Indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID oplysninger og SMS-koder.

Sagsnummer:66/2021
Dato:23-11-2021
Ankenævn: Henrik Waaben, Inge Kramer, Mette Lindekvist Højsgaard, Jacob Ruben Hansen og Lisbeth Baastrup Burgaard.
Klageemne:Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID oplysninger og SMS-koder.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører indsigelse mod netbanktransaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID oplysninger og SMS-koder.

Sagens omstændigheder

Klagerne M og H er kunder i Nykredit Bank, hvor de blandt andet har en fælles prioritetskonto og hver især et betalingskort.

Den 17. november 2020 gjorde klagerne indsigelse mod en transaktion på 7.200 kr. ved misbrug af H’s betalingskort. Om baggrunden oplyste klagerne, at de havde udleveret deres betalingskort og pinkoder på baggrund af en telefonisk henvendelse fra ”Sikringsstyrelsen” og en opfølgende personlig henvendelse fra samme.

Den 2. december 2020 afslog banken at dække tabet. Banken anførte følgende:

”…

Vi har nu behandlet din sag færdig.
Det er vores opfattelse at mellem den telefoniske kontakt og henvendelsen på din bopæl, burde du have undersøgt din konto om beløbet var trukket. Vi anser det hermed, som værende groft uforsvarlig adfærd, at kortet herefter er blevet udleveret sammen med pinkode til tredje mand, hvilket førte til misbruget. Vi vurdere[r] derfor på baggrund af dette, at du selv må hæfte for tab op til 8.000 Kroner, jvf. Betalingslovens § 100 stk. 4 nr. 3.
Da det hævede beløb i sagen er 7.200 kr., falde[r] dette under den angivne selvrisiko.

…”

Den 7. og 8. januar 2021 blev der bogført blandt andet 12 hævninger på i alt 399.000 kr. på klagernes prioritetskonto. Der er under sagen ikke dokumenteret oplysninger om transaktionstidspunkterne. Efter det oplyste blev nogle af transaktionerne gennemført med Hs NemID og nogle med Ms NemID, og efter det oplyste blev der sendt transaktionskoder i SMS-beskeder til klagernes telefonnummer/numre. Der er ikke dokumenteret nærmere oplysninger om transaktionerne og SMS-beskederne. Under indsigelsessagen i januar 2021 oplyste klagerne over for indklagede, at hævningerne fandt sted efter telefonisk henvendelse fra en person fra ”Sikringsstyrelsen”, men under sagen for Ankenævnet har klagerne oplyst, at de blev ringet op af en ”bankansat”.

Klagerne gjorde pr. telefon indsigelse mod transaktionerne.

Ved mail af 8. januar 2021 til klagerne anmodede banken om yderligere oplysninger: Banken anførte blandt andet:

”…

Til brug for behandling af jeres indsigelse, har vi nogle supplerende spørgsmål til jeres tidligere redegørelse per telefon:

Hvordan præsenterede den person, der henvendte sig til jer på telefonen?

Med navn, efternavn, stillingsbetegnelse?

Hvad er jeres kendskab til Sikringsstyrelsen?

Oplyste den person, der henvendte sig, hvordan han havde kendskab til hævningen på 3 x 10.000 kr. på jeres konti?

Undersøgte I, om der var hævet noget på jeres konto på tidspunktet for henvendelsen?

Hvad blev oplyst om den nærmere begrundelse for, at personen ville have jeres personlige oplysninger udleveret?

Stillede den person, der henvendte sig, i øvrigt nogle spørgsmål om jeres bank- og kontoforhold?

Var personen tillidsvækkende eller det modsatte – sæt gerne nogle ord på personens fremtoning?

Hvordan vil I beskrive personen? Hvordan vil I beskrive hændelsesforløbet?

Har I politianmeldt forholdet?

Ellers andet I kan oplyse om hændelsen?

…”

Ved mail af 9. januar 2021 svarede klagerne blandt andet:

"…

1. Det første, manden i telefonen sagde, var: Goddag, [Hs fornavn] (friskfyragtigt), skønt jeg ikke havde præsenteret mig. På vores spørgsmål præsenterede han sig som "Mogens" fra "Sikringsstyrelsen". Ikke noget om efternavn og stillingsbetegnelse.

