| Sagsnummer: | 475/2024 |
| Dato: | 21-03-2025 |
| Ankenævn: | Katrine Waagepetersen, Signe Vejen Hansen, Mette Lindekvist Højsgaard, Rolf Høymann Olsen og Kim Korup Eriksen. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde en konto -012, en konto -212 og netbankadgang.
Den 21. juni 2024 blev der foretaget to netbankoverførsler på henholdsvis 48.240 kr. og 38.250 kr. fra klagerens konti i banken til tredjemands konti i pengeinstitutterne P1 og P2.
Banken har oplyst, at netbankoverførslerne blev godkendt med klagerens MitID.
Det gik efterfølgende op for klageren, at han var blevet udsat for svindel i forbindelse med de to kontooverførsler. Ved en tro-og loveerklæring af 21. juni 2024 gjorde klageren over for banken indsigelse mod overførslerne og oplyste følgende om hændelsesforløbet:
”[Navn] fra danske bank i [by] ringer fra tlf […]. Det står sågar på telefonen at det er danske bank der ringer.
Og oplyser at der er forsøgt trukket penge på min konto.
Og siger for at beskytte mine penge skal de flyttes i et sikkerheds depot iflg datatilsynet.
Dette lyder plausibelt da jeg netop har være ude og rejse.
Jeg laver 2 overførelser.
Jeg søger på nettet og tlf nr er fra danske bank i [by].
Alene det at hvis svindler har adgang til et tlf nr fra danske bank er i min optik bekymrende. Jeg er jo før blevet ringet op søndag morgen af banke[n] ang muligt kortsvindel i 2018. I min optik har Danske bank[e] haft et meget alvorligt sikkerheds brud da en svindler har haft mulighed for at bruge deres tlf nr.
Hvilken er plausibelt da der tilsyneladende har været et datalæk ang mit id som som Danske Bank var klar over.
Iflg deres advarsel d 20/6 hvor jeg fulgte deres anvisninger.”
Herudover oplyste klageren følgende i tro- og loveerklæringen:
”Hvem har foretaget nedenstående overførsler ?
[Klagerens navn]”
Det fremgik yderligere af tro- og loveerklæringen, at klagerens mobiltelefon var en Samsung Galaxy.
Den 21. juni 2024 tog banken skriftlig kontakt til P1 og P2 med henblik på at forsøge at få tilbageført beløbene på i alt 86.490 kr. Det lykkedes at få tilbageført 8.250 kr. fra P1, som banken indsatte på klagerens konto, hvorefter klagerens tab udgjorde 78.240 kr.
I et brev af 26. juni 2024 afviste banken at tilbageføre beløbet på 78.240 kr. til klageren og anførte blandt andet:
”…
Vi har nu behandlet din indsigelse og er nået frem til en afgørelse.
Du har i din tro- og love forklaret, at du blev ringet op af en person, der udgav sig for at være fra 'banken', og at du er blevet svindlet til at overføre et beløb til en fremmed konto via din netbank.
Vi har undersøgt sagen og kan oplyse følgende:
• Den person, der ringede til dig, var ikke fra Danske Bank. Det var en svindler, der fik overbevist dig om selv at overføre dine penge via netbank til en fremmed konto.
• Vi kan se i vores system, at der er logget på netbanken fra den IP-adresse, du sædvanligvis bruger. Vi kan også se, at overførslerne er godkendt med dit MitID, der har været tilknyttet til din Samsung mobiltelefon siden den 05. april 2024.
• Der er ikke tale om et sikkerhedsbrud hos Danske Bank, men derimod spoofing. Spoofing er navnet på en ny type fupopkald, hvor svindlere ændrer visningen af deres eget nummer til et tilfældigt dansk nummer. På den måde ser det ud som, man bliver ringet op fra et kendt, dansk nummer, selvom opkaldet kommer andet steds fra – oftest fra udlandet. Svindlerne overtager ikke nummeret. Det kendte, danske nummer vises blot hos modtagerne af opkaldet.
• Vi er derfor enige i, at du er blevet udsat for grov manipulation, men da svindleren ikke har misbrugt din netbank, er vi desværre nødt til at fortælle dig, at du selv hæfter for tabet i denne sag.
…”
Parternes påstande
Den 19. september 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal erstatte hans tab.
Danske Bank har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at han blev ringet op af Danske Bank. Medarbejderen sagde, at der var ved at blive trukket penge fra udlandet på hans konto, og at pengene skulle i sikkerhed.
Han overførte ca. 80.000 kr. til de depoter, som medarbejderen fra banken anbefalede.
