Indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og SMS-koder.

Sagsnummer:402/2020
Dato:02-06-2021
Ankenævn:Bo Østergaard, Inge Kramer, Ida Marie Moesby, Poul Erik Jensen.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og SMS-koder.
Indklagede:Nykredit Bank, Spar Nord Bank, Vestjysk Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og SMS-koder.

Sagens omstændigheder

Klageren var både kunde i Nykredit Bank og i Spar Nord Bank. I begge banker havde hun en konto med netbankadgang.

Klageren var endvidere kunde i Vestjysk Bank, hvor hun havde en fælleskonto sammen med en medkontohaver. Klageren havde netbankadgang til kontoen.

Onsdag den 9. september 2020 om eftermiddagen blev klageren kontaktet telefonisk af en person, P, der udgav sig for at være fra Nykredits sikkerhedsafdeling. Klageren oplyste i løbet af telefonsamtalen sit CPR-nummer og NemID adgangskode til P. Efterfølgende blev der sendt fire SMS’er til klagerens telefonnummer, jf. nedenfor.

Nykredit Bank har oplyst, at der den 9. september 2020 kl. 13:27 og kl. 14:11 blev foretaget to overførsler på henholdsvis 40.000 kr. og 10.200 kr. fra klagerens konto i banken til tredjemands konto i et andet pengeinstitut. Der blev, forinden overførslerne fandt sted, den 9. september 2020 henholdsvis kl. 13:26 og kl. 14:11 sendt en SMS til klagerens telefonnummer vedrørende de omhandlede overførsler. Banken har fremlagt ordlyden af den type SMS, som banken anvender:

”Koden i denne sms er personlig. Du er ved at overføre [xx] DKK til en konto i [bank] og skal godkende med en sms-kode. Er du ikke ved at overføre penge, skal du straks spærre din netbank. Oplys aldrig koden til andre – kun kriminelle beder om den slags. Benyt kode [engangskode]”

Spar Nord Bank har oplyst, at der den 9. september 2020 kl. 14:36 blev oprettet en overførsel i netbanken fra klagerens konto i banken til tredjemands konto i et andet pengeinstitut, som blev godkendt med NemID. Der blev herefter sendt en SMS til klagerens telefonnummer med følgende ordlyd:

”Du er ved at overføre 42.000 DKK til konto i [bank] og skal godkende med koden i denne besked. Er du ikke ved at overføre penge, skal du straks spærre din netbank. Oplys aldrig koden til andre – kun forbrydere beder om den slags. Din engangskode er: [engangskode]."

Vestjysk Bank har oplyst, at der den 9. september 2020 blev oprettet en overførsel på 25.000 kr. fra klagerens fælleskonto i banken til tredjemands konto i et andet pengeinstitut. Kl. 16:03 blev der sendt en SMS til klagerens telefonnummer af samme type og med samme ordlyd, som den, der er fremlagt af Nykredit Bank, jf. ovenfor.

Der blev via klagerens netbank hos de indklagede banker overført i alt 50.200 kr. fra klagerens konto i Nykredit Bank, 42.000 kr. fra klagerens konto i Spar Nord Bank og 25.000 kr. fra klagerens fælleskonto i Vestjysk Bank, i alt 117.200 kr., til tredjemands konto i et andet pengeinstitut. Transaktionerne blev gennemført ved brug af klagerens NemID-oplysninger samt ved brug af de modtagne SMS-koder, og transaktionerne blev godkendt i klagerens NemID nøgleapp på hendes telefon.

Senere om eftermiddagen den 9. september 2020 underrettede klageren de tre banker om, at hun havde været udsat for svindel. Spar Nord Bank har oplyst, at henvendelsen fra klageren fandt sted kl. 16:50.

Efterfølgende gjorde klageren indsigelse over for de tre banker mod de uretmæssige hævninger. Af en af klageren udarbejdet skriftlig redegørelse for hændelsesforløbet fremgik følgende:

”[Sted] d 10/9 2020

Jeg bliver ringet op på min tlf onsdag d 9/9 kl. ca 13.30 af en mand, der præsenterede sig som [P] og foregav at være fra Nykredits sikkerhedsafdeling og som arbejdede med at forhindre kriminalitet i forhold til nem id. Han fortalte at der muligvis var forsøgt hævet et større beløb på min konto, og spurgte ind til vores it sikkerhed herhjemme og internetudbyder. Han spurgte efter oplysninger om nøgle app, da han sagde at nogen måske havde misbrugt det, og ville i første omgang have mig til at logge ind på banken.