2. Han præsenterede problemet, at han havde bemærket mystiske hævninger på min konto. Hvis han skulle hjælpe mig med at føre beløbene tilbage, skulle jeg give ham nogle oplysninger ang. cpr-nr. og Nem-id-oplysninger.

3. Ad spørgsmålet om vores kendskab til Sikringsstyrelsen: Vi kender ingenting til Sikringsstyrelsen. Opslag desangående i situationen gav ikke noget. Men [H] forstod på manden, at det var en instans, som observerede ejendommelige bevægelser på diverse konti.

4. Ad spørgsmålet, om vi forsøgte at gå ind på vores konti: Nej. [H] forsøgte at gå ind, men manden i telefonen sagde, at det "måtte jeg endelig ikke gøre, for det ville forstyrre arbejdet". Jeg troede derfor, at han sad i banken og derfra kunne registrere, at jeg forsøgte adgang til vores konti.

5. Manden begrundede interessen for vores personlige oplysninger med, at han ville føre de mærkelige konteringer tilbage til vores konti.

6. Manden stillede ingen spørgsmål om vores bank-forhold, bortset fra, at vi skulle have vores nøglekort indbygget på en app i vores mobiltlf. Da [H] stillede spørgsmål til en sådan procedure, sagde manden: Det kommer du bare ned til os i banken med. Så hjælper vi dig.

7. [H] [sad] klinet til telefonen fra ca. kl. 18 til ca. 24. Undervejs dukkede en række SMS-er frem både på [Hs] og [Ms] tlf. om pengeoverførsler (ml. 30.000 og 80.000) til en lang række banker. Overførslerne sluttede med en kode, som [H] skulle oplyse til ham.

8. Beskrivelse af personen. [Hs] spørgsmål til emnerne i samtalen gjorde efterhånden manden irritabel, som om han ville sige: Hvis du vil have dine penge tilbage, må du give mig de oplysninger, jeg har brug for.

9. Om hændelsesforløbet: det var meget ubehageligt med lange pauser, hvor manden angiveligt ventede på svar fra de forskellige banker.

10. Sagen er politianmeldt, men da vi ikke h[a]r adgang til vores Nem-id, kan vi ikke se sagsnummeret i brevet fra politiet i e-boksen.

…”

Den 20. januar og 1. februar 2021 blev der vedrørende transaktionerne tilbageført i alt 60.474,54 kr. til prioritetskontoen.

Ved mail af 4. februar 2021 til klagerne afslog banken at yde dækning for klagernes tab på 338.525,46 kr. (399.000,00 kr. - 60.474,54 kr. = 338.525,46 kr.). Banken anførte blandt andet:

”…

Nykredit har gjort, hvad vi kunne for at indhente, hvad der er muligt inden for gældende regler. Der er således fra andre pengeinstitutter indhentet 60.474,54 kr. – se vedhæftede kontoudskrift.

Vi afslår, at dække det aktuelle misbrug fordi [H] for få måneder siden var udsat for et stort set identisk misbrug.

Allerede ved den lejlighed, burde hun efter vores opfattelse have indset, at der var risiko for misbrug, når hun var bevidst om, at hun udleverede personlige oplysninger samt ved den lejlighed sit hævekort og pin-koden til dette.

Det er forbudt, at dele disse oplysninger med nogen i medfør af vilkårene. Det bliver man oplyst om, når man modtager NemID og kreditkort og det fremgår en lang række andre steder, at man aldrig skal dele disse strengt fortrolige og personlige oplysninger.

Endvidere, er det angivet i de sms'er som er sendt, at oplysninger aldrig skal gives til andre, da det kun er kriminelle, som vil spørge om disse. Der er således givet så mange advarsler om aldrig at dele oplysningerne, at man som kunde bør indse, at man ved at dele disse udsætter sig selv for risiko for misbrug. Allerede af disse årsager mener Nykredit, at man bør kunne indse risikoen for misbrug. Når det tilmed er sket på næsten samme vis blot få måneder forinden, bestyrker det kun Nykredits opfattelse.

