Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald.

Sagsnummer:25/2023
Dato:30-10-2023
Ankenævn:Henrik Waaben, Morten Winther Christensen, Mette Lindekvist Højsgaard, Jacob Ruben Hansen og Kim Korup Eriksen.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald.
Indklagede:Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald.

Sagens omstændigheder

Klagerne, M og H, var kunder i Lån & Spar Bank.

Den 15. september 2022 blev der foretaget otte transaktioner på i alt 344.352 kr. fra klagernes fælles konto og H’s opsparingskonto i banken til tredjemands konti.

Om baggrunden for transaktionerne har klagerne oplyst, at H den 15. september 2022 blev ringet op af en person, der udgav sig for at være fra Rigspolitiet og derefter foregav at stille hende om til banken. Personen, der udgav sig for at være fra Rigspolitiet, kendte H’s navn, navnet på klagernes bank og nummeret på deres fælles konto. Personen oplyste bl.a., at svindlere var i gang med at foretage flere transaktioner fra klagernes konto. En af personerne, der udgav sig for at være fra banken, oplyste, at yderligere overførsler skulle forebygges ved at overføre klagernes penge til nogle sikkerhedskonti. H loggede på netbank ved brug af sit MitID, hvorefter personen dikterede de kontonumre, pengene skulle overføres til.

Banken har anført, at transaktionerne blev gennemført af H ved brug af hendes Nem-ID og personlige kode, og at overførslerne desuden blev godkendt ved indtastning af SMS-engangskoder sendt til H’s telefonnummer. Ved transaktionerne blev der logget på netbanken fra samme IP-adresse og browser, som H normalt benyttede.

Banken har fremlagt et skærmbillede med en log fra bankens datacentral SDC A/S og har med henvisning hertil oplyst, at der blev sendt SMS-engangskoder til telefonnummer -43, der er H’s normale telefonnummer.

Af loggen fremgår bl.a.:

Timestamp

Type

Content

Operator

Shortcode

Medi

From

Status

Price

22-09-15 17:50:48

MT

SDC

 [Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 17:04:45

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 16:57:05

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 15:53:08

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 15:39:27

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 15:15:50

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 15:03:09

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 14:45:24

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 14:29:35

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

22-09-15 14:12:23

MT

SDC

[Navn på operatør]

dk.50190

*sdc

Lån & Spar

Successfully Delivered

0.00 DKK

Af en yderligere kolonne med overskriften ”Content” fremgik noget af teksten fra SMS’erne.

Banken har oplyst, at følgende tekst fremgik af SMS’erne:

”Udlever aldrig denne kode til andre heller ikke til Lån & Spar. Hvis du kan godkende din overførsel på […] kr. til konto […], skal du indtaste denne engangskode: […]. Er du ikke i gang med at overføre penge, så kontakt straks banken på 33782000 og spær dit NemID.”

Banken har anført, at SMS-engangskoderne alene blev sendt til telefonnummer -43, og at transaktionerne ikke ville kunne gennemføres, medmindre engangskoderne blev indtastet i netbanken. Banken har endvidere anført, at engangskoderne fra SMS’erne straks blev indtastet i netbanken, hvorefter transaktionerne blev gennemført.

Klagerne har bestridt, at H anvendte SMS-engangskoderne.

Banken har oplyst, at registreringen og bogføringen af transaktionerne er sket korrekt.

Den 16. september 2022 kontaktede klagerne banken telefonisk og efterspurgte to navngivne personer, der ikke eksisterede, hvorved de fandt ud af, at de var blevet udsat for svindel.

Klagerne anmeldte sagen til politiet.

Ved e-mail af 19. september 2022 til H anmodede banken om, at H underskrev en tro og love-erklæring.

H svarede bl.a., at hun ikke havde afgivet en skriftlig forklaring eller modtaget en udskrift af sin mundtlige forklaring, som hun kunne bekræfte i erklæringen.

Ved e-mail af samme dato til H sendte banken den forklaring, som banken havde nedskrevet efter dens telefoniske samtale med H, og banken bad om H’s tilføjelser/rettelser hertil.

Samme dag svarede H, at hun i forklaringen havde indsat tilføjelser og rettelser. Af forklaringen fremgik herefter:

”[H] har mistet sit Visa Dankort 11.09. Det blev opdaget inden for få timer, og kortet blev spærret og et nyt bestilt.

[H] bliver om formiddagen 15.09 ringet op af en Kasper Lindevang fra Rigspolitiets IT-afdeling. Han forklarer hende at nogen har oprettet et lån på 52.222 kr. i hendes navn og nu er de ved at undersøge sagen og har brug for nogle oplysninger fra hende. Hun får oplyst et ”sagsnummer” som sagen har hos politiet. (722225-004). Han fortæller at svindlerne også har adgang til hendes konto, som de er i gang med at tømme. Han siger der er to overførsler i gang, en på 38.538 kr. og en på 25.000 kr. Hun spørger til om hvor hun kan vide at det reelt er politiet er ringer.

