| Sagsnummer: | 588/2021 |
| Dato: | 23-06-2023 |
| Ankenævn: | Henrik Waaben, Inge Kramer, Jimmy Bak, Tina Thygesen og Kim Korup Eriksen. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ubegrænset hæftelse Betalingstjenester - spørgsmål om groft uforsvarlig adfærd |
| Ledetekst: | Indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse fra en person, der udgav sig for at være fra Nets. Videregivelse af NemID-oplysninger og SMS-koder. |
| Indklagede: | Middelfart Sparekasse |
| Øvrige oplysninger: | OF |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse fra en person, der udgav sig for at være fra Nets. Videregivelse af Nem- ID-oplysninger og SMS-koder.
Sagens omstændigheder
Klageren var kunde i Middelfart Sparekasse, hvor hun blandt andet havde en lønkonto -785, en budgetkonto -793, en opsparingskonto -436 samt netbankadgang.
Onsdag den 1. december 2021 kl. ca. 18.30 blev klageren telefonisk kontaktet af en mand, M, som udgav sig for at være fra Nets Support. M fortalte, at der var nogen, som var i færd med at overføre penge fra klagerens konto, hvilket M kunne stoppe ved at overføre klagerens penge til en sikker konto midlertidigt.
Herefter udleverede klageren sit CPR-nummer, adgangskode til NemID og NemID-nøglekortkode til M.
Sparekassen har fremlagt en SMS-log for klagerens telefonnummer, hvoraf fremgår, at der den 1. december 2021 over et tidsrum på ca. 35 minutter (fra kl. 20:06 til 20:41) blev sendt i alt 14 SMS’er til klagerens telefonnummer med følgende tekst:
”Udlever aldrig denne kode til andre - heller ikke til Sparekassen. Du skal godkende din overførsel på […] DKK til konto […]. Indtast engangskode […] for at godkende overførslen. Er du ikke i gang med at overføre, så kontakt straks Middelfart Sparekasse på tlf. 64 22 22 22 eller vores hotline på tlf. 64 22 22 62, og spær dit NemID.”
Klageren videregav SMS-koderne til M.
Der blev herefter iværksat syv overførsler fra klagerens konti: En overførsel på 25.000 kr., en overførsel på 18.900 kr., en overførsel på 9.990 kr. og en overførsel på 9.800 kr. fra konto -785, en overførsel på 4.000 kr. fra konto -793 og en overførsel på 75.000 kr. og en overførsel på 50.000 kr. fra konto -436, i alt 192.690 kr. til tredjemands konti i et andet pengeinstitut.
Af den af sparekassen fremlagte SMS-log for klagerens telefonnummer fremgår, at der forinden overførslerne blev sendt SMS’er til klagerens telefonnummer for så vidt angår hovedparten af de foretagne overførsler.
Sparekassen har fremlagt en log fra sparekassens datacentral og har oplyst, at det fremgår heraf, at overførslerne skete fra klagerens sædvanlige IP-adresse.
Den 3. december 2021 kontaktede klageren sparekassen, som spærrede klagerens betalingskort, NemID-nøglekort og netbank.
Sparekassen har fremlagt et internt telefonnotat af 3. december 2021, hvoraf blandt andet fremgår:
”[Klageren] blev onsdag d. 1/12 ca. kl. 19 ringet op af [M], som sagde han ringede fra "noget netbank" - kunne også være NemID/Nets. Det var ukendt nr., men han sagde, at de kunne ringe retur til tlf. 72247050 (NemID support), hvis hun havde spørgsmål.
Han ringede, da han kunne se i systemet, at nogen er ved at tage pengene fra hendes konto. Hun kunne ikke huske, om han vidste, at hun var kunde i Middelfart Sparekasse, men han oplyste, at det var han også selv.
Han bad om hendes oplysninger, og hun udleverede cprnr., kode(r) til nøglekort, adgangskode til nemid samt flere koder fra SMS. Han fortalte hende, at han ville flytte hendes penge til en anden sikker konto, og hun fik indtryk af, at han ville flytte dem retur hurtigt igen. "Det hele gik så stærkt". Afslutningsvis sagde han, at nu var alt i orden, og [klageren] ville modtage ny adgangskode inden for 48 timer.
Hun er usikker på, om hun har udleveret oplysning om hendes mand ...
Hun havde ikke betalingskort fremme - og er sikker på ikke at have udleveret oplysninger om det. Kortet udskiftes dog for en sikkerheds skyld.
Hun var ikke selv inde i netbanken, men hun var på computeren, da han henviste hende til teamviewer. Hun kunne ikke redegøre for, hvad der var sket yderligere, hvorfor jeg har mistanke til, at han potentielt har haft adgang til hendes pc. Jeg har derfor anbefalet hende at holde pc lukket og få den renset.”
Klageren har oplyst, at hun ligeledes har indgivet en politianmeldelse i sagen.