Ud fra telefonnummeret og adressen var det en medarbejder fra en af bankens filialer, som ringede. Medarbejderen havde en komplet oversigt over hans konti og kunne navne og beløb på disse. Medarbejderen var utrolig velbevandret i bankforretninger, så der var ingen tvivl om, at det var en fra banken, der ringede.
Han har en underskrevet aftale om, at banken må ringe til ham. Det har banken gjort tidligere angående muligt kortmisbrug.
Telefonnummer og adresse var bankens, så banken må bære det fulde ansvar. Hvis disse kontaktoplysninger kan misbruges, har banken det fulde ansvar upåagtet teknologi.
Der er ingen tvivl om, at det var banken, som ringede. Da han har diverse spam scannere på sin telefon, ville et uvedkommende nummer ryge ind som spam.
Ligeledes viste en hurtig søgning på nettet, at bankens afdeling stadig var åben.
Han har spurgt diverse it-virksomheder, som mente, at der muligvis har været tale om en insider, eventuelt en nuværende eller tidligere medarbejder i banken. Hvor skulle medarbejderen vide fra, at han var kunde i banken, hvis han ikke arbejdede eller havde arbejdet der.
Hvis man som kunde hos banken ikke kan have 100 % tillid til, at det er banken, der kontakter en, så har banken et stort problem.
Alene det, at den person, som ringede, havde så mange detaljer om ham og hans konto var mistænkeligt i sig selv. Banken må tage ansvar for, at nogen har haft adgang til hans bankoplysninger. Der er ingen tvivl om, at der har været en form for datalæk/digital adgang til hans konti.
Banken må derfor erstatte hans tab og tage ansvar for, at bankens kontaktoplysninger er blevet anvendt til at begå kriminalitet.
Danske Bank har anført, at kontooverførslerne, som klageren har gjort indsigelse imod, er korrekt registeret og bogført.
Klageren oplyser, at han selv foretog og godkendte de pågældende kontooverførsler til P1 og P2, og der er således tale om autoriserede kontooverførsler, jf. betalingslovens § 82.
De pågældende kontooverførsler er dermed ikke omfattet af betalingslovens § 99 eller § 100.
Kontooverførslerne er autoriseret med klagerens MitID-app og dermed godkendt med stærk kundeautentifikation.
MitID-appen var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af kontooverførslerne.
Klageren hæfter dermed selv for det fulde beløb, idet der ikke er tale om tredjemandsmisbrug omfattet af reglerne i betalingsloven.
Klageren fik efterfølgende tilbageført 8.250,00 kr., hvorfor klagerens tab aktuelt udgør 78.240 kr. (86.490 kr. – 8.250 kr.).
Klageren blev kontaktet telefonisk af en ukendt tredjemand/svindler og ikke af en medarbejder fra banken.
Der har ikke været sikkerhedsbrud i banken, som har medført, at svindleren er kommet i besiddelse af oplysninger om klageren via bankens systemer.
Banken har i øvrigt ikke handlet ansvarspådragende.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han havde en konto -012, en konto -212 og netbankadgang.
Den 21. juni 2024 blev der foretaget to netbankoverførsler på henholdsvis 48.240 kr. og 38.250 kr. fra klagerens konti i banken til tredjemands konti i pengeinstitutterne P1 og P2.
Klageren har oplyst, at han den 21. juni 2024 blev ringet op af en person, der udgav sig for at være fra banken. Personen oplyste, at der var ved at blive trukket penge på hans konti, og at pengene skulle i sikkerhed. Han overførte ca. 80.000 kr. til de sikkerhedsdepoter, som personen anbefalede.
Ved en tro- og loveerklæring af 21. juni 2024 gjorde klageren indsigelse mod kontooverførslerne over for banken. Det fremgår blandt andet af indsigelsen, at klageren selv foretog overførslerne.
Banken har oplyst, at overførslerne blev godkendt med klagerens MitID.
Det lykkedes banken at få tilbageført 8.250 kr. fra P1, som banken indsatte på klagerens konto, hvorefter klagerens tab udgjorde 78.240 kr. Banken afviste at tilbageføre beløbet på 78.240 kr. til klageren.
Tre medlemmer – Katrine Waagepetersen, Signe Vejen Hansen og Mette Lindekvist Højsgaard – udtaler:
Ud fra klagernes egne oplysninger om, at han selv foretog overførslerne, finder vi, at de omtvistede betalinger blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionerne i forbindelse med et bedragerisk telefonopkald.
Vi finder heller ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.
To medlemmer – Rolf Høymann Olsen og Kim Korup Eriksen – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 70.240 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.