Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer:165/2023
Dato:30-10-2023
Ankenævn:Henrik Waaben, Mette Lindekvist Højsgaard, Kritte Sand Nielsen, Jacob Ruben Hansen og Kim Korup Eriksen
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede:Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun havde konti samt netbankadgang.

Den 10. februar 2023 kl. 17.37 blev der foretaget en netbankoverførsel på 175.000 kr. fra klagerens konto til tredjemands konto, som klageren ikke kan vedkende sig. 

Banken har oplyst, at overførslen blev anlagt i klagerens netbank ved at tilgå netbanken med klagerens brugernavn til MitID, godkendelse i klagerens MitID-app og derefter indtastning af overførslen, som igen skulle godkendes via MitID. Som en yderligere sikkerhed blev der sendt en SMS til klagerens telefonnummer, hvortil der skulle svares ”JA”, hvis overførslen skulle gennemføres.

Banken har fremlagt en SMS-log, hvoraf det fremgår, at der inden overførslen blev sendt følgende SMS til klagerens telefonnummer:

”Bekræft overførsel af 175.000,00 kr. til konto […]. Svar JA, hvis den skal gennemføres - NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”

Det fremgår endvidere, at SMS-beskeden blev besvaret med ” JA” den 10. februar 2023 kl. 17.37.

Banken har oplyst, at overførslen var korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl.

Banken har fremlagt udskrifter for klagerens MitID. Det fremgår heraf, at overførslen blev gennemført med MitID identifikationsmiddel ID -065, som var blevet oprettet og anvendt fra 1. april 2022 og frem til spærring den 13. februar 2023, og som var installeret på iPhone model 14.5, 2.3.5(1)/2.3.5. Den 13. februar 2023 blev der oprettet et MitID identifikationsmiddel ID -342, ligeledes installeret på iPhone model 14.5, 2.3.5(1)/2.3.5. Klageren har endvidere fremlagt udskrift af sin MitID log.

Banken har oplyst, at der blev foretaget en overførsel på 125.000 kr. mellem klagerens konti, efter at overførslen på 175.000 kr. var blevet gennemført. Der blev derefter oprettet en overførsel på 113.000 kr. til tredjemands konto i et andet pengeinstitut. Overførslen blev stoppet fra bankens side. Banken spærrede klagerens netbank og lagde en midlertidig spærring på hendes MitID, som senere blev spærret 13. februar 2023.

Klageren indgav indsigelse til banken. I indsigelsesblanketten oplyste klageren blandt andet, at hun benyttede MitID-app, at andre ikke havde kendskab til hendes Nem-ID/MitID oplysninger, at hun ikke på noget tidspunkt var blevet bedt om at oplyse sit NemID/MitID brugernavn og password til personer, som hun ikke kendte, og at hun ikke havde modtaget telefonopkald, hvori hun var blevet bedt om at oplyse sine Nem-ID oplysninger og koder fra NemID nøglekort. Klageren satte kryds i feltet ”Jeg har ikke selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”. Klageren anførte endvidere:

”… Siger at han er fra Nordea sikkerhed afdeling. Telefon ringer kl. 13.45. Jonas … spørger ind til brug af tlf. til banken … Derefter spørger han om vi har brugt adg. til banken fra kl. 13.00 og til han ringer op, det har vi ikke, han mener at der er nogen der aflytte og vil prøve at komme på vores konto, så vi skal gå på banken og se om kontoen stemmer det gør de. Derefter vil han gå videre med sagen. ”

Den 13. februar 20223 afviste banken klagerens indsigelse. Klageren svarede:

”Ang. brev d.13-02 2023. Jeg har ALDRIG vedgået at det er mig der har overført disse penge, det er da klart at han har mit mobil nr. da hackeren ringer op. Regnede med at mine udta[l]elser blev gengivet korrekt. Hvordan kan han vide at vi har været på banken 2 gange i løbet af formiddagen, og på de rigtige tidspunk[t]er. Jeg har aldrig overført penge til ham, eller oplyst nogen former for numre til nogen.”

Klageren anmeldte sagen til politiet. I anmeldelsen var anført:

”… Fredag den 10. februar 2023 Kl. 13.45 modtager anmelder et opkald på mobiltelefonen. Den der ringer, præsenterer sig som Jonas … fra Nordeas sikkerhedsafdeling. Han siger, at han kan se, at der har været aktivitet på vores bankkonto henholdsvis kl. 10.00 og kl. 11.00. Anmelder bekræfter, at de selv har været aktive på netbank på de tidspunkter. Jonas … siger at det kan han også se. Han siger, at han mener, at nogen forsøger at komme ind på kontoen kl. 13.00, og anmelder siger, at det ikke er hende. Jonas … vil undersøge det nærmere og han vil ringe tilbage. Kl. 14.30, ringer JM igen. Han beder anmelder om at gå på netbank og tjekke, om der er hævet penge fra kontoen. Han siger desuden, at anmelder ikke må bruge sin telefon, da den bliver aflyttet. Kl. 17.37 taler anmelder igen med JM og hun bliver bedt om at gå ind og tjekke sin konto for at se, om alting er ok. Under denne samtale modtager anmelder en sms fra banken, om at der er overført 175.000,00 kr. fra kontoen. Samtidig ringer Henrik fra Nordea til anmelders mand og fortæller at han har spærret kontoen, fordi der er forsøgt hævet yderligere 113.000,00 kr. I denne samtale med Henrik giver anmelder tilladelse til at han spærrer MitID. Anmelder har på intet tidspunkt godkendt pengeoverførelsen, udleveret sit kontonr., sit cpr.nr. eller oplyst koder til MitID, hverken på computeren eller i løbet af telefonsamtalerne. Hun har heller ikke modtaget en SMS på sin telefon for godkendelse af overførelsen. Mandag den 13. februar 2023 er anmelder i banken for at anmelde tyveriet fra kontoen. Banken har efterfølgende oplyst at ifølge deres systemer, ser det ud til at hun selv har godkendt overførelsen …”

Det lykkedes ikke banken at få noget beløb tilbage fra det modtagende pengeinstitut.