Ved en tro- og loveerklæring af 6. december 2021 gjorde klageren over for sparekassen indsigelse mod syv uretmæssige hævninger i hendes netbank på i alt 192.690 kr. Af rubrikken ”Beskriv udførligt omstændighederne” fremgik følgende:
”Onsdag d 1/12-21 cirka kl. 18.30
Ukendt nummer ringede. Manden sagde, at han var fra support for NemID. Han sagde, at han ringede på det tidspunkt (omkring 18.30), fordi der var nogen der var i gang med at overføre 9000 kr. Jeg sagde, at han skulle være klar over, at han snakkede med en ældre dame. Han forklarede at det var derfor han ringede, for at hjælpe så der ikke skulle gå noget galt.
Han præsenterede sig selv som [M], hans adresse var [adresse]. Han opgav nummeret til sin afdeling [telefonnummer], og sagde at jeg kunne ringe til ham på det nummer. Hvis der gik noget galt, oplyste han sagsnummeret 455077.
Han forklarede, at jeg skulle have en ny adgangskode, fordi alle mine penge skulle flyttes over på en anden konto, fordi der var nogen der prøvede at tage dem. Hvis jeg fik en ny adgangskode, kunne de ikke tage pengene. De penge han flyttede første gang skulle flyttes en gang til og med en ny adgangskode. Dette skulle ske indenfor 48 timer, hvilket er grunden til, at jeg først reagerede fredag.
Fredag den 3/12-21 kl. 09:25, 09:28, 09:30, 09:41, 09:44 og 09:51 ringede jeg til nummeret han havde opgivet ([telefonnummer]).
De første gange jeg ringede fik jeg af vide, at de ikke have en [M] ansat hos dem, og de ikke havde noget at gøre med Nem ID support. Jeg ved ikke, hvem jeg fik fat i.
De gav mig et nyt nummer 33980012, som jeg skulle prøve at ringe til. (09:32, 09:45, 09:51)
Da jeg ringede til dette nummer, vidste jeg heller ikke, hvem jeg fik fat i. De fortalte mig, at det ikke var reelt det jeg var blevet kastet ud i. De vejledte mig til at jeg skulle melde det til banken og politiet. De gav mig nummeret til en hotline om ID tyveri 33980098. Efter dette ringede jeg til banken og blev vejledt af dem.”
Sparekassen har oplyst, at det lykkedes at få tilbageført 10.435,74 kr. til klageren, og at tabet herefter udgjorde 182.254,26 kr.
Sparekassen afviste at tilbageføre noget beløb til klageren.
Parternes påstande
Den 28. december 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Middelfart Sparekasse skal tilbageføre 182.254,26 kr. eventuelt med fradrag af selvrisiko.
Middelfart Sparekasse har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at hun har været udsat for svindel.
Da hun i forbindelse med svindlen var temmelig chokeret over, at nogen var i færd med at tømme hendes konto, gjorde hun alt, hvad M bad hende om, da han virkede meget pålidelig og hjælpsom. Hun er en ældre dame på 80 år. Hun var meget stresset i situationen, hvorfor hun ikke nærlæste de SMS’er med bekræftelseskoder, som hun modtog, idet M lod hende forstå, at tingene skulle gå hurtigt, for at undgå, at hendes konto blev tømt.
At M havde adgang til hendes computer via TeamViewer er noget, som sparekassen anfører, for det var hun ikke klar over.
Hun havde alene kontakt med M via mobiltelefonen. Hun havde på intet tidspunkt computeren tændt, mens hun talte med M.
Middelfart Sparekasse har til støtte for frifindelsespåstanden blandt andet anført, at klageren, henset til SMS’ernes ordlyd, handlede med forsæt i forbindelse med videregivelsen. Hun videregav SMS-koderne med forsæt og under forudsætninger, hvor hun indså eller burde have indset, at der var stor risiko for misbrug, hvorfor hun selv er forpligtet til at bære det fulde tab, jf. lov om betalinger § 100, stk. 5.
Phishing-begrebet som beskrevet i lovbemærkningerne til betalingslovens § 100, stk. 5, har ikke været tiltænkt at omfatte de tilfælde, hvor en kunde videregiver SMS-koder, som tydeligt angiver, at de aldrig må udleveres til andre. Phishing-begrebet er tiltænkt de tilfælde, hvor en person ved en fejl kommer til at videregive sine oplysninger via falske links, spammails eller falske hjemmesider, og hvor en kunde f.eks. med føje tror, at de indtaster deres kort- eller login-oplysninger på en rigtig hjemmeside, som efterfølgende viser sig at være falsk.
Nærværende sag, hvor klageren i første omgang videregav sine fortrolige oplysninger over telefonen og delte sin skærm via TeamViewer og efterfølgende videregav en række SMS-koder, går langt ud over, hvad der var tiltænkt med phishing-begrebet i lovbemærkningerne særligt under hensyn til, at SMS-teksten tydeligt angav, at koden aldrig måtte udleveres til andre.
