Indsigelse mod transaktioner efter telefonisk henvendelse. Videregivelse af NemID-oplysninger.

Sagsnummer:221/2021
Dato:20-12-2021
Ankenævn:Bo Østergaard, Jesper Claus Christensen, Karin Duerlund, Morten Bruun Pedersen og Anna Marie Schou Ringive
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod transaktioner efter telefonisk henvendelse. Videregivelse af NemID-oplysninger.
Indklagede:Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod transaktioner i forbindelse med telefonisk henvendelse.

Sagens omstændigheder

Klagerne H og M er kunder i Sparekassen Kronjylland, hvor de hver har en NemKonto med tilknyttet betalingskort, og hvor M har en budgetkonto.

Den 19. marts 2020 sendte sparekassen et informationsbrev til klagerne med advarsel mod at udlevere oplysninger. Følgende fremgik blandt andet af brevet:

”Vi opfordrer dig til at være ekstra kritisk, hvis du modtager SMS’er, mails eller telefonopkald, hvor du bliver bedt om at oplyse informationer om dit betalingskort, NemID eller adgang til din netbank.

Svindlerne er nemlig udspekulerede og kyniske, og flere af dem udnytter i øjeblikket, at vi alle er opmærksomme på coronavirus. De udgiver sig for at være en sundhedsmyndighed eller anden autoritet og forsøger at narre penge eller personlige oplysninger fra uskyldige borgere.

Sparekassen Kronjylland har disse gode råd:

  • Videregiv aldrig NemID, koder eller kortoplysninger til andre Sundhedsmyndighed, politi, bankrådgiver og lignende vil aldrig spørge efter disse oplysninger. Bliver du ringet op af en mistænkelig person, så afbryd samtalen.
  • Vær opmærksom på falske hjemmesider og mails
    Der er falske hjemmesider og mails, der blandt andet foregiver at være fra Sundhedsstyrelsen, eller webshops, der udgiver sig for at sælge håndsprit eller mundbind. Vær kritisk og tryk ikke på mistænkelige tilbud eller links.
  • Hent appen ”Mit digitale selvforsvar”
    Forbrugerrådet Tænk og Trygfonden står bag appen ”Mit digitale selvforsvar”, som viser de seneste advarsler om fupmails og –SMSer. Du kan gratis hente appen til din mobiltelefon i App Store eller Play Butik.”

Året efter den 5. marts 2021 klokken 16:10:49 blev der foretaget en udenlandsk betaling på 23.746,73 kr. med H’s kort. Samme dag klokken 16:16:10 blev der foretaget en udenlandsk betaling på 23.665,59 kr. med M’s kort, og klokken 16:18:02 blev der foretaget en straksoverførsel på 9.780,00 kr. fra M’s budgetkonto.

Klagerne gjorde indsigelse mod de tre transaktioner på i alt 57.192,32 kr.. Om baggrunden oplyste klagerne, at H havde udleveret deres personnumre, personlige koder og NemID-nøglekoder på baggrund af en telefonisk henvendelse fra en person, der udgav sig for at være fra Nets. Personen havde fortalt, at der var nogen, der var i gang med at hacke H’s konto, hvilket kunne afværges, hvis H videregav nogle oplysninger.

Efter telefonsamtalen ringede H til sin datter, som kontaktede Nets, hvorefter hun omkring klokken 17 fik spærret klagernes betalingskort og NemID.

 

Sparekassen har anført, at transaktionerne ikke har været ramt af tekniske svigt eller andre fejl og er korrekt registreret.

Den 5. marts 2021 anmeldte klagerne forholdet til politiet.

Den 18. marts 2021 afviste sparekassen at dække klagernes tab.

Den 14. april 2021 fastholdt sparekassen sin afvisning. Sparekassen skrev blandt andet følgende til klagerne:

”I blev den 8. marts ringet op af Sparekassens Fraud-afdeling, da Sparekassen havde fået en alarm på mulig svindel. I denne samtale oplyste [H], at I var blevet ringet op af ”Martin Nielsen” fra ”Netbank” eller ”NemID”. Han fortalte [H] at hendes kort var ved at blive misbrugt for 6.000 kr. og han kunne hjælpe med at få det stoppet. Herefter udleverede [H] NemID oplysninger og kortoplysninger på både [H’s] kort og [M’s] kort.