Han svarer at det er supergodt hun spørger om den slags og så forslår han at hun ringer til politiet og tjekker op på navnene. Så giver han hende et telefonnummer, som hun ringer til og får bekræftet navnet. Hun tænker åbenbart ikke over, at det var ham hun fik nummeret af. (slettes)

Da hun nævner, at hun har mistet sit Visa Dankort, siger han, at det kan han godt se. Han fortæller om den omsiggribende økonomiske kriminalitet og hvor travlt de har med at opklare sager. […]

[…]

Hun bliver igen usikker og vil kontakte banken. Han siger at han da for at spare tid kan ringe banken op og stille hende igennem.

Han får stillet hende igennem til ”sikkerhedsafdelingen” – til en der hedder Magnus Holm, der får hende overbevist om han er fra Lån & Spar. Han tilbyder af stille nogle sikre konti til rådighed, hvor pengene kan stå natten over og så kan de tilbageføres. De taler sammen i flere timer og på et tidspunkt siger han, at han har fri og overlader telefonen til en kollega der hedder Jesper Andersen. Han bekræfter hele forløbet for hende og får hende dermed endelig overbevist om det er rigtigt og så overfører hun sine penge til de kontonumre hun får besked på. […]

[…]

[H] oplyser at de foregav at kende hendes oplysninger fra start, og at hun nærmest bare skulle bekræfte dem. Men at hun undervejs i det lange forløb får udleveret sit cpr. nummer.

Der er sendt ny NemID midlertidig kode til hende og aftalt at hun laver ny kode. […]”

Ved e-mail af 22. september 2022 til H afviste banken klagernes indsigelse og oplyste, at 586,62 kr. ville blive tilbageført til H’s konto.

Ved e-mail af 4. oktober 2022 til banken skrev H, at hun den 28. september 2022 opdagede, at hun havde modtaget SMS’er af 15. september 2022 fra banken vedrørende overførslerne. Endvidere skrev H, at hun ikke tidligere havde set SMS’erne og ikke på noget tidspunkt havde anvendt engangskoderne i SMS’erne.

Parternes påstande

Den 10. januar 2023 har klagerne indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal betale 343.336 kr. til dem.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klagerne har bl.a. anført, at bankens sikkerhedssystem har svigtet fatalt.

Banken bør erstatte deres tab på 343.336 kr. (344.000 kr. fratrukket 664 kr.)

Svindlerne var vedholdende. Bedrageriet skete et par uger før, den slags svindel for alvor blev omtalt i medierne. Så H var ikke tilstrækkeligt mistænksom.

Banken påstår, at H var alene om at foretage transaktionerne. H medvirkede til transaktionerne, og de skete fra hendes computer, men det var svindlerne, der foretog transaktionerne med H som et nyttigt værktøj.

Under samtalen med svindlerne blev der ikke på noget tidspunkt talt om SMS’er. Hverken hun eller andre brugte hendes telefon til andet end samtalen med svindlerne.

Banken anfører, at overførslerne blev godkendt ved indtastning af SMS-engangskoderne, der alene blev sendt til H’s telefonnummer. Banken anfører endvidere, at engangskoderne straks blev indtastet i netbanken af H, hvorefter transaktionerne blev gennemført. Dette bestrides. Banken har ikke fremlagt et bevis herfor. Den har alene fremlagt en ubrugelig log, der viser, at engangskoderne er sendt til H’s telefon. Loggen viser ikke, at H reagerede på dem. Banken påstår, at den har dokumenteret, at der skete indtastning af engangskoderne. Det er usandt. Bankens bemærkning om, at den ”ikke kan komme det nærmere”, kan de ikke acceptere. Bankens beviser er tynde og modstridende.

H har ikke nægtet at have modtaget SMS’erne, men hun nægter på tro og love at have set eller handlet på dem den 15. september 2022 eller nogen anden dag.

Det var først, da hun ville slette en anden SMS tretten dage efter svindlen, at hun så SMS’erne fra banken. Da hverken H eller andre havde set koderne inden da, har H i sagens natur heller ikke indtastet koderne, og dermed burde transaktionerne ikke have kunnet finde sted. H har flere vidner på, at hun først så SMS’serne på sin telefon 13 dage efter svindlen.

De forstår teksten i SMS’erne sådan, at hvis overførslen kan godkendes, så skal engangskoden indtastes, og hvis overførslen ikke kan godkendes, eller der ikke reageres på SMS’en, så vil overførslen blive annulleret.

Bankens system skal registrere aktiviteterne – såvel afsendelse fra banken af SMS’er, som de påståede indtastninger af engangskoderne. Systemet bør reagere, hvis transaktioner forsøges gennemført, uden at koderne er indtastet.

