| Sagsnummer: | 39/2025 |
| Dato: | 20-06-2025 |
| Ankenævn: | Bo Østergaard, Karin Sønderbæk, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Poul Erik Jensen. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Krav om tilbageførsel af netbanksoverførsel, der blev foretaget i forbindelse med bedragerisk telefonopkald. |
| Indklagede: | Nordea Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor han havde en konto og netbankadgang.
Den 17. maj 2024 blev der foretaget en netbanksoverførsel på 47.068 kr. fra klagerens konto -712 i banken til tredjemands konto -261 i pengeinstitut P.
Banken har oplyst, at kontooverførslen blev gennemført ved, at klageren loggede på sin netbank ved at indtaste sit brugernavn og adgangskode til MitID samt godkendelse med MitID. Det samme gjorde han, da han skulle gennemføre overførslen, men som en ekstra sikkerhed blev der sendt en SMS til klagerens telefonnummer -296, til hvilken han skulle svare ”JA”, hvis overførslen skulle gennemføres.
Banken har fremlagt en SMS-log over SMS’er sendt til telefonnummer -296 den 17. maj 2024, hvoraf det fremgår, at der blev sendt en SMS med indholdet:
”OBS! Hvis en anden har bedt dig overføre penge, kan det være svindel. I tvivl? Ring til os via din mobilbankapp eller på 70 33 11 01. Bekræft overførsel af 47.068,00 kr. til konto ... 261. Svar JA, hvis den skal gennemføres - NEJ, hvis den ikke skal gennemføres. Venlig hilsen Nordea.’’
Det fremgår af loggen, at SMS’en blev besvaret med ”JA”.
Banken har oplyst, at overførslen blev korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Om baggrunden for transaktionen har klageren oplyst, at han den 15. maj 2024 modtog en SMS fra en afsender, som udgav sig for at være Gældsstyrelsen. SMS’en indgik i en allerede eksisterende SMS-tråd med det offentlige, hvor det fremgik, at han havde modtaget digital post. I SMS’en fremgik et link, som han åbnede den 16. maj 2024, hvorefter han blev ført til en side, hvor layoutet var identisk med det, som MitID bruger. På siden blev han bedt om at logge ind med MitID og afgive en række oplysninger. Han blev afbrudt i udfyldelsen og fuldførte den derfor ikke.
Klager har fremlagt en kopi af SMS-beskeden.
Klageren har endvidere oplyst, at han den 17. maj 2024 kl. 12:33 modtog et opkald fra et telefonnummer, som fremstod som Nordea Danmarks hovednummer. Han blev i telefonen mødt af en person, som præsenterede sig som Person A fra bankens cyber security afdeling. Personen oplyste ham om, at bankens anti-svindelanalytikere havde identificeret, at der på den ene af hans konti var reserveret et beløb på 50.000 kr. til køb af fem iPhones og på en anden konto 20.000 kr. til køb af to Macbook.
Personen fik ham overbevist om, at den eneste måde at standse betalingerne på, var ved at overføre indestående på kontiene til en nyoprettet kreditorbeskyttet konto i pengeinstitut P.
Efter samtalen ringede han til Nordea Danmark for at få bekræftet, at banken havde ringet til sig med henblik på at undgå svindel, og at han netop havde overført 47.068 kr. til en konto i P. Banken oplyste, at den ikke havde kontaktet ham og gik herefter i gang med at spærre hans konti og MitID og spore overførslen. Banken bad ham kontakte politiet og henvende sig til nærmeste Nordea filial.
Ved tro- og loveerklæring af 21. maj 2024 gjorde klageren indsigelse mod kontooverførslerne overfor banken. Det fremgår blandt andet af erklæringen, at klageren overførte 47.068 kr. til kontoen i P som en straksoverførsel, som han blev instrueret i af personen.
I forbindelse med indsigelsen krydsede klageren følgende punkt af:
…
|
|
Jeg har ikke selv foretaget, indtastet, accepteret eller beordret andre til at lave transaktioner, hverken med min Netbank, Mobilbank App, eller ved telefonisk henvendelse fra Nordea. |
|
|
Jeg har selv foretaget de ovenstående transaktioner med henblik på investering af midlerne |
|
X |
Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne |
…
Banken afviste klagerens indsigelse og oplyste, at den i forlængelse af indsigelsen havde været i kontakt med P med henblik på at få beløbet tilbageført, men at det ikke var lykkedes. Banken oplyste endvidere, at klageren kunne have et erstatningskrav mod svindleren, hvis vedkommende dømmes, og at det således var afgørende, at han anmeldte sagen til politiet.
