Indsigelse mod netbanktransaktioner i forbindelse med tele-fonisk henvendelse fra en person, der udgav sig for at være fra politiet. Videregivelse af NemID-oplysninger og bekræf-tende svar på kontrol SMS’er vedrørende overførsler

Sagsnummer:129/2021
Dato:20-12-2021
Ankenævn:Bo Østergaard, Karin Duerlund, Kristian Ingemann Petersen, Morten Bruun Pedersen, Anna Marie Schou Ringive.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod netbanktransaktioner i forbindelse med tele-fonisk henvendelse fra en person, der udgav sig for at være fra politiet. Videregivelse af NemID-oplysninger og bekræf-tende svar på kontrol SMS’er vedrørende overførsler
Indklagede:Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse fra en person, der udgav sig for at være fra politiet. Videregivelse af NemID-oplysninger og bekræftende svar på kontrol SMS’er vedrørende overførsler.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde en grundkonto med et tilhørende betalingskort og netbankadgang.

Lørdag den 20. februar 2021 om aftenen blev klageren ringet op af en person, P, som udgav sig for at være fra politiet. P forklarede klageren, at der var blevet optaget et lån i hans navn, og at dette havde udløst en alarm hos politiet. For at finde ud af hvorledes og af hvem klagerens oplysninger blev misbrugt, var det nødvendigt at sætte et sporingssystem i gang. P forklarede også klageren, at der formentlig var installeret malware på hans telefon.

I løbet af samtalen videregav klageren sine NemID-oplysninger til P. Herefter oplyste P, at første trin i sporingen var, at der skulle laves nogle ”fiktive kort køb” med klagerens betalingskort. Klageren godkendte disse køb med sin NemID-nøgleapp. Banken har oplyst, at klageren ikke har gjort indsigelse mod disse transaktioner.

Klageren har oplyst, at P herefter installerede og aktiverede NemID-nøgleappen til klagerens NemID på sin egen enhed og klagerens adgang til sin nøgleapp på sin telefon blev fjernet.

P forklarede, at næste trin i sporingen var, at klagerens penge hos Nordea Danmark skulle overføres til en sikringskonto i et andet pengeinstitut, hvorefter han ville modtage dem retur efter minimum 12 timer.

Søndag den 21. februar 2021 i perioden fra kl. 00:20 til kl. 05:09 blev der foretaget fire netbankoverførsler, tre på 99.000 kr. og en på 86.077,06 kr., fra klagerens konto til tredjemands konto i et andet pengeinstitut. Klageren har oplyst, at han selv indtastede overførselsoplysningerne i netbanken og svarede ”JA” på de kontrol SMS’er, som banken sendte til ham.

Den 21. februar 2021 henholdsvis kl. 00:19, kl. 01:53, kl. 03:04 og kl. 05:09 sendte banken en SMS til klagerens telefonnummer med følgende tekst:

”Bekræft overførsel af [xx] kr. til konto … [sidste seks cifre]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea.”

Efter at klageren svarede ”JA” til, at overførslerne skulle gennemføres, sendte banken den 21. februar 2021 henholdsvis kl. 00:20, kl. 01:54, kl. 03:05 og kl. 05:09 en SMS til klagerens telefonnummer med følgende tekst:

”Overførslen på [xx] kr. gennemføres. Venlig hilsen Nordea.”

Ved en tro- og loveerklæring gjorde klageren efterfølgende indsigelse over for banken mod kontooverførslerne på i alt 383.077,06 kr. og anførte, at beløbet var uretmæssigt hævet på hans konto. Klageren oplyste, at han benyttede en Samsung Galaxy S7 telefon. I rubrikken ”Hændelsesforløb” anførte han blandt andet:

”Jeg bliver ringet op kl. 20:38 af en mand der udgiver sig for at være fra [politiet] (nummeret vist på skærmen var [telefonnummer], hvilket stemte med hvad han sagde), fra deres afdeling med økonomisk kriminalitet. Han fortalte, at nogen havde optage lån (173.000 kr., mener jeg det var) hos [pengeinstitut] ved brug af mine oplysninger og NemID, og da koder var blevet forsøgt trukket fra forskellige steder, havde det udløst en alarm. Da jeg ikke kunne genkende dette lån, svarede jeg jo selvfølgelig nej. Efter at have hørt hvilken udbyder jeg havde, oplyste han om at [udbyderens] netværk var et af de mindre sikre, og at malware bytes havde sneget sig igennem det, og ind på min telefon. Disse kunne have ligget og overvåget min telefon i længere tid, for så nu at aktivere sig, og misbrugte mit NemID. Da jeg har nøgle appen på telefonen, så lød forklaringen sandsynlig. Hans forsikrende måde at tale på, samt formanende ord omkring IT sikkerhed (han anbefalede kraftigt at bruge en VPN selv hjemme, her anbefalede han vpnproxy) tilføjede bare til hans troværdighed.

For at få styr på hvem og hvor mine oplysninger blev misbrugt, så skulle vi sætte et sporingsprogram i gang. Dette skulle se hvilke IP adresser der dukkede op under brug af mine oplysninger, så de kunne finde de kriminelle. Under arbejdet skulle jeg holde mig offline fra både wifi og mobil data, og jeg havde tavshedspligt. Jeg fik også oplyst, at forbindelsen var sikret, men at den kunne forsvinde undervejs. Fordi at den var sikret, nyttede det ikke noget at ringe tilbage, de ville ringe på ny. Til det skulle han bruge mine NemID oplysninger, brugernavn (som er CPR nummeret) og adgangskode, for at programmet kunne opsættes hos Nets. Efter lidt modvillighed fra min side, oplyste jeg disse, da de oplysninger jeg havde modtaget indtil videre passede med hvad jeg kunne slå op, og konsekvensen kunne være at jeg selv hæftede for lån optaget i mit navn. I løbet af denne opsætningsproces for sporingen, så ville ”politiet” også tage fuld kontrol over mit NemID for at sikre at de vidste præcist hvor og hvornår det blev brugt, så godkendelser skulle komme fra dem. Da jeg stadig på dette tidspunkt havde kontrollen over nøgle appen skulle jeg godkende adgang til Skatteforvaltningen (tænker det blev brugt til at skaffe yderligere troværdige oplysninger at de var fra politiet, inklusiv konto ændringer, arbejdsplads, nummerplade, kort nummer og kontrol cifre), samt et par godkendelser af ændringer til mit NemID. Derefter havde han den fulde kontrol.

Første trin i sporingen, var at lave nogle fiktive kort køb. Disse ville opføre sig og ligne normale køb, og skulle bruges i sporingsarbejdet. Disse skulle jeg oplyse bekræftelseskoderne tilbage til personen. …

Da sporingen var færdig, og han ventede på svar fra IP opslagene, så var næste trin at sikre mine eksisterende penge. De skulle væk fra min egen konto, ligge stille på en kontrolleret konto i minimum 12 timer, for så derefter at kunne blive ført tilbage. Alt sammen for at sikre ikke yderligere misbrug skete, samt overvåge om nye spor kunne opfanges i sagen. Det var en konto hos [pengeinstitut] som skulle benyttes til dette, og fik oplyst at det var under [navn på finansiel virksomhed]. På grund af mængden af penge, var det noget som skulle ske over flere omgange, med længere tids mellemrum, for ikke at skabe problemer på modtagerkontoen. Dette skete over fire overførelser, tre på 99.000 kr, og en på de resterende 86.077,06 kr. Alt sammen til samme konto, og jeg skulle selv indtaste overførelsesoplysningerne, samt svare på de kontrol SMS’er Nordea sendte. Disse blev foretaget kl. 00:20, 01:54, 03:05, og 05:09. …

Da alle [overførslerne] var færdige, og at han nu havde alt sit til efterfølgende arbejde samt rapportskrivning, så aftalte vi at han skulle ringe igen omkring kl 20 søndag aften. Der havde pengene så stået på den sikrede konto i 12 timer. Og indtil da skulle jeg forholde mig offline, igen for ikke at skabe nogen forstyrrelser i hans arbejde. Det var også på dette tidspunkt at vi skulle køre et renseprogram på min telefon, for at få renset ud i de malware bytes som var kommet ind. Efter at have ventet 20-30 minutter på et opkald, ringede jeg selv til [politiet], som intet kendte til sagen. Derefter foretog jeg opkald til Nordea for at få spærret alt.