De undrer sig over bankens passivitet over for dem som kunder i forbindelse med svindelen. De forventer, at deres bank passer på deres penge og har de tilstrækkelige sikkerhedssystemer, der sikrer, at fremmede ikke kan snyde sig til deres penge, samt at sikkerhedssystemerne virker. 

De blev ikke på noget tidspunkt den 15. september 2022 kontaktet personligt af banken med en opfølgning på SMS’erne eller med en kontrolopringning i forhold til, om det kunne være rigtigt, at H var ved at tømme deres fælles konto og hendes opsparing med et for dem meget stort beløb på 344.000 kr. med nogle overførsler, der var atypiske for deres normale bankforretninger.

Transaktionerne blev tilsyneladende gennemført uden kontrol eller på grund af et svigt i bankens sikkerhedssystem.

Hvis banken havde haft et advarselssystem, så ville H have ringet og talt med en ægte medarbejder i banken, og så var udfaldet blevet et andet. Ulykken kunne have været undgået.

Banken anfører, at H’s NemID blev benyttet. Det var ikke NemID, men MitID, der blev brugt.

Lån & Spar Bank har til støtte for frifindelsespåstanden anført, at betalingslovens § 100 ikke finder anvendelse, da der ikke var tale om uautoriserede transaktioner.

På grundlag af H’s oplysninger om, at hun selv foretog transaktionerne og ikke videregav sine personlige oplysninger, udelukker det, at en uvedkommende tredjemand skulle have foretaget transaktionerne.

Der var ved de pågældende transaktioner logget ind fra samme IP-adresse og samme browser, som H normalt benytter. H’s NemID blev benyttet ved overførslerne, ligesom der blev sendt SMS-engangskoder til hende.

Overførslerne kunne kun gennemføres, såfremt SMS-engangskoderne blev indtastet. SMS-engangskoderne blev sendt til H’s telefonnummer, og H har bevist, at disse engangskoder var på hendes telefon.

Det må lægges til grund, at H selv foranledigede overførslerne samt havde forsæt til at foretage overførslerne. Det var derfor hendes hensigt at overføre pengene til de af svindleren oplyste kontonumre. Uagtet årsagen til overførslerne, kan det ikke ændre på, at H ønskede/havde til hensigt at foretage overførslerne.

Det var H selv, der loggede på netbanken, det var H selv, der indtastede de nødvendige oplysninger, og det var H selv der trykkede på ”overfør”.

Banken har dokumenteret, at SMS-engangskoderne blev sendt til H’s telefonnummer, at der herefter skete indtastning af koderne, og at bankens transaktioner blev gennemført. Banken kan ikke komme dette nærmere, men kan kun henvise til de faktuelle oplysninger i sagen. Banken var ikke fysisk til stede, da koderne blev indtastet, hvorfor banken blot har de faktuelle IT-tekniske logs at henholde sig til. Disse logs viser, at der blev sendt flere SMS-engangskoder til H’s telefonnummer, og at disse koder blev indtastet.

Banken har ingen indikationer på, at der var tale om uautoriserede overførsler, da der blev logget på H’s netbank med hendes 2-faktor sikkerhedsforanstaltning med samme IP-adresse som altid, og der blev foretaget overførsler 100 % foranlediget af H selv, samt at der blev godkendt med de SMS-engangskoder, der blev sendt til H’s telefonnummer.

Ankenævnets praksis understøtter afvisningen af godtgørelse til klagerne.

Banken har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klagerne og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Klagerne, M og H, var kunder i Lån & Spar Bank.

Den 15. september 2022 blev der foretaget otte transaktioner på i alt 344.352 kr. fra klagernes fælles konto og H’s opsparingskonto i banken til tredjemands konti.

Om baggrunden for transaktionerne har klagerne oplyst, at H den 15. september 2022 blev ringet op af en person, der udgav sig for at være fra Rigspolitiet og derefter foregav at stille hende om til banken. En af personerne, der udgav sig for at være fra banken, oplyste, at overførsler fra klagernes konti skulle forebygges ved at overføre deres penge til nogle sikkerhedskonti. H loggede på netbank ved brug af sit MitID, hvorefter personen dikterede de kontonumre, pengene skulle overføres til.

Banken har anført, at transaktionerne blev gennemført af H ved brug af hendes Nem-ID og personlige kode, og at overførslerne blev godkendt ved indtastning af SMS-engangskoder sendt til H’s telefonnummer.

Klagerne har anført, at H benyttede sig af MitID og ikke anvendte SMS-engangskoderne.

Banken tilbageførte 586,62 kr. til H’s konto.

Ankenævnet lægger til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder forudsætter en bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klagerne får klagegebyret tilbage.