Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald. Indsigelse mod korttransaktioner til kryptovalutabørser. Social engineering. Adgang til PC og telefon via fjernstyringsprogram.

Sagsnummer: 264/2023
Dato: 28-02-2024
Ankenævn: Bo Østergaard, Jimmy Bak, Karin Sønderbæk, Morten Bruun Pedersen og Kim Korup Eriksen.
Klageemne: Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst: Indsigelse mod at hæfte for netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald. Indsigelse mod korttransaktioner til kryptovalutabørser. Social engineering. Adgang til PC og telefon via fjernstyringsprogram.
Indklagede: Sparekassen Balling
Øvrige oplysninger: SD
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald. Indsigelse mod korttransaktioner til kryptovalutabørser. Social engineering. Adgang til PC og telefon via fjernstyringsprogram.

Sagens omstændigheder

Klageren var kunde i Sparekassen Balling, hvor hun havde konti og adgang til netbank.

I perioden fra den 13. til den 23. december 2022 blev der foretaget seks netbankoverførsler på i alt 162.000 kr. fra klagerens konti til tredjemands konti i andre pengeinstitutter, tre overførsler indbetalt til klagerens konti på i alt 107.253,54 kr. (50.000 kr., 21.000 kr. og 36.253,54 kr.) samt to korttransaktioner i EUR til to kryptovalutabørser, som klageren ikke kan vedkende sig. Af kontoudskrift fremgår to kortbetalinger på henholdsvis 450 EUR og 100 EUR.

Sparekassen har vedrørende de tre overførsler til klagerens konti oplyst, at to af overførslerne var udbetaling af provenu af nogle lån optaget i klagerens navn i to pengeinstitutter, P1 og P2, og at den tredje overførsel på 36.253,54 kr. var en tilbageførsel/returnering fra pengeinstituttet P3 til klageren i forbindelse med en netbankoverførsel fra klagerens konto.

Om baggrunden for transaktionerne har klageren oplyst, at hun over længere tid var blevet kontaktet telefonisk af en svindler, S, der udgav sig for at være fra et investeringsfirma, som skulle lukke nogle bitcoinkonti. S oplyste, at klageren havde mange tusinde kroner stående på en lille bitcoin investering, som klageren havde udført. Hvis klageren samarbejdede med S, ville hun få disse penge udbetalt. S pressede hende til at installere et fjernstyringsprogram på både hendes PC og telefon under påskud af at ville hjælpe hende.

Sparekassen har oplyst, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, og at de blev godkendt via MitID-app og ved engangskode sendt pr. SMS til klagerens telefonnummer. Klageren har anført, at hun ikke modtog sådanne SMS’er, og at hun ikke godkendte transaktionerne.

Sparekassen har fremlagt en transskription af klagerens (K) samtaler med sparekassen (R) den 23. og 29. december 2022 samt den 4. og 20. februar 2023, hvoraf det blandt andet fremgår:

Samtale den 23. december 2022:

”… R: Nå K, jeg har lige talt med vores support. Det er lidt noget rod.

K: Meget rod, det kan vi godt blive enige om.

R: Ja, fordi umiddelbart har du optaget lån for 100.000. Kan det passe?

K: Det håber jeg ikke da.

R: Det er jo gået nogle penge ind.

K: Ja det er jo det.

R: Ja. Du har politianmeldt det ikke?

K: Nej, men det gør jeg. Det sagde hun (red: medarbejder fra Sparekassen) at jeg skulle gøre. …

K: Jeg er fuldstændig enig med dig i det er noget rod …

R: har det været uoverskueligt med det der kort? Eller hvordan? Har du brug for hjælp til noget?

K: Dumhed, tror jeg. Det er dyrt at være fattig. Så falder man jo for alt muligt mærkeligt.

R: Altså de der 50.000, det er noget du troede du investerede i noget?