Da jeg på det tidspunkt sad i bilen (og lige var kommet ud fra coronatest) sagde jeg at det kunne jeg ikke. Han overbeviste mig om, at det var vigtigt at få stoppet de overførsler så hurtigt som muligt, og at pengene kunne tilbageføres, hvis det blev gjort på en bestemt måde og til det skulle han bruge mit cpr og min kode til nem id. Bad mig om at samarbejde så problemet hurtigt kunne løses. Jeg oplyste modvilligt begge dele og sagde at jeg selv ville kontakte Nykredit.

Han sagde at han hav[d]e et tæt samarbejde med politiet i Herning og nævnte en [navn] ? Fortalte også at jeg ville blive kontaktet af politiet efterfølgende. Jeg foreslog at jeg selv kontaktede politiet, men han sagde at dem kunne jeg snakke med efterfølgende.

Han vidste en del om mig, både hvor jeg boede, hvad min mand hed og de første 6 cifre i mit cpr nr. [P’s navn] er også er navnet på min bror.

Jeg blev temmelig rystet over at nogen var ved at stjæle mine penge, og var fast besluttet på at kontakte Nykredit så jeg lagde på, og tog hjem for at gå en tur med telefonen.

Han ringede op igen inden jeg havde fået kontaktet Nykredit, og så sendte han mig sms er med koder, som jeg skulle videregive til ham. Han forklarede at når han bare godkendte det, ville beløbene blive omrokeret og komme tilbage til min konto, så det var nulstillet. Sagde at jeg skulle se bort fra teksten, da det jo bare var en standard Nykredit sendte ud. Jeg godkendte i nøgleapp på min tlf.

Han var meget veltalende og formåede at overbevise mig om at han virkelig var fra Nykredit.

Han spurgte ind til om der var flere af mine konti, der kunne være i fare, og så gjorde jeg opmærksom på konto i Spar Nord og i Vestjysk bank. Undervejs lod det til at han tal[t]e med andre medarbejdere i andre banker, og han sagde at jeg skulle tage det roligt, for nu havde vi næsten styr på det.

Han insisterede på at holde kontakten mens han arbejdede, for loven foreskrev at man skulle holde kontakten til processen var til ende.

Jeg troede at jeg var i færd med at hjælpe til at mine konti ikke blev tømt og at forbedre sikkerheden.

Pludselig forsvandt han, og efterfølgende fandt jeg ud af at jeg havde hjulpet ham med at tømme mine konti.

Kontaktede banken og spærrede alt."

Nykredit Bank tilbageførte 42.200 kr. til klagerens konto svarende til de hævede beløb på 50.200 kr. med fradrag af 8.000 kr.

Spar Nord Bank afviste klagerens indsigelse.

Vestjysk Bank tilbageførte 17.000 kr. til fælleskontoen svarende til hævningen på 25.000 kr. med fradrag af 8.000 kr.   

Parternes påstande

Den 14. oktober 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank, Spar Nord Bank og Vestjysk Bank skal tilbageføre de uberettigede hævninger alene med fradrag af et samlet beløb på 375 kr., subsidiært et samlet beløb på 8.000 kr.

Nykredit Bank og Vestjysk Bank har nedlagt påstand om frifindelse.

Spar Nord Bank har nedlagt påstand om principalt frifindelse, subsidiært at klageren selv hæfter for 8.000 kr. af den omtvistede overførsel på 42.000 kr.

Parternes argumenter

Klageren har anført, at hun blev franarret sine oplysninger og handlede i god tro.

Hun var i ca. 2 timer i en choktilstand, og i bagklogskabens klare lys handlede hun irrationelt. P forstod meget dygtigt at ”køre hende op” og lokke hende til at foretage de skæbnesvangre handlinger.

Hun bør derfor alene hæfte for en eventuel selvrisiko på 375 kr.

