Indsigelse mod 17 kortbetalinger, der blev foretaget i forbin-delse med bedrageriske telefonopkald.

Sagsnummer:408/2021
Dato:09-09-2022
Ankenævn:Bo Østergaard, Jesper Claus Christensen, Andreas Moll Årsnes, Tina Thygesen, Poul Erik Jensen.
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod 17 kortbetalinger, der blev foretaget i forbin-delse med bedrageriske telefonopkald.
Indklagede:Arbejdernes Landsbank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod kortbetalinger, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klageren var kunde i Arbejdernes Landsbank, hvor han havde et Visa/dankort og et Mastercard samt netbank adgang.

Fra torsdag-lørdag den 5., 6. og 7. august 2021 blev der godkendt 45 betalingsanmodninger med klagerens Mastercard via klagerens NemID-nøgleapp. Heraf blev 17 betalingstransaktioner endeligt gennemført med et samlet beløb på 64.485,95 DKK:

Den 5. august 2021 blev der gennemført otte transaktioner for i alt 26.916,38 DKK. Den 6. august 2021 blev der gennemført fem transaktioner for i alt 19.669,97 DKK. Den 7. august 2021 blev der gennemført fire transaktioner for i alt 17.899,60 DKK.

De 17 betalinger, som klageren ikke kan vedkende sig, blev foretaget i USD, EUR og DKK til fem betalingsmodtagere, herunder til pengeoverførselsvirksomheder.  

Klageren har oplyst, at baggrunden for transaktionerne var, at han torsdag, fredag og lørdag den 5.-7. august 2021 blev ringet op af flere personer (herefter i fællesskab betegnet P), der udgav sig for at være fra Microsofts afdeling i Afghanistan, og som anførte, at hans PC var ved at blive hacket. P tilbød ham at installere noget software på PC’en for 60 EUR for at løse problemet, og klageren installerede efter anmodning fra P et fjernstyringsprogram på sin PC.

Den 5. august 2021 kl. 14.52 og 18.29 sendte banken to beskeder i klagerens netbank om, at klageren samme dag havde foretaget køb på 431,34 USD og 104,66 EUR. Banken har oplyst, at baggrunden herfor var, at der via bankens sikkerhedssystem sendes en sådan besked til kunder første gang inden for 30 dage, hvor en kunde foretager et køb i en ny valuta. Beskederne blev læst samme dag kl. 15.20 og 18.47.

Den 5. august 2021 sendte banken endvidere en meddelelse til klagerens e-boks om, at klagerens Visa/dankort var spærret, fordi der var mistanke om, at andre havde fået adgang til klagerens kortoplysninger. Banken har oplyst, at den i den forbindelse forsøgte at få telefonisk kontakt med klageren, og at banken, da dette ikke lykkedes, sendte klageren en sms med anmodning om at kontakte banken. Klageren har anført, at han ikke modtog meddelelsen i sin e-boks.

Den 9. august 2021 henvendte klageren sig personligt i banken for at få åbnet sit Visa/Dankort. Klageren fik i den forbindelse oplyst, at der var hævet større beløb på hans konto. Klageren startede derefter en indsigelsessag.

Den 18. august 2021 modtog banken en kortindsigelse fra klageren. Den 23. august 2021 modtog banken en uddybende indsigelse. I indsigelserne anførte klageren bl.a.:

”… Jeg blev ringet op fra nogle personer som udgav sig for at være fra Microsoft og fik at vide at min computer var hacket. Jeg skulle betale 60 Euro og så ville de sikre min computer. …”

”… Jeg bemærkede nogle beløb på min NemID og spurgte om det, men han sagde, at det var hvad softwaren kostede, men han sørgede for at de var gratis for mig, da de 60 euro som jeg havde betalt for var hans service. Han var inde på min netbank og forklarede at han sikre at hackerne som var mange ikke kunne hacke den.

Vedkommende talte engelsk og nogle gange arabisk med en anden person. Han sagde at han var fra Microsofts afdeling i Afganistan. Jeg kunne ikke se hvad han lavede på min computer, da der var en blå skærm … Når han var færdig (den 05.08-07.08) snakkede jeg med hans chef og jeg skulle slukke min computer og min mobiltelefon, hvor jeg skulle åbne min mobiltelefon når de efter aftalt tid ville ringe tilbage. Ang. transaktionerne var disse de software han installerede og så tænkte jeg ikke mere over det, da jeg fik at vide at han sørgede for at de ikke ville koste mig noget. …”

I en redegørelse til banken af 26. august 2021 anførte klageren:

”Jeg blev ringet op torsdag den 5-8-2021 kl. 12.30 og vedkommende talte engelsk og præsenterede sig for at være fra Microsoft og min computer var blevet hacket.

