Sagsnummer: | 444/2023 |
Dato: | 19-03-2024 |
Ankenævn: | Helle Korsgaard Lund-Andersen, Inge Kramer, Andreas Moll Årsnes, Morten Bruun Pedersen og Poul Erik Jensen. |
Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
Ledetekst: | Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald. |
Indklagede: | Nordea Danmark |
Øvrige oplysninger: | |
Senere dom: | |
Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor han havde en konto og netbankadgang.
Den 10. december 2022 kl. 02:31 og 03:18 blev der foretaget to netbankoverførsler på henholdsvis 101.269,81 kr. og 80.000 kr., i alt 181.269,81 kr. fra klagerens konto i banken til tredjemands konti i et andet pengeinstitut, P1.
Om baggrunden for transaktionerne har klageren oplyst, at han om natten den 10. december 2022 blev ringet op af en person, som udgav sig for at være en medarbejder, ”N”, fra banken. Personen oplyste, at nogen forsøgte at hacke klagerens konto, og at der skulle foretages overførsler til ”sikkerhedskonti” i P1.
Banken har oplyst, at overførslerne blev foretaget via klagerens mobilbank ved brug af klagerens MitID og ved godkendelse med klagerens MitID. Banken har fremlagt hændelseslog for klagerens MitID.
Banken har endvidere oplyst, at der som en ekstra sikkerhed ved hver overførsel blev sendt en SMS til klagerens telefonnummer, hvortil der skulle svares ”JA”, hvis overførslen skulle gennemføres. Banken har fremlagt en SMS-log, hvoraf det fremgår, at der inden overførslerne blev sendt SMS’er med følgende tekst til klagerens telefonnummer:
”Bekræft overførsel af [beløb] til konto […]. Svar JA, hvis den skal gennemføres - NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”
Det fremgår endvidere, at SMS-beskederne blev besvaret med ”JA”.
Banken har oplyst, at overførslerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl.
Den 12. december 2022 indgav klageren indsigelse til banken. I indsigelsesblanketten oplyste klageren blandt andet, at han benyttede MitID-app/NemID-app, at andre ikke havde kendskab til hans MitID/NemID oplysninger, at han ikke på noget tidspunkt var blevet bedt om at oplyse sit MitID/NemID brugernavn og password til personer, som han ikke kendte, og at han ikke havde modtaget telefonopkald, hvori han var blevet bedt om at oplyse sine NemID oplysninger og koder fra NemID nøglekort. Klageren satte kryds i feltet ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet af overførslerne”. Klageren anførte endvidere:
”10-12-22 blev jeg ringet af bankens eget nr. 70333333. De sagde de ringer fra banken hvor jeg lagde på og ringede banken op på nummeret 70333333 for at være sikker så tog de den igen samme person som hedder [N]. De ringede først 01:58 og jeg ringede tilbage til banken kl. 02:00 og de tog den igen. Han overbeviste mig at det var banken og nogen prøvede at hacke min konto. Jeg skulle overføre pengene til en sikkerhedskonto og ville få dem tilbage om morgen[en]. Og jeg troede på det da jeg altid har fået at vide at hvis man har mistanke så skal man l[æ]gge på og ring til banken som jeg … gjorde på nummeret 70333333 og om morgenen kom pengene ikke”
Klageren har fremlagt et skærmprint fra sin telefon, hvoraf der blandt andet fremgår et indgående opkald fra telefonnummer 70333333 den 10. december 2022 kl. 02:00 af 49 minutters varighed.
Klageren anmeldte endvidere sagen til politiet.
Den 10. december 2022 kl. 10:17 kontaktede klageren banken. Banken rettede i forlængelse heraf henvendelse til P1. Det lykkedes banken at få 68.289,76 kr. retur fra P1.
Banken afviste klagerens indsigelse.
Parternes påstande
Den 4. august 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre det resterende beløb på 112.980,05 kr. til ham.
Nordea Danmark har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at han sov, da han blev ringet op af bankens hovednummer 70333333. Han nåede ikke at tage opkaldet. Han ringede til hovednummeret, og imens ringede hovednummeret til ham. Han tog telefonen og fik en person, ”N”, i røret. I tro- og loveerklæringen i indsigelsen til banken skrev han ligeledes, at han fik et opkald fra bankens hovednummer, at han lagde på, ringede bankens til hovednummer og derefter fik et opkald fra svindleren. Opkaldene var meget hurtige. Nordeas hovednummer 70333333 blev brugt flere gange indenfor få minutter, hvilket gav nummeret en øget troværdighed.