Sagen bør behandles som en samlet hændelse og ikke som tre sager med beregning af tre gange selvrisiko. Sagen skal derfor have en samlet afgørelse, så hun højst hæfter for et beløb på 8.000 kr. og helst kun et beløb på 375 kr.

Nykredit Bank har anført, at klageren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at klageren derved som minimum har handlet groft uforsvarligt og derved har muliggjort den uberettigede anvendelse, idet klageren har oplyst gerningsmanden om CPR-nummer, kode til NemID samt videregivet kode fra SMS’er til gerningsmanden trods advarsler om dette og i en ikke-presset situation. Det bemærkes, at samtalen undervejs blev afbrudt af klageren, hvor hun havde mulighed for at overveje sin situation sammenholdt med, at teksten i SMS'en både oplyser, hvilken transaktion, der er i gang og direkte advarer mod at oplyse koden til nogen, da kun kriminelle vil efterspørge denne.

Ved disse handlinger er det bankens opfattelse, at forholdet falder ind under betalingsloven § 100, stk. 5, men banken har af hensyn til Ankenævnets praksis dækket klagerens tab bortset fra hæftelsen på 8.000 kr., som følger af betalingslovens § 100, stk. 4, nr. 2 og 3.

Da klageren således allerede har fået fuld erstatning minus den ovenfor nævnte egen hæftelse, bør klageren ikke få medhold i sin påstand om blot at hæfte for 375 kr.

For så vidt angår klagerens påstand om "at sagen skal have ”en samlet afgørelse, så [klageren] højst kan betale gebyr på 8000 kr." i alt, bør der ikke gives klageren medhold, da der ikke er nogen hjemmel til dette, idet hver udbyder af betalingstjenester hæfter for sig i medfør af betalingslovens § 100.

Transaktionerne i Nykredit Bank er endvidere korrekt registreret og bogført og er ikke ramt af tekniske svigt eller andre fejl.

Spar Nord Bank har til støtte for frifindelsespåstanden anført, at det kan lægges til grund, at klageren har været udsat for phishing. Udgangspunktet i Ankenævnets praksis og i betalingslovens §100, jf. bemærkningerne til bestemmelsen, er herefter, at klageren ikke hæfter fuldt ud for tab som følge af andres uberettigede anvendelse af betalingstjenesten.

Når banken alligevel fraviger dette klare udgangspunkt, sker det med henvisning til sagsfremstillingen, hvoraf fremgår, at klageren allerede indledningsvist var mistænksom over for den person, der ringede hende op og var fast besluttet på selv at kontakte Nykredit.

Misbruget af klagerens konto i Spar Nord Bank skete først ved en senere henvendelse, efter at hun var kommet hjem og havde gået en tur. Klageren var således ikke i en uafbrudt presset situation uden at have haft tid til at tænke over tingene.

Klageren stillede ikke spørgsmål ved, at en person, der angiveligt ringede fra en bestemt bank, foretog transaktioner i andre banker, og klageren videregav koden fra verifikations-SMS’en til svindleren på trods af den meget tydelige advarsel i teksten - en advarsel som klageren ikke kunne overse.

Klageren burde under disse omstændigheder have indset, at der ved videregivelsen af koden var risiko for misbrug, hvorfor klageren selv hæfter uden beløbsbegrænsning for tabet, jf. betalingslovens § 100, stk. 5.

Til støtte for den subsidiære påstand har Spar Nord Bank anført, at klageren ved at videregive koden under de nævnte omstændigheder og med den klare advarselstekst i SMS’en har udvist groft uforsvarlig adfærd og derfor hæfter for 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 4, nr. 3.

Det følger af ordlyden af betalingslovens § 100, stk. 4, at klagerens hæftelse på 8.000 kr. vedrører ”tab som følge af andres uberettigede anvendelse af betalingstjenesten”. Der ses ikke at være hjemmel til at begrænse klagerens hæftelse til en gange 8.000 kr., når der er tale om misbrug af tre forskellige betalingstjenester.