K: Øh nej, det var det ikke. …”

Samtale den 29. december 2022:

”… R: Vi er jo også blevet kontaktet af [P3] med de der penge du har overført blandt andet. Har du det der overblik over hvad du har taget af lån?

K: Nej det har jeg simpelthen ikke.

R: Men du har politianmeldt det?

K: Ja det sagde hun jo jeg skulle. …”

Samtale den 3. februar 2023:

” … R: Der står 36.000 på en opsparing. Det er jo dem de nåede at stoppe. …

R: Det er jo nogen af de penge, som du har været i sving med at overføre rundt omkring. Der var nogle af de ting jo blevet stoppet. Og blandt andet det der ja. …

K: og så snakkede du om at du kunne se at der var lån i op til 17 banker. Hvordan ved du det?

R: Jamen det sagde du jo selv.

K: Nej jeg sagde 12

R: Nej du sagde 17, da du var herinde. Men det du skal gøre er, når din årsopgørelse fra skat kommer, altså alt andet lige vil de jo også begynde at komme med noget opkrævning til dig. Er der begyndt at komme nogen af dem?

K: Ja der er så. Men det er de to banker i bad mig kontakte. …”

Samtale den 20. februar 2023:

”… R: Det der du havde sendt. Skal du bare have mundtlig svar på det?

K: Nej jeg vil gerne have et skriftligt svar, da min hukommelse er en si. Som jeg skrev også i en mail

R: men vi er stadigvæk enige om, at du har overført?

K: Nej det har jeg ikke.

R: Men du har jo fået sms’er om at du skal godkende beløbene før transaktionen sker

K: Nej det har jeg ikke.

R: Men du har vel overladt dit Nemid til andre, så de kunne låne pengene?

K: Jaja det har jeg godkendt….

R: Men du kan jo ikke overføre så store beløb uden at få en SMS godkendelse.

K: Jamen det har jeg ikke fået

R: Siger du at du aldrig har fået sms godkendelse, når der er overført penge herfra?

K: Ja

K: jeg har markeret de beløb jeg ikke vil vedkende mig med mark-pen, så kan du lige tage dem med til juridisk afdeling

R: Du siger du ikke, at du ikke kender til dem? Altså du siger på tro og love at du ikke har fået nogen sms’er på det?

K: Ja at der skulle hæves nogle penge ja. …

R: Men du har jo erkendt at du godt vil låne nogle penge til og investere for. Havde du ikke?

K: Sådan er det ikke foregået, R.

R: Jamen det sagde du da dengang du snakkede med mig. Hende damen du talte med havde overtalt dig til at investere nogle penge i forskellige investeringsprojekter.

K: Jamen det var nogle penge jeg havde investeret, og for at jeg kunne få dem udbetalt. Det var de her banker de samarbejder med. Nej nej sagde hun (red. svindleren). Det er heller ikke lån, de kan overføre de der penge til mig. Implicit har jeg forstået at de penge der var på den der Bitcoin konto, altså det blev betalt til det her lånefirma, der overførte pengene til mig. …”

Den 19. februar 2023 gjorde klageren indsigelse overfor sparekassen og anførte:

”Som I ved, har jeg desværre været udsat for phising/datasvindel, idet for mig ukendte personer, vha social engineering har skaffet sig adgang til min bankkonto og franarret mig mange penge ved at udgive sig for, at være et investeringsfirma Det viste sig desværre at være ulovlig phising/datasvindel.

Jeg har talt med en advokat hos retshjælpen om min retsstilling, da jeg naturligvis er ked af, at jeg har ladet mig snyde og er franarret mine penge. Jeg vil derfor gerne gøre opmærksom på, at banken som udgangspunkt skal tilbagebetale de penge der er hævet på min konto og at jeg sandsynligvis har en selvrisiko på optil 8000 kr., da jeg har ladet mig snyde og godkende adgang til min bankkonto….”

