Sagsnummer: | 10/2025 |
Dato: | 20-06-2025 |
Ankenævn: | Bo Østergaard, Bjarke Levinsky Svejstrup, Karin Sønderbæk, Rolf Høymann Olsen og Poul Erik Jensen. |
Klageemne: | Afvisning - erhvervsforhold § 2, stk. 3 og 4 Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Krav om erstatning for tab i forbindelse med aktivering/indrullering af MitID på svindlers enhed. Indsigelse om at pengeinstitut handlede ansvarspådragende. Spørgsmål om ubegrænset hæftelse for overførsler fra erhvervskonto og hæftelse for 8.000 kr. af overførsel fra privatkonto. |
Indklagede: | Lægernes bank |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører krav om erstatning for tab i forbindelse med aktivering/indrullering af MitID på svindlers enhed. Indsigelse om at pengeinstitut handlede ansvarspådragende. Spørgsmål om ubegrænset hæftelse for overførsler fra erhvervskonto og hæftelse for 8.000 kr. af overførsel fra privatkonto.
Sagens omstændigheder
Klageren er praktiserende læge og driver en enkeltmandsvirksomhed uden cvr-nummer. Klageren var kunde i Lægernes Bank, hvor han havde en privatkonto -386 med netbank adgang og en erhvervskonto -073 tilknyttet sin personligt ejede enkeltmandsvirksomhed med netbank adgang.
I perioden fra fredag den 13. til tirsdag den 17. september 2024 blev der via klagerens netbank foretaget en overførsel fra hans privatkonto og 21 overførsler fra hans erhvervskonto på i alt 242.581 kr. (9.950 kr. fra klagerens privatkonto den 13. september 2024 og 232.631 kr. fra klagerens erhvervskonto) til tredjemands konti i pengeinstitutterne P1 og P2:
Dato |
Tidspunkt |
Fra konto |
Beløb, kr. |
13.09.2024 |
20.21 |
Privatkonto |
9.950 |
|
|
|
|
13.09.2024 |
20.21 |
Erhvervskonto |
9.985 |
13.09.2024 |
20.24 |
Erhvervskonto |
12.500 |
13.09.2024 |
20.28 |
Erhvervskonto |
15.000 |
14.09.2024 |
04.09 |
Erhvervskonto |
2.500 |
14.09.2024 |
04.15 |
Erhvervskonto |
9.999 |
14.09.2024 |
04.16 |
Erhvervskonto |
9.998 |
14.09.2024 |
04.16 |
Erhvervskonto |
9.944 |
14.09.2024 |
04.17 |
Erhvervskonto |
9.990 |
14.09.2024 |
04.17 |
Erhvervskonto |
10.050 |
15.09.2024 |
01.10 |
Erhvervskonto |
9.932 |
15.09.2024 |
01.12 |
Erhvervskonto |
14.500 |
15.09.2024 |
01.20 |
Erhvervskonto |
9.900 |
15.09.2024 |
01.28 |
Erhvervskonto |
9.993 |
16.09.2024 |
00.15 |
Erhvervskonto |
14.950 |
16.09.2024 |
00.22 |
Erhvervskonto |
14.990 |
16.09.2024 |
00.28 |
Erhvervskonto |
7.600 |
16.09.2024 |
00.35 |
Erhvervskonto |
8.000 |
16.09.2024 |
01.11 |
Erhvervskonto |
4.300 |
17.09.2024 |
18.45 |
Erhvervskonto |
39.000 |
17.09.2024 |
19.45 |
Erhvervskonto |
8.000 |
17.09.2024 |
19.47 |
Erhvervskonto |
1.500 |
I alt |
|
|
242.581 |
Banken har fremlagt MitID-hændelseslog for klagerens MitID, hvoraf fremgår, at der den 13. september 2024 kl. 19.13 blev indrulleret et nyt MitID. Banken har endvidere fremlagt log fra sin datacentral og har oplyst, at det fremgår heraf, at der i perioden for de i sagen omhandlede transaktioner var logget ind fra forskellige enheder og ”Client IP”.