Vestjysk Bank har anført, at forholdet efter de foreliggende omstændigheder falder ind under betalingslovens § 100, stk. 5, og at banken kunne have nægtet at dække hele klagerens tab i forhold til den stedfundne hævning, jf. betalingslovens § 100, stk. 5. Banken har imidlertid valgt at dække tabet fratrukket 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 2 og 3.

Der er tale om, at klageren med forsæt har overdraget den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af betalingslovens § 100, stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2. Subsidiært er der tale om, at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Det er en skærpende omstændighed i sagen, at klageren har overgivet oplysninger vedrørende adgangen til hævning på en konto i banken til en person, som har udgivet sig for at være medarbejder i et andet pengeinstitut.

Det er endvidere en skærpende omstændighed, at klageren i forbindelse med svindlen har videregivet den ekstra sikkerhedskode, som hun modtog via SMS.

Ankenævnets bemærkninger

Den 9. september 2020 blev der via netbank overført 40.000 kr. og 10.200 kr., i alt 50.200 kr., fra klagerens konto i Nykredit Bank, 42.000 kr. fra klagerens konto i Spar Nord Bank og 25.000 kr. fra klagerens fælleskonto i Vestjysk Bank til tredjemands konto i et andet pengeinstitut.

Baggrunden for transaktionerne var, at klageren den samme dag blev kontaktet telefonisk af en person, P, der udgav sig for at være fra Nykredits Sikkerhedsafdeling. P oplyste, at der muligvis var forsøgt hævet et større beløb på klagerens konto, at det var vigtigt at få stoppet overførslerne så hurtigt som muligt og tilbød at hjælpe med dette. Til brug for at tilbageføre pengene skulle han bruge klagerens CPR-nummer og kode til hendes NemID.

De tre indklagede banker har oplyst, at der den 9. september 2020 blev sendt en SMS vedrørende hver af de fire overførsler til klagerens telefonnummer med en kode og med oplysning om, at koden var til godkendelse af en betaling på et nærmere angivet beløb til en konto i et nærmere angivet pengeinstitut.

Transaktionerne blev gennemført ved brug af klagerens NemID-oplysninger samt ved brug af de modtagne SMS-koder, og transaktionerne blev godkendt i klagerens Nem-ID nøgleapp på hendes telefon.

Det lægges efter det oplyste til grund, at klageren videregav sit CPR-nummer og sin adgangskode til NemID og de modtagne SMS-koder til P, samt at klageren godkendte transaktionerne i sin NemID nøgleafpp på sin telefon.

Transaktionerne skyldtes tredjemands misbrug af klagerens NemID.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Nykredit Bank tilbageførte 42.200 kr. til klagerens konto svarende til de hævede beløb på 50.200 kr. med fradrag af 8.000 kr., og Vestjysk Bank tilbageførte 17.000 kr. til fælleskontoen svarende til hævningen på 25.000 kr. med fradrag af 8.000 kr.  

Spar Nord Bank afviste i første omgang at tilbageføre noget beløb til klagerens konto.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5, (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder, at de tre indklagede banker ikke har godtgjort, at betingelserne for, at klageren, der må anses for at have været i en presset situation, hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Det fremgik af de til klageren sendte SMS’er, at hun ved brug af SMS-koden godkendte overførsler på nærmere angivne beløb til en konto i et andet pengeinstitut.  Ankenævnet finder, at klageren ved at videregive sine NemID-oplysninger og SMS-koderne ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klageren som følge heraf hæfter med op til 8.000 kr., selv om det som anført må lægges til grund, at hun har været udsat for phishing.

Da der er tale om tre forskellige betalingstjenester, idet de tre indklagede banker hver er udbyder af en betalingstjeneste, hæfter klageren i medfør af betalingslovens § 100, stk. 4, nr. 3, for op til 8.000 kr. over for hver af de indklagede banker.

Klageren får herefter ikke medhold i klagen over Nykredit Bank og Vestjysk Bank.

Spar Nord Bank skal tilbageføre differencen på 34.000 kr. til klagerens konto med valør fra datoen for debitering af transaktionen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen over Nykredit Bank og Vestjysk Bank.

Spar Nord Bank skal inden 30 dage tilbageføre 34.000 kr. til klagerens konto som ovenfor anført.

Klageren får klagegebyret tilbage.