Klageren meddelte, at hun gjorde indsigelse overfor følgende transaktioner:

”… Opsparingskonto:

13.12 er der hævet 45.000 kr. og 5.1 er der tilbageført 36.253.54 kr. fra Danske bank

23.12 er der hævet 2 x 10.000 kr.

23.12 er der returneret 21.000 kr. fra ???

23.12 er der lavet to straks overførsler fra kontoen på 46.000 kr + 1.000 kr

23.12 går der 50.000 kr. ind fra [P1]. (Penge lånt i mit navn)

19.12 hæves der 50.000 kr.  

16.12 indsættes der 50.000 kr fra ???

Posteringer fra madkontoen

28.12 x 2 450 EUR til [B], Vilnius”

Af en fremlagt kontoudskrift fremgår to kortbetalinger på henholdsvis 450 EUR og 100 EUR den 28. december 2022. Sparekassen har fremlagt en oversigt over SMS’er sendt til klagerens telefonnummer, blandt andet med oplysning om koder til køb hos to kryptovalutabørser, B og C på 450 EUR og 100 EUR den 23. december 2022 samt udskrift fra sit system vedrørende kortbetalingen til B, hvoraf det fremgik, at betalingen var indløst med sikkerhedsløsningen 3 D Secure.

Sparekassen har fremlagt en oversigt over IP-adresser brugt via klagerens netbank i perioden fra den 13. til den 24. december 2022.

Sparekassen har endvidere fremlagt korrespondance med sparekassens datacentral, som forestår udsendelse af SMS’er på vegne af sparekassen, hvoraf det blandt andet fremgår:

”I forhold til transaktionen på 45.000 d. 13/12 2022, så kan jeg desværre ikke levere en log der præcist beviser, at der er sendt en SMS til … om det. Det jeg kan gøre er flg.: Sessionsloggen viser, at transaktionen på de 45.000 er foretaget i en netbank session der starter 13/12 2022 kl. 10:18. Transaktionen er foretaget fra den samme computer/browser som er blevet brugt i alt 165 gange siden d. 30/3 2022 og 25/6 2022. Det er således overordentlig sandsynligt, at det er kundens egen stationære/bærbare Windows 7 PC. Så vi ved, at transaktionen er udført fra kundens egen pc. For at transaktionen kunne blive gennemført, så blev der krævet en engangskode. Denne engangskode er blevet indtastet korrekt. Så hvis det ikke er kunden selv, så er engangskoden alligevel blevet indtastet på kundens egen pc. Hvordan har en eventuel svindler som angiveligt skulle have modtaget denne SMS kunne indtaste den på kundens egen PC? Ikke alene er transaktionen udført fra kundens egen PC. Der er også anvendt den samme IP-adresse som kunden har brugt i månedsvis. Så kundens egen PC har stået samme sted hvor den plejer.”

Parternes påstande

Den 26. april 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Balling skal tilbagebetale de omtvistede hævninger mod en selvrisiko, jf. betalingslovens § 100, stk. 3, subsidiært betalingslovens § 100, stk. 4.

Sparekassen Balling har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren, der delvist har været repræsenteret af en advokat i klagesagen, har blandt andet anført, at hun blev udsat for ”Social Engineering” af S, der næsten dagligt ringede til hende. S pressede hende til at installere et fjernstyringsprogram på hendes PC og hendes telefon under påskud af at ville hjælpe hende. S sagde, at den bitcoin, hun i sin tid købte for 500 kr., kunne blive indfriet for 20.000 kr. Det kan ikke bebrejdes hende at have en tiltro til denne påstand, da bitcoins er steget voldsomt. S udnyttede den sociale interaktion og brugte psykiske kneb til at manipulere hende til at udlevere informationer, indgå økonomiske forpligtelser og tømme hendes konti. S pressede hende til at logge på netbank adskillige gange.