Den 16. september 2024 kl. 15.08 og 15.11 modtog banken to beskeder fra sin datacentral, hvoraf fremgik, at to transaktioner foretaget på klagerens konto samme dag muligvis var svindel, idet modtagerkontiene var blevet registeret som mulddyrskonti. Banken har oplyst, at bankens medarbejder blev gjort opmærksom på hændelsen tirsdag morgen den 17. september 2024, og at banken forgæves forsøgte at få telefonisk kontakt med klageren ved opkald til hans mobiltelefon den 17. september 2024 i tidsrummet mellem kl. 8-8.30. Banken sendte samme dag kl. 8.38 en besked via klagerens netbank. Beskeden blev besvaret af svindleren fra klagerens netbank den samme dag kl. 18.42.
Banken har oplyst, at banken den 18. september 2024 blev opmærksom på, at transaktionen foretaget den 17. september 2024 kl. 18.45 på 39.000 kr. var blevet stoppet i bankens Fraud-system. Banken ringede derefter til klageren samt til klagerens arbejdsplads, hvorved den fik kontakt med klageren. Banken har oplyst, at klageren i telefonsamtalen oplyste, at han tidligere var blevet kontaktet af en person, der udgav sig for at være en ansat hos MitID. Personen oplyste, at klagerens MitID var blevet kompromitteret, og at det derfor skulle spærres og ændres. Derudover blev klageren opfordret til at slukke og spærre sin mobiltelefon for i stedet at oprette en online korrespondance via Telegram Web, hvor kommunikationen fortsatte. Sammen med personen fik klageren ændret sine loginoplysninger til MitID og indrulleret et nyt MitID på personens telefon.
Banken har endvidere oplyst, at den straks derefter kontaktede modtagende pengeinstitut, P1, med henblik på at få tilbageført eventuelle indeståender på modtagerkontiene, og at klageren som følge af dette modtog i alt 48.539,36 kr. fra P1. Derudover frigav banken transaktionen på 39.000 kr., som var stoppet i bankens Fraud-system. Klagerens tab udgør derefter 147.041,64 kr.
Den 6. oktober 2024 indgav klageren indsigelse overfor banken vedrørende de i sagen omhandlede transaktioner. I tro- og loveerklæringen oplyste klageren, at han i august 2024 havde klikket på et link, og at han den 5. september 2024 opdagede, at der var trukket ti beløb á 200 kr. fra hans konto, hvorefter han kontaktede banken og fik spærret sit kort samt indsendte en tro- og loveerklæring vedrørende disse transaktioner den 13. september 2024. Den samme dag kort efter blev han ringet op af en person, der udgav sig for at være fra MitID support, og som oplyste, at nogen havde kopieret hans MitID og forsøgte at misbruge det. Personen guidede ham til at spærre sit MitID. Han husker ikke helt, hvad der skete.
Den 11. oktober 2024 meddelte banken, at den dækkede klagerens tab på privatkontoen på i alt 9.950 kr. fratrukket en selvrisiko på 8.000 kr., idet klageren selv havde muliggjort betalingen ved at godkende indrulleringen af et nyt MitID på svindlerens telefon, og at banken ikke dækkede klagerens tab på erhvervskontoen.
Klageren gjorde indsigelse mod bankens afgørelse. I meddelelse af 25. oktober 2024 til banken anførte klageren, at han var blevet franarret sit MitID og dermed havde muliggjort svindel fra netbanken, men at banken ikke havde handlet med rettidig omhu eller levet op til forventelig faglig standard. Banken afviste dette og fastholdt sin afgørelse.
Klageren har oplyst, at han i pengeinstituttet P3 har en konto sammen med sin far, som lørdag morgen den 14. september 2024 blev kontaktet af P3, der undrede sig over, at der fredag aften blev overført 8.000 kr. og 10.000 kr. til P1. Hans far orienterede ham (klageren) herom, og kontoen i P3 blev spærret lørdag middag.
Af Lægernes Banks Vilkår og betingelser for betalingskonti – Erhvervskunder fremgår:
”… Lov om betalinger finder anvendelse på ind- og udbetalinger på betalingskonti.
Banken har dog i henhold til lovens § 6 fraveget lov om betalinger i det omfang loven åbner mulighed herfor, medmindre andet er aftalt med pengeinstituttet. … ”
Parternes påstande
Den 5. januar 2025 har klageren indbragt sagen for Ankenævnet med påstand om, at Lægernes Bank A/S skal betale minimum 100.000 kr. af hans tab.
Lægernes Bank A/S har nedlagt påstand om afvisning, subsidiært frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at svindlen primært er foregået fra hans erhvervskonto. Ankenævnet bør behandle sagen, da svindlen ikke adskiller sig fra, hvad der også sker for private. Virksomheden er en enkeltmandsvirksomhed uden cvr-nummer og med meget få månedlige transaktioner. Der indgår en månedlig indkomst fra et interessentskab, som han er anpartshaver i, og han betaler skat og udbetaler løn til sig selv fra sin enkeltmandsvirksomhed. Den af banken påberåbte sag nr. 19/2023 drejede sig derimod om et anpartsselskab.
Der er ikke flere personer, der skal godkende en transaktion i hans enkeltmandsvirksomhed. Hans erhvervsskonto fungerer helt på linje med hans private konti. Karakteren af netbanksvindlen viser jo også helt tydeligt, at så snart tredjeparten havde kontrol over hans MitID, kunne denne efter helt identisk fremgangsmåde foretage uretmæssige transaktioner fra såvel hans private konto som hans erhvervskonto. Han klager over bankens urimelige reaktionstid, inkompetente sagshåndtering og uhensigtsmæssige brug af kommunikationskanaler, hvilket lige så godt kunne udspringe af et privat kundeforhold som et erhvervsmæssigt kundeforhold.
Banken burde langt hurtigere end sket have indset, at han var udsat for svindel med MitID. Banken burde langt hurtigere have spærret hans MitID og hans konti. Dermed havde hans tab på ca. 145.000 kr. fra hans erhvervskonto været betydeligt mindre. Han sidder tilbage med en følelse af, at der ikke var medarbejdere på vagt i banken i weekenden 13.-15. september 2024, og at der ikke var aktivt overvågningssystem af weekendens transaktioner.
Banken modtog mandag eftermiddag den 16. september 2024 kl. 15.08 og 15.11 to alarmer fra Anti-Fraud systemet med meget klar melding om svindel. Banken har anført, at den handlede omgående, da den blev gjort opmærksom på hændelsen den 17. september. Det er faktuelt forkert. Banken modtog Anti-Fraud alarmerne om eftermiddagen den 16. september 2024 i bankens åbningstid, men banken handlede ikke, som påstået, omgående, men derimod dagen efter.
Da bankens medarbejder tirsdag morgen den 17. september 2024 begyndte at håndtere Anti-Fraud meldingerne, burde et blik på posteringsoversigten over hans erhvervskonto udelukke enhver tænkelig tvivl om, at der var tale om svindel. Af posteringsoversigten fremgik 19 transaktioner til P1, hvoraf 16 var foretaget i tidsrummet 00.00-05.00. Et helt og aldeles afvigende transaktionsmønster. Erhvervskontoen, der aldrig tidligere havde været i minus, svingede fra plus 57.000 kr. til minus 100.000 kr. Kombinationen af de to klare Anti-Fraud meldinger og posteringsoversigten burde have medført en øjeblikkelig lukning af erhvervskontoen.
I forsøg på at få afklaret situationen forsøgte medarbejderen at kontakte ham pr. mobiltelefon tirsdag morgen den 17. september 2024 mellem kl. 08-08.30, og da medarbejderen ikke fik telefonkontakt, skrev medarbejderen en besked i netbank. Herefter foretog medarbejderen sig ikke yderligere i sagen før næste dag. Medarbejderen burde have gennemtænkt, at hvis svindleren havde adgang til hans MitID, så kunne svindleren også læse og svare på beskederne i netbank. Det virker ikke som om, at medarbejderen indså den risiko.
Hvorfor ringede medarbejderen ikke til hans arbejdssted? Så ville medarbejderen have fået kontakt til hans medarbejder, der kunne bekræfte hans identitet. Da han er medejer af interessentskabet, som har alle sine økonomiske engagementer, herunder flere konti, i banken, burde det ikke være vanskeligt at finde frem til, hvor han arbejder. Havde medarbejderen gjort dette, ville svindlen være opdaget tirsdag morgen den 17. september 2024 mere end 24 timer før, at sagen blev afklaret. Det ville med sikkerhed have begrænset tabet afgørende.
