| Sagsnummer: | 309/2024 |
| Dato: | 27-05-2025 |
| Ankenævn: | Helle Korsgaard Lund-Andersen, Inge Kramer, Janni Visted Hansen, Tina Thygesen og Jørgen Lanng. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald. Tredjemand havde fået fjernadgang til klagerens computer. Godkendelse med MitID. |
| Indklagede: | Arbejdernes Landsbank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald. Tredjemand havde fået fjernadgang til klagerens computer. Godkendelse med MitID.
Sagens omstændigheder
Klagerne M og H var kunder i Arbejdernes Landsbank. Her havde klageren M blandt andet en konto og netbankadgang. Klageren M havde derudover MitID.
Den 10. april 2024 blev der foretaget en netbankoverførsel på 12.400 EUR, svarende til 92.728,44 kr. fra klageren M’s konto i banken til en tredjemands konto i et udenlandsk pengeinstitut. På klageren M’s konto blev et beløb på 93.128,44 kr., svarende til det overførte beløb inklusiv et gebyr på 400 kr., bogført med teksten ”investment”.
Samme dag blev der også foretaget en transaktion på 4.700 kr. fra klageren M’s konto til Western Union. Banken har oplyst, at den ikke kan se, om transaktionen skete via klagerens netbank eller via en Western Union-app.
Den 11. april 2024 blev der foretaget en netbankoverførsel på 6.800 EUR, svarende til 50.856,66 kr. fra klageren M’s konto i banken til en tredjemands konto i et udenlandsk pengeinstitut. På klageren M’s konto blev et beløb på 51.256,66 kr., svarende til det overførte beløb inklusiv et gebyr på 400 kr., bogført med teksten ”investment”.
Den 11. april 2024 fik klageren M spærret sin netbank.
Banken har oplyst, at netbankoverførslerne blev godkendt med klageren M’s MitID-app installeret på hans iPhone. Banken har fremlagt et uddrag af hændelseslog for klageren M’s MitID, hvoraf blandt andet fremgår, at klageren M på tidspunktet for netbankoverførslerne havde et aktivt identifikationsmiddel [-4840], der blev installeret på en iPhone 12 den 28. oktober 2022 og spærret den 15. april 2024.
Banken har oplyst, at der som en ekstra sikkerhedsforanstaltning blev sendt SMS’er til klageren M’s mobiltelefonnummer med sikkerhedskoder, der efterfølgende blev indtastet i netbanken. Banken har fremlagt et eksempel på en sådan SMS:
”Sms 14. Koden i denne sms er personlig. Du er ved at overføre [beløb] EUR til en konto i udlandet og skal godkende med en sms-kode. Er du ikke ved at overføre penge, skal du straks spærre din netbank. Oplys aldrig koden til andre – kun kriminelle beder om den slags. Benyt kode [kode]”
Banken har fremlagt en log fra sin datacentral, hvoraf følgende logins på klageren M’s netbank fremgår:
|
10. april 2024: |
|
11. april 2024 |
|
Kl. 13:06 |
|
Kl. 10:21 |
|
Kl. 14:07 |
|
Kl. 12:27 |
|
Kl. 14:08 |
|
Kl. 13:41 |
|
Kl. 14:10 |
|
Kl. 23:41 |
|
Kl. 14:34 |
|
|
|
Kl. 14:46 |
|
|
|
Kl. 16:57 |
|
|
Banken har oplyst, at transaktionerne er korrekt registreret og bogført, og at de ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.
Om baggrunden for transaktionerne har klagerne oplyst, at klageren M modtog en besked på sin computers skrivebord, der fremstod som værende fra Microsoft Support om, at der var et problem med hans computer. Klageren M skulle trykke på et link i beskeden for at få kontakt med Microsoft, hvilket han gjorde. Den 10. april 2024 kl. 13:30 blev klageren M ringet op af en person, der udgav sig for at være en sikkerhedskonsulent fra Microsoft, som fortalte, at hans computer var blevet hacket. Telefonsamtalen varede 28 minutter. Samme dag ringede personen yderligere fire gange, hvoraf den længste samtale varede i 59 minutter. Den 11. april 2024 ringede personen igen otte gange. Personen oplyste, at det var hans opgave som sikkerhedskonsulent at finde frem til hackerne, og at han i den forbindelse skulle have adgang til klageren M’s computer, hvorfor han i flere omgange fik fuld kontrol over computeren, hvilket han kunne gøre uden klageren M’s hjælp. Klageren M husker ikke at have givet personen nogen oplysninger, men han sendte dog et screenshot at sit kørekort. Først den 11. april 2024 blev han opmærksom på svindlen, da han opdagede transaktionerne på sin konto og senere blev han opmærksom på de SMS’er, som banken havde sendt i forbindelse med transaktionerne.