Parternes påstande

Den 5. marts 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre beløbet på 175.000 kr. til hende.

Nordea Danmark har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun ikke modtog eller godkendte SMS’en fra banken. Hun har ikke godkendt med MitID. Hendes telefon må være blevet hacket, hvilket har givet en anden person mulighed for at godkende SMS’en fra banken.

Hun forstår ikke, at man ikke kan spore den konto, som pengene er overført til. Det skulle vel være en simpel manøvre.

Bankens rådgivning om sikkerhed/beskyttelse vedrørende overførsler/hævninger fra hendes konto var mangelfuld. Banken har strammet op omkring overførsler. Hun ved ikke, overfor hvem/hvordan banken vil lave denne kontrol, banken har jo tilsyneladende ikke hidtil udvist evner eller vilje til at have meget kontrol med overførsler. Det var vel skandalerne omkring hvidvask, som skulle medføre mere kontrol med overførsler, men i deres tilfælde var kontrollen meget lemfældig.

Bankens behandling af indsigelsen har været særdeles mangelfuld. Banken har blot pure afvist, at der kunne være foretaget en kriminel handling og fastholdt, at når loggen viser det, den gør, så har hun selv godkendt overførslen via MitID og SMS. 

Banken har afvist at hjælpe hende i det videre forløb.

Banken har pålagt dem at bruge MitID. Det er også bankens ansvar, når det går galt. Der er mange fejl og huller i MitID.

Nordea Danmark har til støtte for frifindelsespåstanden anført, at den omhandlede overførsel er autoriseret.

Overførslen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Trods klagerens manglende anerkendelse af at have foretaget overførslen peger alle tekniske spor i sagen på, at klageren selv godkendte overførslen og nu ikke vil vedkende sig denne. Overførslen blev anlagt gennem klagerens netbank, hvilket krævede klagerens MitID log-in oplysninger. Klageren erkender også, at hun var i sin netbank ad flere omgange den 10. februar 2023, og når hun samtidig ikke udleverede sine MitID koder til personen, der ringede til hende, kan det kun være klageren, som tilgik sin netbank den pågældende dag for overførslens gennemførelse.

De af banken fremlagte udskrifter for klagerens MitID viser, at klagerens MitID blev oprettet og anvendt fra 1. april 2022 og frem til 13. februar 2023, at det alene var installeret på den enhed, som klageren selv tilsluttede hertil pr. 1. april 2022, og at godkendelsen i MitID-appen skete med MitID identifikationsmiddel -065, som var klagerens aktive MitID identifikationsmiddel på tidspunktet for overførslens gennemførelse. Det var da også samme enhed, som hun tilknytter til sit MitID igen efter ophævelsen af spærringen af MitID (se ”Aktive identifikationsmidler”). Den af klageren vedlagte MitID log viser, at der ikke var uregelmæssigheder ved MitID på tidspunktet for overførslens gennemførelse.

Ud fra ovenstående kan der derfor ikke være tvivl om, at MitID-godkendelsen blev godkendt fra klagerens MitID-app og fra den enhed, som hun selv havde knyttet sit MitID til. Hertil kommer, at overførslen blev godkendt fra klagerens mobiltelefon ved at hun svarede ”JA” til overførslens gennemførelse, og at teksten i SMS´en var meget tydelig om, hvad den omhandlede. Overførslen blev gennemført i netbanken fra en enhed og den IP-adresse, som klageren tidligere havde benyttet i stort omfang.

Der kan derfor ikke være tvivl om, at overførslen blev godkendt og autoriseret af klager, og at banken på den baggrund ikke er forpligtet til at godtgøre klageren de omhandlede transaktioner.

Klageren kan derfor heller ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100. Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren foretog overførslerne via sin netbank.

Nordea Danmark har til støtte for afvisningspåstanden anført, at en afklaring af sagens nærmere omstændigheder, herunder om klageren selv godkendte overførslen og dermed hæfter fuldt ud herfor, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

 

Klageren var kunde i Nordea Danmark, hvor hun havde konti samt netbankadgang.

Den 10. februar 2023 kl. 13.45 og 17.37 talte klageren i telefon med en person, der udgav sig for at være fra bankens sikkerhedsafdeling.

Den 10. februar 2023 kl. 17.37 blev der foretaget en netbankoverførsel på 175.000 kr. fra klagerens konto til tredjemands konto, som klageren ikke kan vedkende sig. 

Klageren har anført, at hun ikke overførte beløbet, og at hun ikke godkendte overførslen med MitID eller SMS eller udleverede oplysninger.

Banken har anført, at klageren selv tilgik sin netbank og godkendte overførslen i sin MitID-app, der var installeret på klagerens mobiltelefon den 1. april 2022, og at klageren yderligere godkendte overførslens gennemførelse ved at svare ”JA” til den SMS, hun modtog, og som indeholdt tydelig oplysning om overførslen.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter delvist for tabet, jf. betalingslovens § 100, stk. 4, eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.