Bankens langsomme reaktion og efterfølgende handlinger er ansvarspådragende. Banken skal dække minimum 100.000 kr. af hans tab. Da banken endelig reagerede, fik den meget hurtigt returneret ca. 90.000 kr.
Han er blevet svindlet/bestjålet i både P3 og banken og forsøgt svindlet i et tredje pengeinstitut og en kryptovalutabørs. Ingen af de andre steder har været tilnærmelsesvis så langsomme og uprofessionelle som Lægernes Bank. Han tvivler på, om banken på systemniveau har et effektivt og tidssvarende alarmerings- og overvågningssystem, og om medarbejderne er kompetente til at handle efter forventelig standard. Derudover var den efterfølgende sagsbehandling kaotisk, vildledende og stærkt kritisabel. Bankens medarbejder forsikrede ham i telefonsamtaler 18. og 19. september 2024 flere gange om, at han maksimalt kunne komme til at hæfte for 8.000 kr., svarende til selvrisikoen ved phishing svindel.
Lægernes Bank A/S har til støtte for afvisningspåstanden vedrørende overførslerne fra erhvervskontoen anført, at Ankenævnet ikke kan behandle denne del af klagen, idet klagen vedrørende disse overførsler efter deres karakter angår et erhvervsmæssigt kundeforhold, der adskiller sig væsentligt fra en klage over et privat kundeforhold, jf. også Ankenævnets afgørelse nr. 19/2023.
At virksomheden drives som en enkeltmandsvirksomhed uden cvr-nummer er ikke afgørende for vurderingen af, hvorvidt der er tale om et erhvervsmæssigt kundeforhold. Der er uomtvisteligt tale om en erhvervskonto og dermed et erhvervsmæssigt kundeforhold. Ankenævnet fandt i afgørelse nr. 19/2023, at overførslerne fra kundens erhvervskonto, uanset virksomhedens organisering, ligeledes angik et erhvervsmæssigt kundeforhold, der adskiller sig væsentligt fra en klage over et privat kundeforhold, hvorfor Ankenævnet afviste denne del af klagen, jf. Ankenævnets vedtægter § 2, stk. 3 og 4.
Lægernes Bank A/S har til støtte for frifindelsespåstanden vedrørende overførslen foretaget fra klagerens privatkonto anført, at den ikke vedkendte kontooverførsel blev godkendt med en MitlD-app, hvis oprettelse blev godkendt af klageren. Ved godkendelsen af det nye MitID identifikationsmiddel udviste klageren groft uforsvarlig adfærd, som muliggjorde gennemførsel af transaktionen, hvorfor klageren selv hæfter med 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3.
Klageren har anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, ved brug af en eksisterende MitlD-app til oprettelse og aktivering af en ny MitlD-app den 13. september 2024. Et MitID identifikationsmiddel med et specifikt serienummer kan kun være installeret på én enhed. Ved en godkendelsesprocedure skal der derfor altid foretages en fysisk swipe-bevægelse på den enhed, som godkendelsen er sendt til. En sådan fysisk swipe-bevægelse kan ikke foretages fra en anden enhed end den, som godkendelsesanmodningen er sendt til, og kan ikke fjerngennemføres. Da pålogning skete på og godkendelsesanmodningen vedrørende den nye MitlD-app blev sendt til en enhed, hvor klagerens MitlD-app var installeret, kan det kun være klageren selv, der foretog en fysisk swipe-bevægelse i forbindelse med godkendelse af oprettelse af den nye MitlD-app.
Til støtte for den subsidiære påstand om frifindelse gøres det derudover gældende, at banken ud fra de givne omstændigheder gjorde, hvad der kunne forventes af banken, samt at banken i øvrigt iagttog sin tabsbegrænsningspligt. Banken har ikke begået fejl eller forsømmelser, som kan medføre, at banken har handlet ansvarspådragende og dermed helt eller delvist er ansvarlig for klagerens tab. Banken fulgte sine procedurer for håndtering af mistænkelige transaktioner, herunder brug af bankens fraud-screeningsværktøj, der kontinuerligt overvåger transaktionsmønstre og markerer potentielt svigagtige aktiviteter. Screeningsværktøjet vurderede ikke transaktionerne som mistænkelige på det tidspunkt, hvor de blev gennemført.