Manden talte perfekt dansk, og havde en let accent fra mellemøsten. Han var generel venlig og forklarende, men var meget insisterende på at jeg skulle holde mig offline på alle enheder (inklusiv min stationære, forklaringen var ikke skabe forstyrrelser, samt ikke at komme til at sprede disse malware bytes). Han var også meget insisterende på, at jeg skulle holde mig på telefonen konstant, og checkede ind med mellemrum for at sikre at dette var tilfældet. Jeg kunne sagtens sove, hvis jeg ville, bare have kaldet kørende ved siden af øret. Jeg hørte undervejs noget aktivitet i baggrunden, men ikke højt nok til at kunne tyde hvad det var, og slog det bare hen som normal støj i hjemmet. De mange, lange ventetider blev bortforklaret med at undersøge de data han havde fået ind, samt rapportskrivning.”

Ved et brev af 26. februar 2021 afviste banken klagerens indsigelse og anførte blandt andet:

”…

Vi har behandlet din indsigelse mod 4 overførsler på 383.077,06 kroner. Vi har som det første forsøgt at få tilbageført overførslerne, men det er desværre ikke lykkedes.

Det lykkedes modtagerbank at tilbageholde 68.201,27 kroner og dem har vi bedt politiet beslaglægge.

Vi kan konstatere, at du selv har foretaget overførslerne, hvorfor de er sket med dit samtykke. Transaktionerne er dermed autoriseret og disse er Nordea ikke forpligtet til at godtgøre.

…”

Parternes påstande

Den 9. marts 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 314.875,79 kr. svarende til den del af overførslerne, som ikke er blevet tilbageholdt af modtagerbanken.

Nordea Danmark har principalt nedlagt påstand om frifindelse, subsidiært om at klageren selv hæfter for 8.000 kr.

Parternes argumenter

Klageren har anført, at banken uberettiget har afvist at dække hans tab efter, at han har været udsat for phishing.

Sagen minder om nogle tidligere sager, som Ankenævnet har afgjort til klagerens fordel. I disse sager blev klageren udsat for phishing over telefonen og videregav sine NemID-oplysninger til svindleren, hvorefter klagerens penge blev overført til svindlerens konti.

I nærværende sag udgav P sig for at være fra politiet, og telefonnummeret på skærmen stemte med politiets nummer. P fortalte i telefonen, hvor pengene skulle overføres til, i stedet for selv at starte overførslerne i netbanken.

Han benytter udelukkende Android og Windows produkter. Han ejer og benytter ikke Apple produkter. P benyttede derimod en iOS enhed. Det fremgår af den af ham vedlagte hændelseslog for hans NemID, at P den 20. august 2021 kl. 22:11 fjernede hans adgang til nøgleappen, og han havde herefter ikke længere kontrollen over sit NemID.

Alt efter kl. 22:11 kunne ikke ske, uden at P var involveret og misbrugte hans NemID. Overførslerne blev indtastet fra hans computer af ham, men selve godkendelsen af at kunne komme ind på netbanken, blev godkendt fra en iOS enhed – P’s enhed. Der var intet, som forhindrede, at P selv kunne have været logget ind, startet transaktionerne, og fået ham til at godkende overførslerne. Så havde hændelsesforløbet været fuldstændigt identisk med de tidligere sager i Ankenævnet, og der havde ikke været nogen tvivl om, at han skulle have erstatning.

Nordea Danmark har til støtte for frifindelsespåstanden anført, at de omtvistede transaktioner blev foretaget af klageren selv, hvorfor de er autoriserede.

De af klageren påberåbte afgørelser fra Ankenævnet omhandler tilfælde, hvor det blev lagt til grund, at klageren havde videregivet sine NemID-oplysninger til tredjemand, og at transaktionerne skyldtes tredjemands misbrug af klagerens NemID.