Han fik mig til at installere et fjernstyringsprogram i min computer og han sagde at han ville udbedre skaden mod betaling af 60 Euro for hans service som jeg skulle betale med det samme. Der poppede et Nem Id skema op på skærmen og han bad mig indtaste koden så jeg kunne betale beløbet (Beløbet figurere ikke nogen steder og der er ikke nogen kvittering på de 60 Euro så det må være for at få mig til at bruge mit bank kort. Det var så spærret, som han så sagde at hackerne allerede havde forsøgt at bruge mit visa kort, så han bad mig om at bruge et andet kort og jeg brugte mit Masterkort som ikke var spærret.

Han skulle ind og sikre min netbank så han bad mig om at godkende at han kunne sikre min netbank. Der efter ville han installere en masse sikkerhedsprogrammer fra Microsoft på min computer som ville være gratis for mig.

Da jeg skulle godkende det første program bemærkede jeg beløb og spurgte hvad det var, men han sagde at det var hvad programmerne kostede, men at han sørgede for at jeg ikke betale for dem. Jeg kunne ikke se hvad han lavede på min computer da der var en blå skærm hvor der stod Work Sa[f]ety. Senere over kl. 6 skulle jeg tale med hans chef som viste mig en side med en masse tal og i et bestemt rubrik kunne jeg se hvor mange hackere de var inde på min computer ca. 40 tror jeg og de ville derfor kontakte mig fredag den 6-[8]-2021 kl 12:30, så jeg skulle slukke min computer og mobiltelefon så hackerne ikke kunne komme ind på min computer …

Fredag åbnede jeg min telefon og blev ringet op som aftalt og så skulle de fortsætte med at udbedre skaderne på min computer og netbank. Da han var færdig talte jeg med hans chef og igen skulle jeg lukke min computer og telefon. Det samme skete der Lørdag den 7-[8]-2021. søndag hørte jeg ikke fra dem.

Den 9-8-2021 kl. 13:00 gik jeg i banken for at åbne mit Visa dankort og fortalte at jeg var blevet ringet op fra Microsoft da min computer var blevet hacket, hvor jeg så fik at vide, at de ikke var fra Microsoft og at de havde hævet en masse penge fra min konto, så mit Mastercard og Nem ID blev så spærret. …

Han ville sikre sig at hackerne ikke kunne hacke min net bank … så han skulle have adgang til denne. Så spurgte han … hvor mine mails med mine regninger var, så de kunne sikre dem også og fik adgang til min e-boks. Der efter sagde han at de ville installere nogle sikkerhedsprogrammer … og dem skulle jeg godkende med min Nem-Id der ud over skulle jeg tage en selfie hvor jeg holder mit bank kort hvor de midterste cifre var tildækket … Derefter en selfie hvor jeg holder mit pas …”

Banken afviste klagerens indsigelser.

Klageren har endvidere fremlagt et af ham udarbejdet notat, der bl.a. indeholder følgende:

”… Hvor mange gange havde i kontakt

05-08-2021 fra kl. 12:30 til omkring kl. 18:00

06-08-2021 fra kl. 12:30 til omkring kl. 15:30

07-08-2021 fra kl. 07:00 til omkring kl. 10:00

Jeg bor alene så jeg tog kontakten.

Hvorfor vi havde kontakt over flere dage

Den 05-08-2021 kl. 18:00 skulle jeg tale med hans chef som viste mig en side med en masse tal og i et bestemt rubrik, som jeg kunne se var et højt tal og jeg fik at vide at det var hackere der forsøgte at komme ind i min computer så de ville derfor kontakte mig fredag den 6-…-2021 kl. 12:30 så jeg skulle slukke min computer og mobiltelefon så hackerne ikke kunne komme ind på min computer og mobiltelefon …

Hvorfor godkendte du så mange betalinger/*transaktioner på din nøgleapp, hvis du skulle betale et beløb

Da jeg skulle godkende det første program bemærkede jeg et beløb og spurgte hvad det var, men han sagde at det var hvad programmerne kostede, men han sørgede for at jeg ikke betale for dem.”

Banken har under klagesagen pr. kulance godtgjort klageren for de første otte overførsler, fratrukket en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, svarende til 18.916,38 DKK.

Banken har fremlagt udskrifter fra Nets vedrørende de gennemførte betalingstransaktioner. Det fremgår heraf, at betalingerne blev gennemført ved brug af NemID-nøgleapp, og at følgende tekst blev sendt til NemID-nøgleappen ved godkendelse af betalingerne:

”Betal [beløb/valuta] til [betalingsmodtager] fra kort [kort nummer]”

Banken har oplyst, at tilsvarende tekster blev sendt til NemID-nøgleappen vedrørende de resterende 28 betalingsanmodninger, som blev godkendt, men ikke gennemført.