Når der er overført mere end 200.000, så hænger det sammen med, at der først er brugt [Hs] og siden [Ms] nøglekort.

I øvrigt bemærkes det også, at det er en overtrædelse af brugervilkårene, hvis det ikke er [M] selv, der har gjort det, og det melder jeres redegørelse ikke noget om. Det er heller ikke mellem ægtefæller lovligt at dele oplysningerne fra NemID.

…”

Klagerne har oplyst, at der fremgår følgende af bankens ”Bruger og Sikkerhedsvejledning” side fem:

"Beløbsgrænser
Af sikkerhedshensyn kan privatkunder maksimalt overføre
200.000 kr. pr. dag til andres konti. Beløbsgrænsen gælder også
ved overførsler til egne konti i andre pengeinstitutter."

Af bankens ”Regler for NemID til netbank og offentlig digital signatur, v.7” fremgår blandt andet:

”…

 3.2 Opbevaring af bruger-id, adgangskode og nøglekort/ nøgleviser/nøgleapp

Du skal være opmærksom på, at du;

  • skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din nøgleeviser/din pinkode til din nøgleapp sikkert og forsvarligt, så andre ikke kan få adgang til at bruge dem
  • ikke må oplyse din adgangskode dine nøgler eller din pinkode til din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre
  • ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt me-dium eller på anden måde digitalisere eller kopiere nøglerne
  • ikke må skrive din adgangskode/din pinkode til din nøgleapp ned
  • ikke må opbevare adgangskoden sammen med dit nøglekort/din nøgleviser eller på den mobile enhed, hvor din nøgleapp er installe-ret eller skrive adgangskoden på dit nøglekort/din nøgleviser
  • kun må installere din nøgleapp på din egen mobile enhed.

…”

Parternes påstande

Den 5. februar 2021 har klagerne indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal betale erstatning.

Nykredit Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klagerne har anført, at Nykredit Bank bør betale erstatning for deres tab som følge af misbruget.

H var i god tro og har ikke været bevidst om det ulovlige i forehavendet, da hun opgav NemID og koder på SMS. Når H har handlet på Ms vegne, skyldes det i alt væsentligt, at M har høreproblemer i telefonen.

Banken bør i hvert fald hæfte for den del af tabet, som overstiger 200.000 kr., jævnfør bankens regler.

Banken burde have været i stand til at hente flere af de stjålne penge tilbage.

Der var stor forskel på situationerne i november 2020 og januar 2021. I november 2020 oplyste en mand fra Sikringsstyrelsen, at deres kort var blevet misbrugt, og en mand mødte personligt op på deres bopæl og hentede kortene og koderne. I januar 2021 oplyste en bankansat, at de var blevet hacket, og deres NemID blev misbrugt. Metoden var mere raffineret, da H blev holdt i telefonen for at undgå, at hun fik mulighed for at tænke klart og få hjælp.

Svindleren lod dem forstå, at der var ved at blive overført penge af en hacker, og for at stoppe dette skulle H handle hurtigt og samarbejde. Svindleren gjorde klart, at konsekvensen, hvis de ikke samarbejdede, var, at en hacker ville stjæle deres penge. H følte sig klart truet og handlede derefter.

H forsøgte at gå ind på sin konto, hvilket manden må have registreret. Han sagde, at det måtte H endelig ikke gøre, da det ville forplumre hans arbejde.

H var overbevist om, at det var en bankansat, der ringede, og havde ingen mistanke om misbrug, før hendes søn gjorde hende opmærksom på det.

H handlede i god tro. Der var ikke tale om forsæt, som betyder, at man er bekendt med handlingens udfald. H var ikke klar over handlingens udfald. Hun blev jo svindlet til at tro, at det var en bankansat, der ville redde deres penge.

Efter indsigelsessagen i november 2020 fik de at vide, at de ikke måtte udlevere pinkode til tredjemand. De fik ikke – som påstået af banken – at vide, at de ikke måtte udlevere oplysninger om kodeord, koder fra SMS, NemID eller lignende. De blev ikke kontaktet af banken, og de fik ikke en informativ samtale om deres pligter og rettigheder. De er ældre mennesker og tilbøjelige til at gøre, som de bliver bedt om.