I samtale med Sparekassens Fraud-afdeling den 9. marts oplyste [H], at hun også havde oplyst cpr. nr. på sig selv og på [M] til ”Martin Nielsen”.

[H] oplyste tillige, at hun ringede til jeres datter [navn], der hjalp jer med at få spærret kort og NemID hos Nets. [H’s] kort blev spærret via Nets den 5. marts kl. 17:13:22 og [M’s] kort umiddelbart efter kl. 17:18:25.

Kortene blev således spærret efter ovennævnte transaktioner blev gennemført.

Den 8. marts undersøgte Fraudafdelingen straks, hvorvidt alle skridt til at minimere tabet var taget og tog kontakt til det pengeinstitut, hvor kr. 9.780,- var overført til. Dette dels for at undersøge, hvorvidt beløbet fortsat var indestående og i givet fald kunne spærres og returneres, og dels for at advare om, at beløbet var overført i forbindelse med en kriminel handling. Beløbet var desværre allerede hævet.

I har oplyst at sagen allerede var anmeldt til politiet og Sparekassen modtog politiets sagsnummer.

Den 9. marts 2021 har I begge udfyldt og underskrevet Tro og Love erklæring til brug for sagen.

Den 18. marts 2021 meddelte Fraud-afdelingen, at Sparekassen desværre ikke kan dække tabet, med baggrund i, at I selv havde udleveret de oplysninger, som har muliggjort anvendelsen af VisaDankortene og lave overførsel via netbank.

Indledningsvist kan det oplyses, at der i de seneste år jævnligt, både i netbanken, på Sparekassens hjemmeside, i TV, radio, aviser, herunder ugeaviser og på sociale medier, er advaret mod svindel, hvor personer ringer op og ønsker personlige koder udleveret, ligesom Sparekassen i marts 2020 fremsendte et brev til jer begge med advarsel mod blandt andet opringninger fra personer, der ville forsøge at misbruge oplysninger.

Sparekassen kan efter den fornyede gennemgang af sagen, ikke komme til en anden afgørelse end den allerede trufne.”

Sparekassen har fremlagt sine Regler for Visa/Dankort, hvoraf det blandt andet fremgår:

”3.2. Særlige råd ved handel med Visa/Dankort på nettet

Pas på dit kortnummer

Opgiv aldrig dit kortnummer, med mindre du er i en decideret købssituation, hvor du ønsker at betale for noget…”

Sparekassen har fremlagt sine Regler for NemID, hvoraf det blandt andet fremgår:

”…

3.2 Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp

Du skal være opmærksom på, at du;

  • skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem
  • ikke må oplyse din adgangskode dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre
  • ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne
  • ikke må skrive din adgangskode/din pinkode til din nøgleapp ned
  • ikke må opbevare adgangskoden sammen med dit nøglekort/din nøgleviser eller på den mobile enhed, hvor din nøgleapp er installeret eller skrive adgangskoden på dit nøglekort/din nøgleviser
  • kun må installere din nøgleapp på din egen mobile enhed.

3.3 Sikkerhed ved brug

Du skal sikre, at

  • dit bruger-id, din adgangskode og dit nøglekort/din nøgleviser/din nøgleapp kun bruges af dig selv og i overensstemmelse med reglerne
  • andre ikke får mulighed for at aflure din adgangskode eller pinkode, når du indtaster den
  • du bruger NemID på en enhed, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret medde seneste sikkerhedsopdateringer

…”

I forbindelse med sagens oplysning har sparekassen anført, at en NemID-nøgle skal anvendes for at ændre telefonnummer og oprette koder på betalingskort via Nets’ hjemmeside. Det betyder, at oplysning af NemID-nøgle og udlevering af kortoplysninger gjorde det muligt for tredjemand at ændre det til kortet tilknyttede mobiltelefonnummer, ligesom det gav mulighed for at oprette en kode, så kortet kunne anvendes til betaling. Meddelelser om køb på klagernes kort blev således fremsendt til andet telefonnummer, der var blevet tilknyttet kortet med NemID.