Ved tro- og loveerklæring af 15. april 2024 gjorde klageren M indsigelse mod de tre transaktioner, hvori han blandt andet oplyste, at han ikke havde foretaget og godkendt transaktionerne, hverken med MitID eller via SMS, at han opbevarede sin MitID-adgangskode i hovedet samt i en lille bog i sit skrivebord, og at han ikke havde modtaget et link, hvor han havde indtastet sine MitID-oplysninger.
Ved brev af 17. april 2024 til banken uddybede klageren M sin indsigelse:
”… Jeg har, sådan som jeg husker det, ikke givet ham nogen oplysninger. Dog bad han mig at sende et screen-shot af mit kørekort, hvilket jeg gjorde.
…
I hvert fald har han haft adgang til min computer, som han i længere tidsrum havde kontrol med (for at jagte hackere, sagde han) mens han holdt mig orienteret over telefonen. Men noget tyder på at han har haft adgang til min telefon, da jeg kan se at der er sendt sms’er fra banken som bad mig bekræfte de pengeoverførsler som tyveriet konkret bestod i, via en kode. …”
Ved e-mail af 24. april 2024 skrev klageren M yderligere:
”… 1. Det lå en besked på mit skrivebord fra microsoft security, som jeg skulle trykke på for at få kontakt med dem, hvilket jeg gjorde. De fortalte mig at jeg var hacket og at de ville hjælpe mig. Jeg har ikke, som jeg erindrer det indtastet oplysninger - men han bad på et tidspunkt om et screenshot af mit sygesikringsbevis.
2. Jeg har ikke selv installeret en app eller et program på min computer (og jeg brugte en anden computer end den jeg nu skriver på), men han har haft fuld kontrol over min computer undervejs, uden at jeg ved hvordan han har fået det.
3. Jeg ved ikke hvordan han har haft adgang til mine Mitid-oplysninger.
4. Jeg har ikke selv godkendt overførslerne fra min computer.
5. SMS-beskedene bad mig godkende nogle transaktioner som jeg ikke havde foretaget, så jeg ignorerede dem. Men jeg kan nu ikke finde dem på min telefon -hvilket bekymrer mig en smule.
…
8.Jeg blev kontaktet pr.telefon og blev opdateret om hans angivelige jagt på hackere. De eneste oplysninger jeg har sendt ham er et screenshot af mit sygesikringsbevis - og dermed mit personnummer. …”
Den 27. maj 2024 afviste banken klageren M’s indsigelse med henvisning til, at han havde godkendt transaktionerne med sit MitID.
Under sagen har banken stillet nogle opklarende spørgsmål til klageren M. Klageren M har blandt andet svaret:
”… Blev Klager først ringet op af personen, som gav indtryk af at være fra Microsoft og derefter modtog et link, eller hvordan var hændelsesforløbet mere præcist?
Det husker jeg ikke præcist. Jeg tror jeg fik linket pr. mail og at der i mailen var et telefonnummer, jeg kunne ringe op. Men jeg kan ikke spore mailen nu – så min erindring kan være upålidelig.
…
Da personen, som gav indtryk af at være fra Microsoft, havde adgang til Klagers computer, lagde Klager mærke til, hvad personen foretog sig på Klagers computer, herunder om personen var inde på Klagers netbank?
Nej
Var Klager selv inde på sin netbank imens Klager var i telefonisk kontakt med personen som gav indtryk af at være fra Microsoft?
Nej
Kan Klager erindre, om Klager på noget tidspunkt benyttede sin MitID nøgleapp på sin telefon imens Klager var i telefonisk kontakt med personen, som gav indtryk af at være fra Microsoft?
Det er jeg ret sikker på at jeg ikke gjorde – det ville jeg have husket. …”
Den 4. juni 2024 indbragte klagerne sagen for Ankenævnet.