Hvis man ikke i sådanne tilfælde må anses for at have haft forsæt til videregivelsen og efterfølgende en burde-viden om risiko for misbrug, stiller sparekassen sig uforstående over for, hvilke yderligere sikkerhedsforanstaltninger, der skal indføres, førend kunden kan forpligtes til at bære tabet for egen manglende agtpågivenhed. Hvis § 100, stk. 5, ikke kan finde anvendelse i nærværende situation, åbnes der op for, at reglen kan misbruges af svindlere, som kan udnytte pengeinstitutternes ufravigelige forpligtelse til at dække tabet.
Herudover henvises til Ankenævnets principielle afgørelse, 17/2020, hvor Ankenævnet kom frem til, at § 100, stk. 5, fandt anvendelse på trods af, at af den forurettede var blevet udsat for phishing.
Endvidere ventede klageren hele halvandet døgn med at kontakte sparekassen om svindlen.
Svindlen skete fra klagerens egen computer og IP-adresse, og M havde formentlig adgang til klagerens computer via TeamViewer, jf. den fremlagte log fra sparekassens datacentral og det fremlagte interne notat af 3. december 2021. Hvis M ikke fik adgang til klagerens computer, må det i stedet for være klageren selv, der foretog overførslerne.
Sparekassen har under sagen fremlagt Vestre Landsrets afgørelse af 9. december 2022 i sag BS-2380/2022-VLR. I nærværende sag var de SMS’er, som klageren modtog, mere specifikke end dem, som kunden i afgørelsen fra Vestre Landsret modtog. I nærværende sag fremgik det helt specifikt af SMS’erne, hvilket beløb klageren var ved at overføre, hvilket forstærker den burde-viden, som klageren burde have haft, da svindlen stod på.
Til støtte for afvisningspåstanden har sparekassen anført, at en yderligere afklaring af klagerens forsæt og burde-viden vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises.
Ankenævnets bemærkninger
Den 1. december 2021 blev der via netbank foretaget syv overførsler på i alt 192.690 kr. fra klagerens konti i Middelfart Sparekasse til tredjemands konti i et andet pengeinstitut.
Baggrunden for overførslerne var, at klageren samme dag blev kontaktet telefonisk af en person, M, der udgav sig for at være fra Nets Support, og som oplyste, at nogen var i færd med at overføre penge fra klagerens konto, hvilket M kunne afværge, hvis klageren videregav nogle oplysninger til ham. M ville så midlertidigt overføre klagerens penge til en sikker konto. Klageren modtog samme dag i tidsrummet fra kl. 20:06 til 20:46 14 SMS’er. Klageren videregav sine NemID-oplysninger og SMS-koderne til M, og overførslerne blev ifølge oplysninger fra sparekassens datacentral foretaget fra klagerens sædvanlige IP-adresse.
Det lykkedes sparekassen at få tilbageført 10.435,74 kr., og tabet udgjorde herefter 182.254,26 kr.
Ankenævnet lægger til grund, at klageren videregav sine NemID-oplysninger og SMS-koderne til M, samt at M fik adgang til klagerens computer gennem et fjernstyringsprogram.
Ankenævnet finder, at transaktionerne skyldtes tredjemands misbrug af klagerens betalingstjeneste, og at klageren har været udsat for phishing.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionerne, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Forinden overførslerne blev der sendt SMS’er til klagerens telefonnummer for så vidt angår hovedparten af de foretagne overførsler. Ved transaktionerne, der blev gennemført med SMS-engangskoder, blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.
Ankenævnet finder, at sparekassen har godtgjort, at klageren med forsæt har overladt sine NemID-oplysninger og SMS-koder til M, jf. den dom fra Vestre Landsret, som sparekassen har fremlagt (offentliggjort i Ugeskrift for Retsvæsen 2023, side 979), og som angår et tilsvarende sagsforløb. Ankenævnet finder imidlertid, at sparekassen ikke har godtgjort, at klageren gav sine NemID-oplysninger mv. til M under sådanne omstændigheder, at hun indså eller burde have indset, at der var risiko for misbrug ved at videregive oplysningerne. Betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er derfor ikke opfyldt.
Efter betalingslovens § 100, stk. 4, nr. 2, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5. Som anført ovenfor er disse betingelser opfyldt, og klageren hæfter derfor for 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 2.
Ankenævnet finder herefter, at Middelfart Sparekasse skal tilbageføre differencen på 174.254,26 kr. til klagerens konti med valør fra datoen for debiteringerne.
Ankenævnets afgørelse
Middelfart Sparekasse skal inden 30 dage tilbageføre 174.254,26 kr. til klagerens konti med valør fra datoen for debiteringerne.
Klageren får klagegebyret tilbage.