I nærværende sag må det lægges til grund, at de omhandlede transaktioner skete med klagerens medvirken og samtykke, hvorfor betalingslovens § 100 om uautoriserede betalinger ikke finder anvendelse.

Klagerens videregivelse af sine NemID-oplysninger til P medførte, at P efter nogle timer indrullerede klagerens NemID-nøgleapp på sin egen telefon, og klageren dermed ikke længere havde adgang til sin nøgleapp.

I forbindelse med overførslerne i netbanken indtastede klageren brugernavn og adgangskode til sin netbank, hvorefter P godkendte adgang til klagerens netbank for klageren med dennes nøgleapp. Det vil sige, at P kun delvist medvirkede til at lukke klageren ind i klagerens egen netbank. Og det skete med klagerens samtykke.

Herefter foretog klageren selv overførslerne i netbanken ved at – ved hver transaktion – indtaste brugernavn og adgangskode samt SMS-godkende med et ”JA” på sin egen mobiltelefon.

Der er dermed tale om autoriserede transaktioner, idet klageren foretog samtlige transaktioner selv. Han havde til hensigt at overføre sine midler – og det gjorde han. At P delvist medvirkerede til at ”lukke ham ind” i sin egen netbank ændrer ikke herpå, heller ikke når der henses til, at det skete fra en person, som klageren frivilligt havde overgivet sine koder til.

Kontooverførslerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Betalingslovens § 112 finder ikke anvendelse i et tilfælde som dette, hvor klageren har overført penge ved anvendelse af sin netbank.

Såfremt Ankenævnet i nærværende sag måtte finde, at transaktionerne var uautoriserede, og at sagen derfor skal afgøres efter hæftelsesbestemmelserne i betalingslovens § 100, måtte det stå klageren klart, at en medarbejder fra politiet ikke kunne have nogen viden om klagerens eventuelle låneoptagelse hos en långiver, eller at dette skulle have udløst en alarm hos politiet, samt at politiet ikke opererer med ”sikringskonti”. Allerede på den baggrund må det anses for godtgjort, at transaktionerne skete under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for misbrug, hvorfor klageren hæfter uden beløbsbegrænsning for transaktionerne, jf. betalingslovens § 100, stk. 5.

Måtte Ankenævnet finde, at banken er ansvarlig for de omhandlede transaktioner, skal det beslaglagte beløb, 68.201,27 kr. fratrækkes i opgørelsen heraf.

Til støtte for den subsidiære påstand har Nordea Danmark anført, at klageren hæfter med 8.000 kr. for transaktionen, jf. betalingslovens § 100, stk. 4, nr. 2.

Ankenævnets bemærkninger

Den 21. februar 2021 henholdsvis kl. 00:20, kl. 01:54, kl. 03:05 og kl. 05:09 blev der foretaget fire netbankoverførsler, tre på 99.000 kr. og en på 86.077.06 kr., fra klagerens konto i Nordea Danmark til tredjemands konto i et andet pengeinstitut.

Baggrunden for transaktionerne var, at klageren den 20. februar 2021 om aftenen blev kontaktet telefonisk af en person, P, der udgav sig for at være fra politiet. P oplyste, at der var blevet optaget et lån i klagerens navn, og at dette havde udløst en alarm hos politiet. For at finde ud af hvorledes og af hvem klagerens oplysninger blev misbrugt, var det nødvendigt at sætte et sporingssystem i gang. Til brug for at stoppe misbruget, videregav klageren blandt andet sine NemID-oplysninger til P.

Klageren har oplyst, at P omkring kl. 22 installerede og aktiverede NemID-nøgleappen til klagerens NemID på sin egen enhed, og at hans adgang til nøgleappen herefter blev fjernet.

Klageren har endvidere oplyst, at han selv indtastede overførselsoplysningerne i netbanken og svarede ”JA” på de kontrol SMS’er, som banken sendte til ham, mens selve godkendelsen af at kunne komme ind på netbanken skete via Nem-ID-nøgleappen på P’s enhed.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage