Indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.

Sagsnummer:348/2020
Dato:02-06-2021
Ankenævn:Bo Østergaard, Inge Kramer, Karin Duerlund, Ida Marie Mo-esby og Poul Erik Jensen
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.
Indklagede:Sønderhå-Hørsted Sparekasse
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse.

Sagens omstændigheder

Klageren er kunde i Sønderhå-Hørsted Sparekasse, hvor hun har en konto -204 med netbankadgang.

Den 13. juli 2020 ved 16-tiden blev klageren kontaktet telefonisk af en mand, M, der udgav sig for at være fra Skat, og som oplyste, at hun havde penge til gode, der ved en fejltagelse ikke var blevet udbetalt.

M anmodede klageren om at udlevere Nem-ID oplysninger.

Klageren videregav herefter sine NemID oplysninger til M, der fik adgang til klagerens netbank.

Sparekassen har oplyst, at der blev logget på klagerens netbankaftale via browseren Safari 12.1 med en Apple iPhone, som kører iOS 12.4.

Der blev logget på fra en ip-adresse, klageren ikke normalt havde anvendt og med en enhed, som klageren ikke tidligere have anvendt. Enheden blev godkendt ved udstedelse af nøglenummer fra klagerens nøglekort og ved udstedelse af SMS-kode. Begge dele udleverede klageren til M.

Efterfølgende blev der igen logget på klagerens netbankaftale fra samme enhed og samme ip-adresse. I denne forbindelse blev der også udstedt nøglenummer fra klagerens nøglekort, som klageren udleverede til M.

Sparekassen har videre anført, at mens der var logget på klagerens netbank blev der gennemført tre transaktioner, som alle har krævet SMS-kode, idet sparekassen på daværende tidspunkt som ekstra sikkerhed havde indført SMS-koder ved straksoverførsler. Klageren har udleveret koderne til M.

Sparekassen har desuden oplyst, at klageren har modtaget den første sms med kode den 13. juli 2020, kl. 16:08:34 ifølge udtræk fra deres datacentral.

Efterfølgende er der samme dag i perioden 16:10:28 – 16:13:13 udsendt fem sms’er med koder.

Der er i to tilfælde sendt mere end en kode pr. transaktion. Sparekassen antager, at det skyldes, at sms koden ikke er givet videre hurtigt nok til M, som derfor har bedt om fremsendelse af ny sms kode.

Den 13. juli 2020 kl. 16:11:30, kl. 16:12:39 og kl. 16:13:25 blev der straksoverført henholdsvis 15.100 kr., 15.100 kr. og 5.000 kr., i alt 35.200 kr. fra klagerens konto -204 til tredjemands konto -209. Sparekassen har oplyst, at det kun er disse tre transaktioner, som blev gennemført.

Sparekassen har oplyst, at deres datacentral fandt transaktionerne mistænkelige og spærrede kundens brugernummer.

Efterfølgende lykkedes at tilbageholde sammenlagt 2.590 kr., som blev indsat på klagerens konto.

Sparekassen har fremlagt ”Regler for NemID til netbank og offentlig digital signatur”, hvoraf det blandt andet fremgår:

”… 

3.2 Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp

Du skal være opmærksom på, at du;

• skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem

ikke må oplyse din adgangskode dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre

…”

Af Sparekassens generelle regler for selvbetjening fremgår blandt andet:

”…

Adgangskoder må ikke overdrages til tredjemand, men må kun anvendes af dig personligt.

Ansvar ved misbrug af private konti

Du har en selvrisiko på op til DKK 375,00 for tab som følge af andres uberettigede brug af din adgang til Netbank, når din personlige sikkerhedsforanstaltning er anvendt.

Du hæfter med op til DKK 8.000,00 for tab som følge af andres uberettigede brug af Netbank, hvis Sønderhå – Hørsted Sparekasse godtgør, at din personlige sikkerhedsforanstaltning har været anvendt, og

2.  du med fortsæt har overgivet adgangskoden og/eller en eller flere af dine nøgler til den, der har foretaget den uberettigede anvendelse, uden at du indså eller burde have indset, at der var risiko for misbrug eller

3. du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Du hæfter uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af Netbank, når din personlige sikkerhedsforanstaltning er anvendt, og Sønderhå - Hørsted Sparekasse godtgør, at du har oplyst adgangskoden og/eller en eller flere af dine nøgler til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor du indså eller burde have indset, at der var risiko for misbrug.

…”

Sparekassen indgav den 14. juli 2020 politianmeldelse vedrørende indbrud i Netbank på klagerens bankkonto.

Hun havde et møde i Sparekassen den 27. august 2020 for at få dækket sit tab på 32.610 kr.

Hun fik skriftligt afslag på at få dækket sit tab den 2. september 2020. Af afslaget fremgik følgende:

” …

I forbindelse med at der er hævet beløb på din konto, ved at du har udleveret NemlD oplysninger og sms-koder til en fremmed person, har vi forsøgt at få tilbagebetalt beløbene fra de modtagende pengeinstitutter.

Vi har p.t. modtaget 2.490 kr. og har forventning om, at der kommer yderligere 100 kr.

De resterende beløb forventes at være tabt.

Vi har d.d. indsat 2.590 kr. på konto -204, og vi anser dermed sagen for afsluttet.

…”

Parternes påstande

Den 17. september har klageren indbragt sagen for Ankenævnet med påstand om, at Sønderhå-Hørsted Sparekasse skal tilbageføre 32.610 kr. med fradrag af 375 kr. til hende.