Nets har oplyst, at betalingerne er korrekt registreret og bogført, og at de ikke er ramt af tekniske svigt eller andre fejl.

Banken har fremlagt nøgle-app oversigt, en udskrift af klagerens NemID hændelseslog, et eksempel på skærmbillederne i godkendelsesprocessen med NemID/NemID-nøgleapp og bankens brugerregler for Mastercard debit.

Parternes påstande

Den 22. september 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal tilbageføre de ikke vedkendte betalinger.

Arbejdernes Landsbank har nedlagt påstand om frifindelse mod betaling af 18.916,38 DKK, subsidiært afvisning.

Parternes argumenter

Klageren har bl.a. anført, at han var i god tro. P virkede meget troværdig. Han havde i foråret ofret 10.000 kr. på opgradering af sin PC, og det var derfor vigtigt for ham, at hans PC ikke blev ødelagt af hackere.

Banken vidste, hvad der foregik på hans konto den 5. august 2021, og alligevel lod den transaktionerne blive gennemført. Banken burde straks have blokeret transaktionerne den 5. august 2021. Når banken ikke kunne få forbindelse med ham via telefon første gang med så vigtig en besked, burde banken prøve igen.

Han modtog intet i e-boks. Hackerne havde overtaget styringen af hans PC og havde adgang til hans e-boks. Banken har i sit svar af 2. december 2021 i klagesagen anført, at det kræver NemID/MitID for at logge på e-boks. Det fremgår klart af hans indsigelse, at hackerne havde informationer om hans NemID, men tilsyneladende har bankens indsigelsesafdeling ikke informeret andre afdelinger i banken om dette.

Havde han modtaget advarslerne i e-boks om, at Visa/dankortet var spærret grundet mistanke om, at andre havde haft adgang til hans konto, havde han reageret med det samme. Han modtog en sms, hvor der stod, at hans Visa/dankort var spærret, men ingen begrundelse.

To dage efter samtalen med “Microsoft” tjekkede han sin konto. ”Microsoft” havde bedt ham om at slukke sin telefon og PC pågældende weekend. Han kunne ikke tjekke sin netbank. Hans konto stemte, da han tjekkede den om søndagen i bankens hæveautomat. Alle pengene stod på kontoen.

Han fik først oplysning om kontoen, da han henvendte sig personligt. På dette tidspunkt var det for sent.

Rådgiveren, der behandlede hans indsigelse, var uengageret og efterspurgte dokumenter, som banken allerede havde. Hvis rådgiveren havde handlet hurtigere, ville der have været større sandsynlighed for, at han havde fået sine penge retur

Han forventer, at hans penge er sikret bedst muligt i banken. Alarmklokkerne burde have ringet hos banken. Banken kunne have gjort mere for at hindre transaktionerne og tilbageføre de stjålne penge. Han er bekendt med, at andre banker har advaret deres kunde om mistænkt svindel på deres konti, og at andre banker har kompenseret deres kunder. Arbejdernes Landsbank har vel samme værktøjer til at observere svindel på kontoen.

Han har været kunde i banken i over 30 år, og hele hans opsparing er nu forsvundet. Bankkunderne har ikke en chance så længe, der er fejl i sikkerheden på NemID og Nemkonto. Flere sager har vist, at NemID kan blive misbrugt, uden at brugeren har sløset med sikkerheden. Tyvene bruger ofte et key logger program.

Arbejdernes Landsbank har til støtte for frifindelsespåstanden bl.a. anført, at betalingerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Betalingerne blev gennemført med NemID (en personlig sikkerhedsforanstaltning). Banken har derfor løftet bevisbyrden i betalingslovens § 98, stk. 1.

Betalingstransaktionerne blev godkendt med NemID og i overensstemmelse med aftalen (brugerreglerne for Mastercard debit) mellem klageren og banken. Sammenholdt med, at klageren anerkender, at han på sin telefon via sin NemID-nøgleapp har modtaget og set den tydelige information om, at han var i gang med at godkende betalingstransaktioner til forskellige betalingsmodtagere i forskellige valutaer, burde klageren ikke have været i tvivl om, at han var i gang med at gennemføre en lang række betalinger. Betingelserne i betalingslovens § 82 må derfor anses for at være opfyldt. Der er derfor tale om autoriserede betalingstransaktioner, og betalingslovens hæftelses- og ansvarsregler finder ikke anvendelse.

Hvis Ankenævnet måtte komme frem til, at der er tale om uautoriserede betalingstransaktioner, hæfter klageren for det fulde beløb, jf. betalingslovens § 100, stk. 5.