Det hele foregik over telefon og SMS. Telefonsamtalen varede lang tid, minimum seks timer, hvilket stressede H og havde til formål at holde hende beskæftiget, så hun ikke kunne rådføre sig eller havde tid til at google.

Banken har oplysninger på sin hjemmeside, men de beskrevne scenarier ville ikke have hjulpet i denne situation. Endvidere blev H holdt i telefonen og har derfor ikke haft lejlighed til at fremsøge dem.

På hjemmesiden har banken beskrevet en sag, der minder meget om deres. Banken råder til at lægge på, hvis man har mistanke om misbrug. H havde imidlertid netop ikke mistanke om misbrug.

De blev meget bange for at miste deres penge, da hackeren fortalte, at de mange beløb var ved at blive flyttet fra kontoen.

Banken burde have haft et sikkerhedssystem, der udløste en alarm på grund af overførslerne, da de aldrig overfører så store beløb så hurtigt efter hinanden uden at advisere banken.

Nykredit Bank har anført, at klagerne bør hæfte uden beløbsbegrænsning, idet de ved deres adfærd i denne sag frivilligt – og derved med forsæt – har oplyst den personlige sikkerhedsforanstaltning til svindleren, og dette skete under omstændigheder, hvor klagerne burde have indset, at der var risiko for misbrug, og således i alle led opfylder betingelserne for hæftelse uden beløbsbegrænsning i medfør af betalingslovens § 100, stk. 5

Overgivelsen af den personlige sikkerhedsforanstaltning er foregået uden, at klagerne blev udsat for trussel mod liv og legeme.

H havde rig lejlighed til at drøfte med sin ægtefælle. Klagerne har frivilligt afgivet oplysningerne i den tro, at det ville hjælpe deres egen situation. Ved at gøre dette er udleveringen sket med forsæt.

I kraft af, at H få måneder forinden var blevet narret ved en, for alle praktiske formål, næsten identisk fremgangsmåde burde H, i hvert fald af den grund, have indset, at hun ved at afgive sin personlige sikkerhedsforanstaltning til en fuldstændig ukendt person, der hævdede at være ansat ved en for klager ukendt styrelse, agerede på en måde, som indebar risiko for misbrug.

Selvom ovenstående burde kunne stå alene, taler det endvidere for, at klager burde have indset risikoen for misbrug, at banken ved den tidligere indsigelsessag tydeligt gjorde klagerne opmærksom på, at de aldrig skal give sine oplysninger om kodeord, koder fra sms, NemID oplysninger og lignende til andre, da dette fører til misbrug, jævnfør bankens mail af 2. december 2020. Det anførte heri om, at "Vi anser det hermed, som værende groft uforsvarlig adfærd, at kortet herefter er blevet udleveret sammen med pinkode til tredje mand, hvilket førte til misbruget." var en tydelig advarsel om, at man ikke skal udlevere koder til tredjemand.

Det er et vilkår for brug af NemID, at man ikke oplyser adgangskode, nøgler, pinkode til nøgleapp eller overlader nøglekort/nøgleviser til andre, jævnfør punkt 3.2 i Vilkår for NemID.

Banken oplyser på sin hjemmeside om, hvordan man undgår at blive snydt på internettet, over mails, sms eller telefon, ligesom banken har gjort klagerne opmærksom på dette allerede inden denne sag, og at man aldrig skal udlevere sine personlige sikkerhedsforanstaltninger til tredjemand.

På et utal af andre hjemmesider, for eksempel NemID (nemid.nu), Konkurrence- og Forbrugerstyrelsen (forbrug.dk) og Ældresagen (aeldresagen.dk), advares der mod at udlevere sine personlige oplysninger. På hjemmesiden fagligsenior.dk er der offentliggjort en undersøgelse med mere end 8.000 respondenter af erfaringer med telefonsvindel med udlevering af personlige oplysninger. Det fremgår, at 2.519 personer pr. den 13. marts 2020 svarede, at de havde oplevet at blive ringet op af en person, der forsøgte at lokke kontooplysninger eller andet fra dem. Af de adspurgte havde 2.426 personer (96,3%) angivet, at de ikke udleverede oplysningerne. Heri må kunne læses, at rundt regnet 96 ud af 100 personer kunne gennemskue eller vidste, at der var en risiko for misbrug ved at udlevere personlige oplysninger til tredjemand.