At det er hendes PC, der blev anvendt til svindlen, kommer ikke som den store overraskelse for hende, da hun det meste af december måned blev belejret af S på telefonen i timevis. S brugte også et fjernstyringsprogram (Anydesk) på både hendes PC og hendes telefon under påskud af at ville hjælpe hende, hvilket hun på det tidspunkt var taknemmelig for, da hun ikke er særlig it-kyndig. S bearbejdede hende til at logge på netbank og lade hendes PC stå åben og tilgængelig.

På et tidspunkt, hvor S ikke var under opsyn, tømte S hendes opsparingskonto. Da hun foreholdt S tyveriet, nedgjorde S hende ved at sige, det var småpenge i sammenligning med de penge, S arbejdede på at få udbetalt til hende. S pressede hende desuden til at godkende adskillige lån hos udenlandske banker, som S samarbejdede med.

Hun har aldrig godkendt disse store transaktioner og har heller ikke haft kendskab til dem. Der er IKKE sendt SMS’er. Hun har en hjerneskade efter to hjerneblødninger og har kognitive udfordringer i sin dagligdag og er som førtidspensionist økonomisk presset.

Af det transskriberede uddrag fra sparekassen af samtalen den 23. december 2022 fremgår det tydeligt, at hun ikke har været bevidst om, at der var optaget lån for 100.000 kr. Da dette blev opdaget, blev hendes kort spærret, NemID blev deaktiveret, og hun indgav en politianmeldelse.

Betalingslovens § 100, stk. 5 finder ikke anvendelse. Bestemmelsen gælder alene, hvis sparekassen beviser, at hun med forsæt til, at der skulle ske den uberettigede anvendelse, har oplyst sine personlige sikkerhedsforanstaltninger. Sparekassen har ikke løftet bevisbyrden. Hun har på intet tidspunkt haft forsæt til, at der skulle optages lån eller overføres beløb fra sin konto, og mere centralt har hun ikke haft forsæt til, at lånebeløbene skulle videreføres fra sin konto.

Ankenævnet lægger i sin praksis vægt på, om betaleren var i en presset situation. I de tilfælde, hvor Ankenævnet fandt, at betaleren var i en presset situation, blev betaleren ikke pålagt at hæfte, jf. betalingslovens § 100, stk. 5. I disse tilfælde har Ankenævnet fundet, at forholdene var omfattet af betalingslovens § 100, stk. 4, idet betaleren havde udvist groft uforsvarlig adfærd. Ankenævnet har endvidere fastslået, at betaleren har været udsat for phishing i de tilfælde, hvor betaleren ved telefonisk henvendelse er blevet franarret sin personlige sikkerhedsforanstaltning, jf. afgørelserne 221/2021, 210/2021 og 402/2020 uden hensyn til, at dette var en stærk kundeautentifikation.

Der var tale om organiseret professionel svindel, som det ikke kan forventes, at almindelige forbrugere kan værne sig imod. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er vitale for at fungere i et moderne samfund. Sparekassen må være nærmest til at bære et tab som dette. Hun undrer sig over, at sparekassen ikke reagerede på nogle højst unormale transaktioner, hvor store beløb både gik ud og ind på hendes konti. Allerede første gang, da der blev overført 45.000 kr. til en udenlandsk konto, burde der have været et beredskab fra sparekassen.

Sparekassen Balling har blandt andet anført, at klageren oprindeligt erkendte, at hun selv godkendte transaktionerne via sit MitID. Klageren skiftede sidenhen forklaring, selv om den samme IP-adresse fremgår i hele december måned.

Der er ikke tale om tredjemands misbrug, jf. betalingslovens § 100, men om at klageren har ladet sig narre til at overføre pengene. Transaktionerne var autoriserede og blev gennemført af klageren selv. Transaktionerne blev gennemført fra en enhed og den IP-adresse, som klageren tidligere har benyttet i tidsmæssig sammenhæng med de i denne sag omhandlede overførsler. Sammenholdt med klagerens udsagn i samtalen med hendes rådgiver fra sparekassen den 23. december 2022 får man det indtryk, at klageren selv har medvirket til overførslerne.