Klageren godkendte selv betalingstransaktionerne, der fandt sted over flere døgn og vedrørte 45 betalingsgodkendelser, hvoraf de 17 blev endeligt gennemført. Klageren havde derfor grund til at fatte mistanke og indse, at der var risiko for misbrug.

Klagerens godkendelse af betalingstransaktionerne via hans NemID-nøgleapp, hvor både beløb og beløbsmodtager tydeligt blev oplyst, må sidestilles med udlevering af den personlige sikkerhedsforanstaltning til tredjemand under omstændigheder, hvor klageren burde have indset, at der var risiko for misbrug. P forklarede, at det var prisen for de programmer, som blev installeret på klagerens computer, men at klageren ikke skulle betale dette. Klageren godkendte over tre dage 45 betalingstransaktioner alene med den begrundelse, at en fremmed person over telefonen fortalte, at han ikke blev trukket for de pågældende transaktioner, selv om det modsatte tydeligt fremgik af telefonen. Klageren burde således have fattet mistanke.

Klageren burde allerede inden godkendelse af den første overførsel have overvejet, hvor sandsynligt det var, at det var Microsofts afghanske afdeling, der kontaktede ham for at undgå hacking i Danmark; at Microsoft for at undgå hacking af hans computer skulle have billede af ham, hans kort og hans pas; at Microsoft skulle have fuld adgang til hans netbank for at undgå hacking af denne; at det var nødvendigt at installere over 40 forskellige programmer til en normalt samlet anslået pris af ca. 160.000 DKK; at Microsoft installerede programmer for langt over 100.000 kr. uden beregning, og at han skulle slukke sin telefon for at undgå hacking af sin computer.

Den store fokus på og advarsler mod phishing i offentligheden og spærringen af klagerens Visa/Dankort af Nets af sikkerhedsmæssige årsager allerede inden den første overførsel er skærpende omstændigheder. Det kræver NemID/MitID for at logge på e-boks. Der kan således ikke være blevet logget på klagerens e-boks uden hans medvirken/godkendelse.

Selv om klageren allerede ved den første overførsel burde have indset, at der var risiko for misbrug, har banken dog besluttet pr. kulance at godtgøre klageren for de første otte overførsler, dog fratrukket en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3. Fra klagerens sidste betalingsgodkendelse den 5. august 2021 kl. 18.58 til den første betalingsgodkendelse den 6. august 2021, kl. 12.36 var der en pause på over 17 timer, hvor klageren blev bragt ud af en eventuel stresset situation. Klageren burde derfor senest på dette tidspunkt have indset, at den forsatte godkendelse af betalingsanmodningerne på hans telefon var forbundet med risiko for misbrug.

Hvis klageren havde tilgået sin netbank/mobilbank efter den første telefonsamtale, hvilket alt andet lige havde været naturligt set i lyset af de mange overførsler, klageren havde godkendt, og historien om, at han havde været udsat for hacking, så ville klageren meget nemt have kunnet konstatere, at der var gennemført udenlandske overførsler, da han havde modtaget netbank beskeder om dette, ligesom de godkendte transaktioner fremgik af netbanken/mobilbanken.

Arbejdernes Landsbank har til støtte for afvisningspåstanden anført, at en yderligere afklaring af klagerens forsæt og burde-viden vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises.

Ankenævnets bemærkninger

Den 5., 6. og 7. august 2021 blev der godkendt 45 betalingsanmodninger med kla-gerens Mastercard via klagerens NemID-nøgleapp. Heraf blev 17 betalingstransakti-oner endeligt gennemført med et samlet beløb på 64.485,95 DKK. Klageren har gjort indsigelse mod transaktionerne.

Om baggrunden for transaktionerne har klageren oplyst, at han torsdag, fredag og lørdag den 5.-7. august 2021 blev ringet op af flere personer (herefter i fællesskab betegnet P), der udgav sig for at være fra Microsofts afdeling i Afghanistan, og som anførte, at hans PC var ved at blive hacket. P tilbød ham at installere noget software på PC’en for 60 EUR for at løse problemet, og klageren installerede efter anmodning fra P et fjernstyringsprogram på sin PC.

Klageren har oplyst, at P anmodede ham om at indtaste sin NemID kode, da han bemærkede nogle beløb på sin NemID. Han spurgte P herom. P oplyste om transaktionerne, at det var prisen for softwaren, og at P ville sørge for, at klageren ikke ville komme til at betale disse. Klageren har yderligere oplyst, at han brugte sit Mastercard.

Arbejdernes Landsbank har under klagesagen pr. kulance godtgjort klageren for de første otte overførsler, fratrukket en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3, svarende til 18.916,38 DKK.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.