstyveri i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af NemID, da klageren hverken udleverede NemID eller SMS-kode til den ”falske Nordea medarbejder”, og denne person var ikke logget på klagerens netbank.
Det bemærkes, at betalingslovens § 112 ikke finder anvendelse i dette tilfælde, da klageren selv har foretaget overførslerne via sin netbank.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Bank.
Den 24. september 2022 blev der med klagerens NemID foretaget seks overførsler på i alt 306.352 kr. fra klagerens konti i banken til tredjemands konti i andre pengeinstitutter.
Om baggrunden for transaktionerne har klageren oplyst, at hun blev ringet op af en person, P, der udgav sig for at være fra banken, og som oplyste hende om, at politiets IT-afdeling og banken havde registreret, at hendes konti var blevet hacket, og at hun skulle overføre de resterende midler til en sikker konto oprettet af de danske pengeinstitutter.
Klageren har i sin indsigelse til banken erkendt at have foretaget overførslerne. Banken har oplyst, at transaktionerne blev gennemført ved brug af klagerens NemID, og at der som en yderligere sikkerhedsforanstaltning til frigivelse af overførslerne blev sendt SMS’er til klagerens telefonnummer, som hun bekræftede.
Tre medlemmer – Henrik Waaben, Jimmy Bak og George Wenning – udtaler:
Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at hun blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.
Vi finder, at banken ikke på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klagerne ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor hun har udleveret oplysninger, herunder NemID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klagerne bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klagerne skal have 281.554 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.