| Sagsnummer: | 407/2024 |
| Dato: | 04-03-2025 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Janni Visted Hansen, Tina Thygesen og Anna Marie Schou Ringive. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald. |
| Indklagede: | Nykredit Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.
Sagens omstændigheder
Klagerne, M og H, var kunder i Nykredit Bank, hvor de havde konti -400, -011 og -168 og netbankadgang.
Klagerne har oplyst, at H onsdag den 3. april 2024 modtog et opkald fra en person, person Z, der udgav sig for at være fra Rigspolitiets sikkerhedsafdeling, som oplyste, at person J havde optaget et forbrugslån i banken i H’s navn. Person Z oplyste H, at hun senere ville få et opkald fra banken herom. H spurgte person Z, hvorfor hun ringede fra skjult nummer, når hun ringede fra politiet. Person Z svarede, at hun gjorde dette af sikkerhedsmæssige årsager. H har oplyst, at hun kort tid efter blev kontaktet af en person T, som udgav sig for at være ansat i banken. Person T spurgte hende, om hun havde været i sin netbank samme dag, og om der var andre, der havde adgang til hendes netbank. H svarede, hun ikke havde været i sin netbank denne dag, og at det alene var M, der havde adgang til hendes netbank. Klagerne har oplyst, at person T ville hjælpe klagerne med at flytte klagernes penge til en sikkerhedskonto. Herefter modtog de 14 opkald fra person T, og de skulle i samme periode udfylde diverse formularer for at få pengene sikret fra svindlerne. Person T oplyste klagerne, at person T ville kontakte klagerne torsdag den 4. april 2024, hvor de skulle arrangere et møde i banken, og hvor de skulle fremvise legitimation.
Den 3. og 4. april 2024 blev der foretaget otte netbankoverførsler på i alt 196.620 kr. fra klagernes konti i banken til tredjemands konti.
Banken har anført, at overførslerne blev foretaget via klagernes netbank ved brug af klagernes MitID og ved godkendelse med klagernes MitID og ved bekræftelse via. SMS. Banken har fremlagt hændelseslog for klagernes MitID og en SMS-log, hvoraf blandt andet fremgår, hvornår der blev logget ind på klagernes netbank, og hvornår godkendelse af overførslerne blev foretaget, herudover fremgår, hvornår SMS-beskederne blev sendt til telefonnummer -557, og at status for disse var ”G” svarende til ”Godkendt”.
Banken har herudover anført, at overførslerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl.
Den 4. april 2024 blev klagerne ikke kontaktet af person T eller banken, hvorfor de fik mistanke om, at de var blevet svindlet.
Banken har oplyst, at klagerne gjorde indsigelse mod betalingerne til bankens kundeservice den 4. april 2024. Bankens afdeling for indsigelser spærrede betalingskort og netbank ud fra et forsigtighedsprincip, indtil der var skabt overblik over sagen. Banken har anført, at spærringen blev fjernet kort tid efter, da der ikke var mistanke om at tredjemand havde adgang til MitID, og da der ikke var tegn på indbrud i netbanken.
Den 7. april 2024 skrev klagerne til banken blandt andet:
”…
Ugen før gerningstidspunktet blev [H] ringet op fra Nykredit. [H] blev spurgt om hun var kunde hos Nykredit, hvilket hun bekræftede, herefter blev forbindelsen afbrudt. [H] ringede efterfølgende til Nykredit, til deres hovednummer og oplyste om denne episode. Hun fik at vide det nok var en svindler. Denne information gjorde [H] meget urolig, så hun sagde, at i så fald ønskede hun at få spærret sine konti. Nykredit negligerer dette fuldstændig og fortæller, at det slet ikke er nødvendigt og deres anbefaling er: ikke at gøre noget ved det.
…
Under opkaldene fra [person T] blev [H] og [M] oplyst, at de ikke måtte bruge deres telefoner, da hackerne ellers ville kunne bryde igennem og stjæle fra deres konti. Endvidere fik [H] et dokument på telefonen, som allerede var udfyld, hun blev derefter fortalt hvilke konto, ved kontonavn, hun skulle trykke på. Dette skete ikke imens [H] selv var logget ind på netbank. Dokumentet på telefonen var stort set identisk med Nykredit netbanks overførsel, dog var der 2 opdelte rubrikker, hvor der var skrevet konto nr, i stedet for 1 rubrik. [H] blev flere gange instrueret i at logge ind og ud af netbank. De blev igennem hele forløbet informeret om, at de ville miste deres penge hvis de ikke gjorde som instrueret.
…”
Banken har oplyst, at det var lykkedes den at sikre 63.446 kr., som blev returneret til klagernes konto. Klagerne stod herefter med et tab på 133.174 kr.
Den 24. april 2024 afviste banken klagernes indsigelse, da overførslerne var autoriseret af klagerne.
Klagerne gjorde indsigelse mod bankens afvisning. Banken fastholdt sin afvisning af klagernes indsigelse.
Parternes påstande
Den 4. august 2024 har klagerne indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal godtgøre dem deres tabet.
Nykredit Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klagerne har anført, at deres personlige oplysninger var blevet lækket, så svindlen kunne gennemføres. Deres oplysninger, kontonavne, indeståender, etc. var blevet lækket. Muligvis af banken selv. Dette giver især mening, hvis man sammenholder dette med, at banken afviste at spærre deres konti, da de kontaktede banken en uge forinden svindlen. Det virker mistænkeligt, at banken udtrykkeligt frarådede dem at spærre deres konti. Svindlen ville ikke være sket, hvis kontiene var blevet spærret.