Sammenholdt med at klagerne få måneder tidligere var udsat for ligeartet telefonsvindel, og at i gennemsnit 96 ud af 100 personer kan gennemskue eller indse, at der er risiko for misbrug ved at udlevere personlige oplysninger, samt at det er i strid med vilkår for NemID at udlevere oplysninger, burde klagerne have indset, at udlevering af personlige oplysninger indebar en risiko for misbrug.

Både i november 2020 og i januar 2021 var der tale om, at H til en fuldstændig ukendt gerningsmand, uden nogen form for identifikation og uden andet end gerningsmandens ord udleverede kort og kode eller NemID og koder.

I denne sag blev alle opstillede sikkerhedsprocedurer brudt af klagerne ved udlevering af personlige kodeord, NemID-nøgler og fortrolige sms-koder, hvilken ingen sikkerhedssystemer kan gardere sig imod.

Ved indsigelserne både i november 2020 og i januar 2021 oplyste klagerne, at de var blevet ringet op af ”Sikringsstyrelsen”, men under ankenævnssagen har klagerne anført, at de i januar 2021 blev ringet op af en bankansat.

Ankenævnets bemærkninger

Den 7. januar 2021 blev der ved misbrug af begge klagernes (Ms og Hs) NemID hævet i alt 399.000 kr. på klagernes prioritetskonto i Nykredit Bank. Misbruget skete i forbindelse med phishing, hvor klagerne pr. telefon udleverede NemID-oplysninger og SMS-koder til tredjemand, som klagerne troede var fra ”Sikringsstyrelsen”/en bankansat, og som fastholdt klagerne telefonisk i seks timer i tidsrummet klokken cirka 18 - 24.

Klagernes tab ved misbruget udgjorde 338.525,46 kr., idet i alt 60.474,54 kr. blev tilbageført til prioritetskontoen (399.000,00 kr. - 60.474,54 kr. = 338.525,46 kr.).

Det fremgår af forarbejderne til betalingslovens § 100, stk. 5 (lovforslag nr. L 157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlige sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Tre medlemmer – Henrik Waaben, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Nykredit Bank har til støtte for sin påstand om frifindelse henvist til bl.a., at klagerne to måneder forinden havde udleveret deres betalingskort og pinkoder til tredjemand og derved var blevet påført et tab ved en misbrugstransaktion på 7.200 kr. Klagerne må på den baggrund have indset, at de agerede på en måde, som indebar en risiko for misbrug.

Vi finder, at en afklaring af sagens nærmere omstændigheder, herunder en afklaring af, om klagerne handlede forsætligt, og derved muliggjorde transaktionerne, vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene.

Vi stemmer derfor for, at sagen afvises i medfør af Ankenævnets vedtægter § 5, stk. 3, nr. 4.

To medlemmer – Jacob Ruben Hansen og Lisbeth Baastrup Burgaard – udtaler:

Vi finder, at banken ikke har godtgjort, at betingelserne for, at klagerne, der må anses for at have været i en presset situation, hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt. Dette gælder, uanset at klagerne to måneder forinden havde udleveret deres betalingskort og pinkoder til tredjemand og derved var blevet påført et tab ved en misbrugstransaktion på 7.200 kr.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Vi finder, at klagerne ved at videregive deres NemID-oplysninger og SMSkoder ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at de som følge heraf hver især hæfter med op til 8.000 kr. af tabet som følge af misbruget.

Vi stemmer derfor for, at Nykredit Bank skal indsætte 322.525,46 kr. på klagernes prioritetskonto med valør den 7. januar 2021.

Der træffes afgørelse efter stemmeflertallet

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klagerne får klagegebyret tilbage.