Banken modtog den 16. september 2024 to alarmer fra Anti-Fraud-systemet, som blev behandlet i overensstemmelse med bankens interne procedurer inden for sædvanlig sagsbehandlingstid og ved iværksættelse af relevante handlinger i umiddelbar forlængelse af modtagelsen af alarmerne. Da banken den 17. september 2024 blev gjort opmærksom på hændelsen, blev sagen omgående behandlet i henhold til de interne procedurer, blandt andet ved telefonisk kontakt og ved skriftlig kontakt til klageren i netbank samt efterfølgende handlinger rettet mod modtagerbankerne for at sikre tilbageførsel af midler, hvor dette var muligt. Banken har gennem sine handlinger sikret tilbageførsel af 87.539,36 kr. og dermed iagttaget sin tabsbegrænsningspligt.
Bankens medarbejdere fulgte de gældende retningslinjer. Der er ikke påvist fejl i medarbejdernes vurderinger eller handlinger, som kan tilskrives ansvarspådragende adfærd. Bankens sikkerhedssystemer har fungeret som tilsigtet, og der er ikke konstateret tekniske svigt eller brud, der kan begrunde et ansvar.
Ankenævnets bemærkninger
Klageren er praktiserende læge og driver en enkeltmandsvirksomhed uden cvr-nummer. Klageren var kunde i Lægernes Bank, hvor han havde en privatkonto -386 med netbank adgang og en erhvervskonto -073 tilknyttet sin personligt ejede enkeltmandsvirksomhed med netbank adgang.
I perioden fra fredag den 13. til tirsdag den 17. september 2024 blev der via klagerens netbank foretaget en overførsel fra hans privatkonto og 21 overførsler fra hans erhvervskonto på i alt 242.581 kr. (9.950 kr. fra klagerens privatkonto den 13. september 2024 og 232.631 kr. fra klagerens erhvervskonto) til tredjemands konti i pengeinstitutterne P1 og P2.
Ifølge Ankenævnets vedtægter § 2, stk. 3 og 4, behandler Ankenævnet klager vedrørende private kundeforhold. Klager fra erhvervsdrivende kan behandles, såfremt klagen ikke adskiller sig væsentligt fra en klage vedrørende et privat kundeforhold. Af bankens Vilkår og betingelser for betalingskonti – Erhvervskunder fremgår, at banken i forhold til erhvervskunder har fraveget lov om betalinger i det omfang loven åbner mulighed herfor, medmindre andet er aftalt med pengeinstituttet. Ankenævnet finder, at klagen vedrørende overførslerne fra klagerens erhvervskonto efter deres karakter angår et erhvervsmæssigt kundeforhold, der adskiller sig væsentligt fra en klage over et privat kundeforhold. Ankenævnet afviser derfor at behandle den del af klagen, der angår overførslerne fra erhvervskontoen.
For så vidt angår overførslen fra klagerens privatkonto bemærkes:
Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.
Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Tre medlemmer – Bo Østergaard, Bjarke Levinsky Svejstrup og Karin Sønderbæk – udtaler:
Vi finder, at det må lægges til grund, at klageren har videregivet sine MitID-oplysninger til tredjemand, og at klageren den 13. september 2024 har godkendt aktiveringen af en ny MitID-app på tredjemands enhed i sin MitID-app, hvorved en svindler har kunnet foretage den omtvistede betaling.
Vi finder, at banken har godtgjort, at klageren derved ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. Klageren skal som følge heraf hæfte med op til 8.000 kr.
Vi finder heller ikke, at banken på andet grundlag er forpligtet til at godtgøre klageren de resterende 8.000 kr.
Vi stemmer derfor for, at klageren ikke får medhold i denne del af klagen.
To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:
Vi finder, at der er tale om organiseret professionel svindel.
Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.
Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have handlet som sket.
Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, der muliggør misbruget.
Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.
Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.
Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr., jf. betalingslovens § 100, stk. 3.
Vi stemmer derfor for, at banken skal tilbageføre 7.625 kr. til klageren vedrørende overførslen fra privatkontoen.
Der træffes afgørelse efter stemmeflertallet.
Klageren får herefter ikke medhold i klagen vedrørende overførslen fra privatkontoen.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen vedrørende overførslerne fra erhvervskontoen.
Klageren får ikke medhold i klagen vedrørende overførslen fra privatkontoen.