Parternes påstande
Den 21. januar 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal dække hans tab, udover selvrisikoen på 8.000 kr. Differencen mellem klagerens tab og selvrisikoen udgør 39.068 kr.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at overførslen bør anses som uautoriseret, på trods af, at den er godkendt via MitID. Betalingslovens § 100, stk. 4 bør finde anvendelse, og Nordea Danmark skal således dække tabet udover 8.000 kr. i forbindelse med, at han blev udsat for svindel igennem et telefonopkald.
Forløbet bestod af to lag, hvor svindlerne var bevidste om, at de ikke blot skulle nøjes med at bruge de indsamlede oplysninger fra deres phishing via linket fra afsenderen, som udgav sig for at være Gældsstyrelsen, til at optage lån eller begå anden økonomisk kriminalitet, da dette lettere ville kunne stoppes af banken. I stedet benyttede de oplysningerne fra phishingen til groft at manipulere ham til selv at overføre pengene som en straksoverførsel, da de ville risikere at miste pengene igen, hvis de blev tilbageført fra den modtagende bank. Der var tale om udvidet phishing, hvor oplysninger indhentet fra phishing gjorde, at svindlerne på hans bekostning var i stand til at svindle sig til 47.068 kr.
Svindlen var så omfattende, professionel, organiseret og groft manipulerende, at det ikke var muligt for et fornuftigt alment menneske at gennemskue, at der ikke var tale om et opkald fra banken. Der var derfor ikke er tale om en autoriseret overførsel, jf. betalingslovens § 82.
Han har handlet forsvarligt ved undervejs at stille kritiske spørgsmål og bedt om yderligere verificering, inden pengene blev overført.
Følgende forhold gjorde, at han blev svindlet til at overføre pengene:
- 1) Phishing-SMS’en indgik i samme tråd med øvrige SMS’er fra offentlige myndigheder, hvor han blev notificeret om, at han havde modtaget digital post fra offentlige myndigheder.
- 2) Han var i gang med at omlægge et lån hos Nordea Danmark og formodede, at Gældsstyrelsen havde en relation til, at lånet skulle tinglyses.
- 3) Han skulle benytte MitID i linket i SMS’en, som man normalvis gør, når man agerer i offentligt digitalt regi og efterfølgende bekræfte med CPR-nummer.
- 4) Svindlerne ringede fra Nordea Danmarks hovednummer, som fremgik af bankens hjemmeside.
- 5) Svindlerne var i besiddelse af oplysninger om ham, der verificerede, at de var fra Nordea Danmark.
- 6) Svindlerne talte flydende og fejlfrit dansk og formåede at vejlede ham gennem Nordea Danmarks hjemmesider, ligesom en Nordea Danmark-medarbejder ville kunne. Der blev desuden benyttet en pausetone undervejs i samtalen, ligesom hos Nordea Danmark. Desuden benyttede svindlerne sig af fagtermer inden for cybersikkerhed og bankvirksomhed, der gjorde, at de fremstår meget troværdige.
Nordea Danmark har anført, at overførslen var en autoriseret overførsel, og at den blev korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Klageren anerkendte i tro & love erklæringen, at han selv foretog overførslen. Han har bl.a. beskrevet dette og har videre sat ”X” i feltet ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”.
Herudover svarede klageren ”JA” til den SMS, som han modtog vedrørende overførslens gennemførelse. Teksten i SMS´en var meget tydelig omkring, hvad det omhandlede, og med klagerens ”JA” godkendte han gennemførslen.
Der kan derfor ikke være tvivl om, at overførslen er autoriseret, og at Nordea på den baggrund ikke er forpligtet til at godtgøre klageren.
Klageren kan derfor heller ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.
Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren har foretaget overførslen via sin netbank.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor han havde en konto og netbankadgang. Den 17. maj 2024 blev der foretaget en netbanksoverførsel på 47.068 kr. fra klagerens konto i banken til tredjemandskonto i pengeinstitut P. Banken har oplyst, at inden overførslen blev effektueret, blev den bekræftet ved en kontrol-SMS sendt til klagerens telefonnummer, som han besvarede med et ja.
Om baggrunden for transaktionen har klageren oplyst, at han blev kontaktet telefonisk af en person, som udgav sig for at være fra Nordea Danmark. Personen fik ham til at overføre 47.068 kr. til et kontonummer i P.
Nordea Danmark forsøgte forgæves at få beløbet retur fra P. Klagerens tab udgjorde herefter 47.068 kr.
Tre medlemmer – Bo Østergaard, Karin Sønderbæk og Mette Lindekvist Højsgaard – udtaler:
Ud fra klagerens egne oplysninger om, at han selv foretog overførslen, finder vi, at transaktionen blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionen i forbindelse med bedragerisk telefonopkald.
Vi finder heller ikke, at Nordea Danmark på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 39.068 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.