”N” fortalte, at nogen var ved at hacke hans konto, at hans penge skulle overføres til sikkerhedskonti, og han selv skulle gøre det. Det var midt om natten, og han var meget træt.
”N” havde kendskab til hans fulde navn og seneste overførsler, herunder at han overførte store beløb til en konto i pengeinstituttet P2 (til fælles opsparing hos sin kæreste). Det er ikke udelukket, at en Nordea ansat med kendskab til ham, hans konti eller andre forhold kan have været en del af dette svindelnummer. Han blev guidet igennem nogle punkter, som i princippet kun en bankansat ville have adgang eller kendskab til. Der var intet, der virkede utroværdigt eller usædvanligt.
Han havde ikke haft usædvanlig aktivitet, der kunne forklare, at nogen havde kendskab til hans oplysninger eller andre informationer. Han har ikke sine oplysninger offentligt tilgængelige og er ikke offentligt kendt eller på kendt på sociale medier. Hans sociale medier er private. Kun hans navn fremgår. Det fremgår ikke, hvem han er gift med eller andre oplysninger, som kan lede en potentiel svindler til hans oplysninger. Han har ikke deltaget i eller modtaget noget om konkurrencer eller andre aktiviteter på sociale medier, som kunne lede en svindler til klageren og hans oplysninger. Han har ikke venner eller bekendte i banken og har ikke kontakt eller kendskab til sin rådgiver i banken.
Der er tale om et misbrug af hans netbank, da svindleren havde kendskab til hans tidligere transaktioner og hans personlige oplysninger, som ikke er offentligt tilgængelige. Det kan ikke udelukkes, at svindleren har haft adgang til hans konto. Han kan ikke huske, hvad der skete op til episoden i forhold til svindel via NemID – MitID.
Banken har ikke beskyttet hans konto i forhold til beløbsgrænser eller overførsler og har ikke oplyst ham om, hvilke grænser der er. Banken har ikke kontaktet ham om hans konto eller hans øvrige aktiviteter i banken. Han er almindelig lønmodtager og har hverken investeringer, pension eller andet i banken. Det er derfor imod god skik og i øvrigt sund fornuft, at han pr. automatik har en beløbsgrænse for overførsler på over 100.000 kr. om dagen. Han har ikke på noget tidspunkt og især ikke op til denne episode fået breve eller information fra banken angående beløbsgrænser. Han ville helt sikkert have ændret grænsen, hvis han var blevet informeret.
Nordea Danmark har anført, at de omhandlede overførsler er autoriserede.
Overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Som bekræftet af klageren var det klageren, der selv foretog de pågældende overførsler via sin mobilbank ved brug af sit MitID, og overførslerne blev godkendt med klagerens MitID på klagerens enhed. Overførslerne blev således gennemført ved stærk kundeidentifikation. Som en yderligere sikkerhedsforanstaltning blev overførslerne bekræftet af klageren via SMS fra klagerens telefon.
Der er ikke tale om phishing i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, idet klageren hverken udleverede MitID eller SMS-kode til svindleren, og denne person var ikke logget på klagerens netbank.
Overførslerne skyldtes således ikke tredjemands misbrug af klagerens netbank eller MitID. Det forhold, at klageren var udsat for svindel af en kriminel til at foretage overførslerne, medfører ikke, at overførslerne kan anses som uautoriserede efter Betalingsloven.
Klageren kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100, idet klageren selv foretog og godkendte overførslerne, og klageren hæfter derfor fuldt ud.
Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren har foretaget overførslerne via sin mobilbank.
Ankenævnets bemærkninger
Klageren var kunde i Nordea Danmark, hvor han havde en konto og netbankadgang.
Den 10. december 2022 kl. 02:31 og 03:18 blev der foretaget to netbankoverførsler på henholdsvis 101.269,81 kr. og 80.000 kr., i alt 181.269,81 kr., fra klagerens konto i banken til tredjemands konti i et andet pengeinstitut.
Om baggrunden for transaktionerne har klageren oplyst, at han om natten den 10. december 2022 blev ringet op af en person, som udgav sig for at være fra banken. Personen oplyste, at nogen forsøgte at hacke klagerens konto, og at pengene på klagerens konto skulle sikres ved at flytte dem til sikre konti.
Det lykkedes banken at få 68.289,76 kr. retur fra det andet pengeinstitut. Klagerens tab udgør herefter 112.980,05 kr.
Tre medlemmer – Helle Korsgaard Lund-Andersen, Inge Kramer og Andreas Moll Årsnes – udtaler:
Ud fra klagerens egne oplysninger om, at han selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.
Vi finder herefter ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Morten Bruun Pedersen og Poul Erik Jensen – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 104.980,05 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.