Klageren kan ikke påberåbe sig hæftelsesbegrænsningerne i betalingslovens § 100. Det må som minimum kunne forventes, at betaler læser beløbets størrelse, inden overførslen sker. I dette tilfælde fik klageren SMS’er med bekræftelseskoder, som skulle indtastes i netbanken, før overførslerne kunne finde sted. Klageren har således godkendt overførslerne to gange ved selv at indtaste godkendelseskoderne. Klageren var i telefonisk kontakt med svindlerne i timevis over en længere periode, hvilket ligeledes burde have vakt hendes skepsis og givet hende anledning til nærmere at overveje ægtheden af henvendelsen. Transaktionerne skete under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for tab. Klageren befandt sig ikke i en presset situation.

Klageren opfordres til at fremlægge dokumentation for sin bitcoin-konto og eventuel korrespondance med personen fra ”B” til brug for sagens oplysning.

Klageren har anført, at der blev overført 45.000 kr. til en udenlandsk konto. Dette er ikke korrekt. Der var tale om en overførsel til en konto i P3, i en filial hjemmehørende i Danmark.

De midler, som er tabt, stammer fra lån, som klageren har optaget i P1 og P2. Af de fremlagte transskriptioner af telefonsamtalerne får man det indtryk, at klageren har i sinde at indfri lånene med den godtgørelse, hun måtte få fra sparekassen. Det ville være urimeligt, at ét pengeinstitut, nemlig sparekassen, vil skulle dække tabet både for klageren, men også for de andre involverede pengeinstitutter, blot fordi lånene formentlig udbetales til klagerens Nemkonto i sparekassen. Klagerens lån hos andre institutter og eventuelle ugyldighedsspørgsmål herom vedkommer i denne sammenhæng ikke sparekassen.

Betalingslovens § 112 finder ikke anvendelse, da klageren foretog overførslerne vi sin netbank.

Transaktionerne kunne ikke stoppes eller tilbagekaldes, jf. betalingslovens § 111.

Ankenævnets bemærkninger

Klageren var kunde i Sparekassen Balling, hvor hun havde konti og adgang til netbank.

I perioden fra den 13. til den 23. december 2022 blev der foretaget seks netbankoverførsler på i alt 162.000 kr. fra klagerens konti til tredjemands konti i andre pengeinstitutter, tre overførsler indbetalt til klagerens konti på i alt 107.253,54 kr. samt to korttransaktioner i EUR til to kryptovalutabørser, som klageren ikke kan vedkende sig. Af kontoudskrift fremgår to kortbetalinger på henholdsvis 450 EUR og 100 EUR.

Sparekassen har vedrørende de tre overførsler til klagerens konti oplyst, at to af overførslerne var udbetaling af provenu af nogle lån optaget i klagerens navn i to pengeinstitutter, og at den tredje overførsel var en tilbageførsel/returnering fra et tredje pengeinstitut til klageren i forbindelse med en netbankoverførsel fra klagerens konto.

Om baggrunden for transaktionerne har klageren oplyst, at hun over længere tid var blevet kontaktet telefonisk af en svindler, S, der udgav sig for at være fra et investeringsfirma, som skulle lukke nogle bitcoinkonti. S oplyste, at klageren havde mange tusinde kroner stående på en lille bitcoin investering, som klageren havde udført. Hvis klageren samarbejdede med S, ville hun få disse penge udbetalt. S pressede hende til at installere et fjernstyringsprogram på både hendes PC og telefon under påskud af at ville hjælpe hende.

Sparekassen har anført, at overførslerne blev autoriseret af klageren og gennemført og godkendt af klageren via MitID-app og ved engangskoder sendt pr. SMS til klagerens telefonnummer. Klageren har anført, at hun ikke modtog sådanne SMS’er, og at hun ikke godkendte transaktionerne.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.