Den 14. oktober 2024 imødekom banken klageren M’s indsigelse for det fulde beløb for så vidt angår transaktionen på 4.700 kr. til Western Union.
Parternes påstande
Klagerne har indbragt sagen for Ankenævnet med påstand om, at Arbejdernes Landsbank skal erstatte deres tab.
Arbejdernes Landsbank har nedlagt påstand om frifindelse, subsidiært afvisning og mere subsidiært at banken godtgør klagerne for transaktionen den 10. april 2024, dog fratrukket en selvrisiko på 8.000 kr.
Parternes argumenter
Klagerne har anført, at klageren M er blevet svindlet. Transaktionerne skete ikke med hans viden og samtykke.
De pågældende transaktioner er højst usædvanlige på klageren M’s konto, og det forekommer ham, at de burde være fanget af banken. Svindleren har ikke alene tømt hans indskud, men også hans kassekredit.
Svindleren må også have haft adgang til klageren M’s mobiltelefon uden hans vidende. Først en uge efter opdagede han, at der var sendt hele ti SMS'er til ham fra banken den 10. og 11. april 2024, som bad ham godkende de pågældende transaktioner ved hjælp af koder. Disse SMS'er har han ikke selv set før efter gennemførelsen af transaktionerne, men svindleren må have set dem (eller nogle af dem) og brugt de tilsendte kode til at godkende overførslerne. Den kendsgerning, at han først en uge senere opdagede disse SMS’er indikerer, at svindleren har haft adgang til hans telefon.
Hvorfor sendte banken mere end én sikkerhedssms? Det tyder på, at svindleren prøvede at overføre penge flere gange. Burde det ikke have fået bankens sikkerhedssystem til at reagere? Det gjorde banken ikke. Det drejede sig trods alt om at store beløb, hvorved klagerens M’s bankkonto blev tømt. Beløb, der skulle overføres til en udenlandsk bank – fra en konto hvorfra der aldrig før er foretaget andet end almindelige, danske familietransaktioner. Selve det atypiske ved disse overførsler burde have fået bankens alarmklokker til at ringe.
Bankens påstand om, at klageren M skulle have godkendt transaktionerne og/eller videregivet SMS-sikkerhedskoder, har som forudsætning at svindleren ikke har haft adgang til hans telefon. Men som det er fremgået af det ovenstående, er der ret sikre indikationer på, at svindleren har haft en sådan adgang, idet han selv hverken godkendte transaktionerne eller videregav sikkerhedskoder.
Det undrer dem, at banken under sagen for Ankenævnet har stillet spørgsmål til klageren M. Klageren M’s svar på spørgsmålene ville have været betydeligt mere præcise og pålidelige, hvis de var stillet umiddelbart efter hans indsigelse, da begivenhederne var friskere i hans erindring. Det forekommer ham desuden underligt, at banken dengang uden videre afviste hans indsigelse uden at bede om uddybende information. Hvis banken nu mener, at denne uddybende information er nødvendig for at træffe en saglig velbegrundet afgørelse, er det en implicit indrømmelse af, at den første afgørelse/afvisning ikke var sagligt velbegrundet.
Det står ikke klart for klageren M præcist, hvordan han gav svindleren adgang til sin computer, men han anerkender, at han har medvirket til, at svindleren fik adgang.
Med adgangen til klageren M’s computer følger, at svindleren har haft adgang til de noter, han har om forskellige passwords. På dette tidspunkt lå også hans brugernavn og password til MitID i klartekst blandt noterne, som svindleren derfor har haft adgang til. Bankens formulering om, at han alene havde adgang sine MitID-oplysninger er derfor ikke korrekt – svindleren havde det også som en konsekvens af hans adgang til computeren.
Arbejdernes Landsbank har til støtte for frifindelsespåstanden anført, at det følger af betalingslovens § 98, stk. 1, at hvor en betaler nægter at have autoriseret eller iværksat en betalingstransaktion, har udbyderen af betalingstjenesten bevisbyrden for, at betalingstransaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl. Ved brug af et betalingsinstrument har udbyderen desuden bevisbyrden for, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er blevet anvendt i forbindelse med betalingstransaktionen.
Transaktionerne er korrekt registreret og bogført, og de ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Transaktionerne er gennemført med MitID og SMS-sikkerhedskoder (en personlig sikkerhedsforanstaltning).