Parternes påstande

Den 9. maj 2021 har klagerne indbragt sagen for Ankenævnet med principal påstand om, at Sparekassen Kronjylland skal tilbageføre transaktionerne på i alt 57.192,32 kr..

Subsidiært skal sparekassen tilbageføre 57.192,32 kr. med fradrag af 375 kr. eller 8.000 kr..

Sparekassen Kronjylland har nedlagt påstand om principalt afvisning, subsidiært frifindelse og mere subsidiært betaling til H fratrukket 8.000 kr. og frifindelse for så vidt angår M.

Parternes argumenter

Klagerne har anført, at Sparekassen skal betale 57.192,32 kr., medmindre sparekassen dokumenterer, at betalingslovens § 100, stk. 5, finder anvendelse. Sparekassen har således bevisbyrden for, at kravet er omfattet af betalingslovens § 100, stk. 5, og at kravet som følge heraf er bortfaldet.

 

Sparekassen skal i denne sammenhæng dokumentere, at H med forsæt har oplyst sine personlige sikkerhedsforanstaltninger, og at hun på dette tidspunkt indså eller burde have indset, at der var risiko for misbrug. Efter Ankenævnets praksis er dette ikke tilfældet i nærværende sag, jf. eksempelvis Ankenævnets afgørelser 207/2019, 280/2019 og 373/2019 samt U.2019.B.339.

 

H befandt sig i en presset situation, og hendes efterfølgende kontakt til sin datter kan ikke begrunde hendes viden eller burde viden under selve telefonsamtalen, hvor svindlen fandt sted. Under telefonsamtalen var H netop yderst presset, fordi hun blev oplyst om, at hendes konto var ved at blive hacket.

 

Først efter samtalen med datteren og samtalen med sin mand M gik det op for H, at hun måske netop ved telefonsamtalen var blevet udsat for svindel. Som følge heraf skyndte H sig med hjælp fra sin datter at få spærret alle tre konti. Som følge heraf må det lægges til grund, at H efter at være blevet mistænksom efter opringningen har forsøgt at begrænse tabet.

 

Transaktionerne skyldtes tredjemands misbrug af de af H videregivne oplysninger, herunder klagernes NemID-oplysninger.

 

Det gøres gældende, at H i forbindelse med opkaldet fra personen, der udgav sig fra at være fra Nets, har været udsat for phishing.

 

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

 

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5, lovforslag nr. L157 af 15. marts 2017, at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

 

H har ikke med forsæt oplyst de personlige sikkerhedsforanstaltninger til den, der foretog den uberettigede anvendelse.

 

Videregivelse af de personlige sikkerhedsforanstaltninger er ikke sket under omstændigheder, hvor H indså eller burde have indset, at der var risiko for misbrug.

 

Sparekassen Kronjylland har ikke løftet bevisbyrden for, at betingelserne for, at H hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at det ikke fremgår af sagen, om M videregav sine oplysninger til H, der herefter oplyste hans kontonummer, CPR-nummer og NemID-oplysninger til tredjemand. En endelig bevisførelse vil kræve, at der afgives vidneforklaring eller partshøring, der ikke kan finde sted for Ankenævnet.

Sparekassen har til støtte for sin subsidiære påstand om frifindelse anført, at klagerne har modtaget regler for brug af VISA/Dankort, hvoraf det fremgår, at oplysninger ikke må videregives, medmindre man er i færd med at foretage en betaling.

Begge klagere modtog i marts måned 2020 informationsbrev fra sparekassen med advarsel mod at udlevere oplysninger, og sparekassen har siden marts 2020 ved log-on til Netbank advaret mod at udlevere oplysninger til personer, der udgiver sig for at være fra Nets eller andre.

Når H på trods af sparekassens advarsler alligevel udleverer oplysninger ikke alene vedrørende hende selv, men også vedrørende ægtefællen, der ligeledes har modtaget de samme advarsler, måtte det for H være kendt, at der var tale om opkald fra en person uden reelle hensigter, og at klagerne derfor burde vide, at udlevering af oplysninger kunne medføre misbrug.

H’s udlevering af oplysninger om CPR-nummer og NemID-koder og -nøgler, gjorde det muligt dels at oprette en kode til kortene til godkendelse af korttransaktioner og at tilgå klagernes Netbank, så overførsel fra budgetkonto har været muligt.

H udleverede forsætligt oplysningerne, og hun udleverede ikke kun sine egne oplysninger, men også M’s, selvom tredjemand oplyste, at et enkelt beløb var ved at blive hævet.

Klagerne har oplyst, at personen i telefonen fortalte, at der var ved at blive hævet 6.000 kr. på H’s konto. Det er således ikke oplyst, at der var risiko for hævning på M’s konto, hvorfor videregivelse af hans oplysninger var helt unødvendig for at stoppe et beløb, der efter det oplyste, ville blive hævet på H’s konto.

M tillod udlevering af oplysninger, selvom han havde mulighed for at forhindre, at oplysningerne blev videregivet. Det var derfor med fortsæt, at oplysningerne blev udleveret.

Sparekassen har til støtte for sin mere subsidiære påstand anført, at H udleverede sine oplysninger på trods af, at banken havde fremsendt brev med advarsel mod udlevering af oplysninger samt advaret ved log-on til Netbank.

H oplyste CPR-nummer, NemID-kode, NemID-nøgler og kortnummer vedrørende både sig selv og M.

M skal hæfte for det fulde beløb, da han imod sparekassens Regler for Visa/Dankort og Regler for NemID bevidst overlod sine kontooplysninger til H og dermed muliggjorde misbrug af kortet. Han udlod således at forhindre H’s misbrug af kortet.

 

Ankenævnets bemærkninger

Indledningsvis bemærkes, at Ankenævnet ikke finder, at sagen skal afvises.

Klagerne H og M er kunder i Sparekassen Kronjylland, hvor de hver har en NemKonto med tilknyttet betalingskort, og hvor H har en budgetkonto.

Den 5. marts 2021 blev der ved misbrug af begge klagernes NemID hævet i alt 57.192,32 kr. på klagernes konti. Der blev således foretaget en udenlandsk betaling på 23.665,59 kr. med H’s kort, en udenlandsk betaling på 23.665,59 kr. med M’s kort, og der blev foretaget en straksoverførsel på 9.780,00 kr. fra M’s budgetkonto. Misbruget skete i forbindelse med phishing, hvor H udleverede NemID-oplysninger til tredjemand, som H troede var fra Nets.

Sparekassen Kronjylland afviste at tilbageføre de pågældende beløb til klagerne.

Ankenævnet lægger til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagernes NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5, (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Tre medlemmer – Bo Østergaard, Morten Bruun Pedersen og Anna Marie Schou Ringive – udtaler:

Vi finder, at klagerne har været udsat for phishing, og at sparekassen ikke har godtgjort, at betingelserne for, at klagerne, der må anses for at have været i en presset situation, hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Vi finder, at klagerne ved at videregive sine NemID-oplysninger under de foreliggende omstændigheder ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klagerne som følge heraf hver især hæfter med op til 8.000 kr., selvom det som anført må lægges til grund, at de har været udsat for phishing.

Sparekassen Kronjylland skal herefter tilbageføre 41.192,32 kr. til klagerne.   

To medlemmer – Karin Duerlund og Jesper Claus Christensen – udtaler:

Under henvisning til de løbende advarsler klagerne har modtaget fra indklagede mod blandt andet svindel og phishing, herunder navnlig de direkte personlige henvendelser dateret den 19. marts 2020, og til de omstændigheder, som flertallet har nævnt, finder vi ikke, at klageren uforvarende har overladt NemID-oplysninger m.m. til tredjemand, for M’s vedkommende til H med henblik på øjeblikkelig videregivelse til tredjemand.

Vi finder derfor, at H ved at videregive CPR-nummer, NemID-kode, NemID-nøgler og kortnummer vedrørende både sig selv og M til tredjemand under disse omstændigheder med forsæt (frivilligt) har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor klagerne indså eller burde have indset, at der var risiko for misbrug. Klagerne hæfter derfor uden beløbsbegrænsning.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen Kronjylland skal inden 30 dage tilbageføre 41.192,32 kr. til klagerne med valør for debiteringen af transaktionerne.

Klagerne får klagegebyret tilbage.