Sønderhå-Hørsted Sparekasse har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun har handlet i god tro. Hun troede på M, som var meget venlig og veltalende.

M præsenterede sig som en ansat i Skat og oplyste, at hun havde penge til gode hos Skat, som ved en fejltagelse ikke var blevet udbetalt.

Hun var skeptisk, men M overtalte hende til at udlevere hendes NemID og sms koder for at kunne overføre hendes penge.

Under samtalen foregav M at tale med sin chef, som bekræftede, at hendes penge ikke kunne overføres på en anden måde. Hun blev usikker i løbet af samtalen, men M havde vundet hendes tillid.

Før opringningen fra M fik hun mange opkald fra ukendte og hemmelige telefonnumre i forbindelse med en nær pårørendes hospitalsindlæggelse og dødsfald. Hun plejer at være skeptisk, men hun hverken indså eller burde havde indset, at der var risiko for misbrug.

Efter samtalen med M opdagede hun, at hun ikke kunne logge på Netbank. Det var uden for Sparekassens åbningstid, og hun havde ikke mulighed for at informere om hændelsen. Hun ville ringe næste dag, når Sparekassen åbnede.

Sparekassen ringede om morgenen dagen efter og fortalte, at der var blevet hævet 35.200 kr. på hendes konto.

Hun bør alene hæfte for 375 kr., jf. betalingslovens § 100, stk. 3. Hun udleverede ikke med forsæt NemID oplysninger og sms-koder.

Sønderhå-Hørsted Sparekasse har anført, at sparekassen er enig i klagerens beskrivelse af sagens faktiske omstændigheder.

Klageren oplyste sit NemID til M, der derved fik adgang til klagerens netbank. Klageren videregav endvidere SMS-koder til M.

Klageren burde have indset, at der var risiko for misbrug.

Klageren var under hele forløbet mistænksom, men alligevel udleverede hun både brugernavn, adgangskode og nøglekortnumre til en for hende ukendt person.

Der er udleveret nøglenumre og sms-koder, først til godkendelse af login på en for kunden ukendt iPhone og efterfølgende til tre straksoverførsler.

Sparekassen finder det påfaldende, at klageren godkender, at der hæves tre beløb, selv om samtalen med M udelukkende går ud på, at hun skal modtage penge.

Klageren handlede ikke efter de gældende regler for NemID til netbank og offentlig signatur om at opbevare bruger-id, adgangskode, nøglekort, nøgleviser, pinkode til nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem og respekterede heller ikke reglerne om, ikke at oplyse adgangskode, nøgler eller pinkode til nøgleapp eller overlade nøglekort, nøgleviser til andre.

I hvert fald siden september 2019 har der været massivt fokus på misbrug, og på hvordan man forhindrer misbrug. TV, radio, aviser og sociale medier har løbende informeret om, hvor vigtigt det er, at man aldrig udleverer NemID oplysninger. Der har løbende været indslag som blandt andet advarer om, hvem bedragerne for eksempel udgiver sig for at være. Klageren burde også på den baggrund have indset, at der var risiko for misbrug.

Klageren har overtrådt både generelle regler for selvbetjening og regler for NemID til netbank og offentlig signatur, og må dermed selv dække tabet.

Ankenævnets bemærkninger

Den 13. juli 2020 blev der via netbank straksoverført 35.200 kr. fra klagerens konto.

Baggrunden for transaktionerne var, at klageren den samme dag blev kontaktet telefonisk af en mand, M, der udgav sig for at være fra Skat. M oplyste hende at hun havde penge til gode hos Skat, som ved en fejltagelse ikke var blevet udbetalt.

Klageren videregav herefter sine NemID oplysninger til M, der fik adgang til klagerens netbank. Klageren modtog tre sms’er fra banken med tre engangskoder, som hun videregav til M. Ankenævnet lægger til grund, at sms’erne indeholdt oplysninger om, at koderne var til godkendelse af tre straksoverførsler på henholdsvis 15.100 kr., 15.100 kr. og 5.000 kr. Hun fik tilbageført 2.590 kr. Tabet ved transaktionerne udgjorde herefter 32.610 kr. Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Ankenævnet finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Bo Østergaard, Inge Kramer og Karin Duerlund – udtaler:

Det fremgik af de til klageren sendte sms’er, at klageren ved brug af tre engangskoder godkendte tre straksoverførsler på henholdsvis 15.100 kr., 15.100 kr. og 5.000 kr.

Vi finder, at klageren ved at videregive sine NemID-oplysninger og engangskoderne til M har udvist groft uforsvarlig adfærd. Klagerens hæftelse for tabet på 32.610 kr. udgør herefter højst 8.000 kr.

Sønderhå-Hørsted Sparekasse skal derfor tilbageføre differencen på 24.610 kr. til klagerens konto med valør fra datoen for debiteringerne.

To medlemmer – Ida Marie Moesby og Poul Erik Jensen – udtaler:

Vi lægger til grund, at klageren er blevet franarret sin personlige sikkerhedsforanstaltning.

På denne baggrund og efter det i øvrigt fremkomne finder vi ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 eller 5 er opfyldt. Klagerens hæftelse for tabet på 32.610 kr. udgør herefter højst 375 kr., jf. betalingslovens § 100, stk. 3.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sønderhå-Hørsted Sparekasse skal inden 30 dage tilbageføre 24.610 kr. til klagerens konto med valør fra datoen for debiteringerne.

Klageren får klagegebyret tilbage.