Klageren M har oplyst, at han kun gav svindleren et screenshot af sit kørekort. Klageren M mener således ikke at have videregivet sine MitID-oplysninger/koder eller de sikkerhedskoder, der blev sendt til hans mobiltelefon, og som blev anvendt i forbindelse med de overførslerne. Besiddelse af disse oplysninger, som alene klageren M har haft adgang til, var en forudsætning for at kunne få adgang til hans netbank og for derefter at overføre penge fra hans konto.
Klageren M afviser samtidig, at han med sin mobiltelefon har downloadet apps eller trykket på links, han måtte have modtaget af svindleren eller på anden vis medvirket til, at svindleren fik adgang til hans mobiltelefon. Banken finder det dermed ikke sandsynligt, at svindleren har haft adgang til/har overtaget klageren M’s telefon og derved uden klageren M’s viden har godkendt transaktionerne via klageren M’s MitID-app. Det må derfor lægges til grund, at det er klageren M selv, der via sin MitID-app har logget på sin netbank og derefter godkendt transaktionerne via sin MitID-app.
Under sagen for Ankenævnet har klageren M nu oplyst, at hans passwords og MidtID-oplysninger og koder lå på hans computer. Dette forklarer dog ikke, hvordan tredjemandsmisbrug ville kunne lade sig gøre, og klageren M er ikke kommet med en plausibel forklaring på, hvordan dette skulle være sket. Alle betalinger er således godkendt via klageren M’s MitID på hans telefon og med SMS-sikkerhedskode, ligesom der med klageren M’s MitID på hans telefon er blevet logget på hans netbank.
Selv hvis en tredjemand var kommet i besiddelse af klageren M’s forskellige passwords og MidtID-oplysninger og koder, ville det således ikke være tilstrækkeligt til at gennemføre de i sagen omhandlende overførsler. Klageren M gør ganske vist gældende, at hans mobiltelefon må været blevet overtaget/hacket, men det er ikke sandsynligt.
Banken burde ikke have reageret på baggrund af sikkerhedskoderne, der blev sendt til klageren M’s mobiltelefon.
Sammenfattende er det således ikke sandsynliggjort, at der skulle være tale om et tredjemandsmisbrug, der er omfattet af betalingslovens § 100. Uanset om Ankenævnet måtte komme frem til, at der er tale om uautoriserede betalingstransaktioner, bør klageren M hæfte for det fulde beløb, jf. betalingslovens § 100, stk. 5.
Hvis Ankenævnet måtte komme frem til, at der var tale om uautoriserede betalingstransaktioner, må klageren M’s godkendelse af transaktionerne via sin MitID-app på sin mobiltelefon sidestilles med udlevering af den personlige sikkerhedsforanstaltning til tredjemand under omstændigheder, hvor klageren M burde have indset, at der var risiko for misbrug. En skærpende omstændighed er, at det i den henseende må lægges til grund, at klageren M enten har indtastet eller videregivet de SMS-sikkerhedskoder, som han modtog, til trods for, at det af tydeligt fremgik af de pågældende SMS´er, at han var i gang med at overføre penge til udlandet, og at koderne ikke måtte oplyses til andre. Det må også som minimum kunne forventes, at en kunde læser de modtagne SMS-beskeder inden anvendelse/videregivelse af koderne.
Gennem de seneste år har være stort fokus på phishing og kort- og netbankmisbrug i dagspressen, ligesom der fra forskellige aktører, herunder politiet, er udsendt advarsler. Klageren M burde også derfor have indset, at der var risiko for misbrug.
Til støtte for afvisningspåstanden har banken anført, at der er en lang række faktuelle uklarheder i sagen om hele hændelsesforløbet og en yderligere afklaring af disse vil kræve en parts- og vidneforklaring og eventuelle tekniske undersøgelser af klageren M’s mobiltelefon og computer. En yderligere afklaring af klageren M’s forsæt og burde-viden vil ligeledes kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises.
Klageren M har forklaret, at han modtog et link, som han trykkede på. Han forklarer, at han modtog en besked på sit skrivebord, men forklarer også, at han ikke kan huske det præcist, men at han tror, at han fik linket via en e-mail, som han dog ikke kan finde. Klageren M har også forklaret, at svindleren havde fuld adgang til hans computer, men har samtidig oplyst, at han ikke lagde mærke til, hvad svindleren foretog sig.