Deres repræsentant kontaktede banken efter svindlen og fik ”uberettiget” udleveret alle deres personlige oplysninger uden at have identificeret sig selv og uden at have fået en fuldmagt, hvorfor banken ikke måtte drøfte forhold vedrørende dem med repræsentanten.
De har ikke selv udleveret personlige oplysninger, hverken deres MitID eller kodeord. Selv hvis de havde udleveret dette, ville det ikke udgøre ”groft uforsvarlig adfærd” efter betalingsloven. De er fuldt fortrolige med netbank, og det, som fremgik af deres telefon på tidspunktet for svindlen, var ikke normalt.
Svindlerne var meget dygtige. De gjorde, at det hele virkede så troværdigt, hvilket fik klagerne til at godkende overførsler ud fra nogle forhåndsudfyldte dokumenter.
Det er korrekt, at de selv har autoriseret betalingerne. Banken har været medvirkende, da informationer blev lækket samt konti holdt åbne. Dette førte til, at de kunne blive svindlet. Under svindlen var der forhåndsudfyldte dokumenter ved overførsel i netbank. De godkendte blot overførslerne. Dette er modstridende med bankens oplysning om, at den ikke var ramt af et teknisk svigt.
Banken ønsker ikke at vedkende sig sit ansvar, men betegner bare deres handlinger som ”groft uforsvarlig adfærd”. Dette kan ikke accepteres.
Banken har ikke undersøgt sagen til bunds, og de har ikke fået svar på, hvordan personlige oplysninger kunne lækkes. Banken har ikke svaret på sine egne handlinger, eller forholdt sig til det der ligner en sikkerhedsbrist. Banken har ikke bedt dem om at udspecificere hændelsen, men har blot forholdt sig til, hvad statistikkerne siger.
De har været kunder i banken i 25 år og har altid haft stor tillid og tiltro til banken. De har fulgt bankens råd og anbefalinger. Bankens kunder må stole på, at banken tager ansvar for læk af informationer, som kan føre til svindel. De ønsker en retfærdig afslutning, hvor banken også tager ansvar for dens handlinger og mangel på samme.
Nykredit Bank har anført, at klagerne selv har autoriseret betalingen, hvilket gør det til en autoriseret betaling i overensstemmelse med betalingslovens § 82.
Det fremgår af klagernes egen redegørelse, at transaktionen er foretaget af klagerne selv med godkendelse i MitID og SMS-koder fra banken. Det er ubestridt, at klagerne har foretaget overførslerne selv og uden at udlevere koder eller andet til tredjemand.
At klagerne telefonisk er blevet narret til at foretage overførslen, påvirker ikke det faktum, at klagerne har foretaget overførslerne selv ved godkendelse med MitID og SMS. Dette synspunkt følger tidligere praksis i Ankenævnet.
Klagerne gør gældende, at personlige oplysninger er blevet lækket. Banken bestrider, at personlige oplysninger er blevet lækket af banken. Det bestrides endvidere at bankens netbank eller andre tekniske systemer har været ramt af svigt eller andre fejl.
Banken ville ikke have kunnet forhindre overførslerne, da de var autoriseret af klagerne selv.
Banken har gjort hvad der var muligt for at begrænse klagernes tab i videst mulige omfang. Banken har ikke handlet ansvarspådragende.
Ankenævnets bemærkninger
Klagerne, M og H, var kunder i Nykredit Bank, hvor de havde konti -400, -011 og -168 og netbankadgang.
Klagerne har oplyst, at H onsdag den 3. april 2024 modtog et opkald fra en person, person Z, der udgav sig for at være fra Rigspolitiets sikkerhedsafdeling, som oplyste, at en person J havde optaget et forbrugslån i banken i H’s navn. Person Z oplyste H, at hun senere ville få et opkald fra banken. H spurgte person Z om, hvorfor hun ringede fra skjult nummer, når hun ringede fra politiet. Person Z svarede, at hun gjorde dette af sikkerhedsmæssige årsager. H blev kort tid efter kontaktet af en person T, som udgav sig for at være ansat i banken. Person T spurgte hende, om hun havde været i sin netbank samme dag, og om der var andre, der havde adgang til hendes netbank. H svarede, at hun ikke havde været i sin netbank denne dag, og at det alene var M, der havde adgang til hendes netbank. Klagerne har oplyst, at person T ville hjælpe klagerne med at flytte klagernes penge til en sikkerhedskonto. Herefter modtog de 14 opkald fra person T, og de skulle i samme periode udfylde diverse formularer for at få pengene sikret fra svindlerne. Person T oplyste klagerne, at person T ville kontakte klagerne torsdag den 4. april 2024, hvor de skulle arrangere et møde i banken, og hvor de skulle vise legitimation.
Den 3. og 4. april 2024 blev der foretaget otte netbankoverførsler på i alt 196.620 kr. fra klagernes konti i banken til tredjemands konti.
Banken har anført, at overførslerne blev foretaget via klagernes netbank ved brug af klagernes MitID og ved godkendelse med klagernes MitID og ved bekræftelse ved SMS. Banken har herudover anført, at overførslerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl.
Det lykkedes banken at sikre 63.446 kr., som blev returneret til klagernes konto. Klagerne stod herefter med et tab på 133.174 kr.
Tre medlemmer – Bo Østergaard, Inge Kramer og Janni Visted Hansen – udtaler:
Ud fra klagernes egne oplysninger om, at de selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klagerne, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klagerne blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.
Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagernes tab.
Vi stemmer derfor for, at klagerne ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Anna Marie Schou Ringive – udtaler:
Vi finder, at den manipulation, klagerne er blevet udsat for, er at sidestille med en situation, hvor klagerne har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klagerne har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klagerne bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klagerne skal have 125.174 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klagerne får ikke medhold i klagen.