Til støtte for den mere subsidiære påstand om, at banken godtgør klageren M for transaktionen den 10. april 2024, fratrukket en selvrisiko på 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 3, men at klageren M hæfter fuldt ud for transaktionen den 11. april 2024, jf. betalingslovens § 100, stk. 5, har banken anført, at hvis Ankenævnet skulle komme frem til, at der samlet set ikke er tale om et forhold, der er omfattet af betalingslovens § 100, stk. 5, og heller ikke finder grundlag for at afvise sagen, gøres det gældende, at betalingslovens § 100, stk. 5, som minimum finder anvendelse, forså vidt angår overførslen, der blev gennemført den 11. april 2024.
Banken anerkender, at svindlere er dygtige og har held til at opbygge en stress-situation, hvor offerets dømmekraft kan påvirkes. I den konkrete sag var der imidlertid fra klageren M’s første overførselsgodkendelse den 10. april 2024 til den anden godkendelse den 11. april 2024 en pause på lidt over 22 timer, som også var afbrudt af nattesøvn. Klageren M blev i denne periode bragt ud af en eventuel stress-situation. Klageren M burde derfor senest på dette tidspunkt have indset, at dialogen med svindleren, herunder den forsatte godkendelse af overførsler på sin telefon, var forbundet med risiko for misbrug.
Ankenævnets bemærkninger
Klagerne M og H var kunder i Arbejdernes Landsbank, hvor klageren M havde en konto og netbankadgang. Klageren M havde derudover MitID.
Den 10. og 11. april 2024 blev der foretaget to kontooverførsler i klageren M’s netbank til konti i udenlandske pengeinstitutter tilhørende ukendte tredjemænd samt en transaktion på 4.700 kr. til Western Union, i alt 149.085,10 kr.
Banken har anført, at netbankoverførslerne blev godkendt med klageren M’s MitID installeret på hans iPhone 12 med SMS-sikkerhedskoder.
Klagerne har oplyst, at klageren M modtog en besked, der fremstod som værende fra Microsoft Support om, at der var et problem med hans computer. Klageren M skulle trykke på et link i beskeden for at få kontakt med Microsoft, hvilket han gjorde. Den 10. og 11. april 2024 blev han ringet op af en person, der udgav sig for at være en sikkerhedskonsulent fra Microsoft. Personen fortalte, at klageren M’s computer var blevet hacket, hvorfor han skulle have adgang til computeren, hvilket han fik i flere omgange uden klageren M’s hjælp. Klageren M husker ikke at have givet personen nogen oplysninger, men han sendte dog et screenshot at sit kørekort. Dog havde han sit brugernavn og password til MitID liggende i sine noter på computeren. Først en uge efter svindlen blev han opmærksom på de SMS’er, som banken havde sendt i forbindelse med transaktionerne.
Ved tro- og loveerklæring af 15. april 2024 gjorde klageren M indsigelse mod kontooverførslerne, hvori han blandt andet oplyste, at han havde sin MitID-adgangskode i hovedet samt noteret i en lille bog i sit skrivebord.
Ved e-mail af 24. april 2024 til banken oplyste klageren M endvidere, at han ikke vidste, hvordan svindleren havde fået adgang til hans MitID-oplysninger, at han kun havde sendt et screenshot af sit sygesikringsbevis, og at ”SMS-beskedene bad mig godkende nogle transaktioner som jeg ikke havde foretaget, så jeg ignorerede dem.”
Den 27. maj 2024 afviste banken klageren M’s indsigelse med henvisning til, at han havde godkendt transaktionerne med sit MitID.
Under sagen for Ankenævnet har banken imødekommet klageren M’s indsigelse for det fulde beløb for så vidt angår transaktionen på 4.700 kr. til Western Union den 10. april 2024. Klagebeløbet udgør herefter 144.385,10 kr.
Klageren M har anført, at personen, der udgav sig for at være fra Microsoft, tog kontrol over hans computer, hvorpå svindleren må have fået adgang til hans MitID-oplysninger, da de lå i hans noter på computeren. Personen må ligeledes have hacket hans mobiltelefon for at få adgang til bankens SMS’er med sikkerhedskoder.
Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren M hæfter delvist for tabet, jf. betalingslovens § 100, stk. 4, eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse, herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klagerne får klagegebyret tilbage.