Indsigelse mod netbank- og kortransaktioner i forbindelse med telefoniske henvendelser om mulighed for tilbageførsel af tilgodehavende hos investeringsfirma. Adgang til PC via skærmdeling.

Sagsnummer:312/2020
Dato:09-11-2021
Ankenævn:Vibeke Rønne, Jesper Claus Christensen, Karin Sønder-bæk, Morten Bruun Pedersen, Lisbeth Baastrup Burgaard.
Klageemne:Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod netbank- og kortransaktioner i forbindelse med telefoniske henvendelser om mulighed for tilbageførsel af tilgodehavende hos investeringsfirma. Adgang til PC via skærmdeling.
Indklagede:Nykredit Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod netbank- og kortransaktioner i forbindelse med telefonisk henvendelse om mulighed for tilbageførsel af tilgodehavende hos online investeringsfirma.

Sagens omstændigheder

Klageren var kunde i Nykredit Bank, hvor han havde konti med netbank-adgang og et betalingskort.

I sommeren 2019 foretog klageren en investering på modværdien af 500 USD i bitcoins hos firmaet F1.

Den 7. februar 2020 blev klageren kontaktet af en person, P1, fra firmaet F2, som oplyste, at F2 kunne hjælpe med at få udbetalt klagerens tilgodehavende på 6.000 DKK hos F1. Klageren modtog ikke beløbet på 6.000 DKK. Den 11. februar 2020 blev der i stedet hævet en kortbetaling på 6.000 DKK fra klagerens konto til et online overførselsfirma, F3. Den 12. februar 2020 indgav klageren indsigelse til banken vedrørende transaktionen og anførte blandt andet:

” Jeg talte med en englænder i fredags fra et investeringsagent hvor jeg har penge tilgode. Jeg har mange gange forsøgt at få dem igen men uden held. Ham her … fortalte, at han ville sende 6000 kr tilbage til mig, men havde brug for oplysninger, hvor han kunne sætte dem ind. Derfor fik han mit kortnummer … I dag ( 12.2) opdager jeg, at … firmaet har trukket 6000 kr på kontoen i stedet. …”

Banken spærrede klagerens betalingskort og bestilte et nyt kort til ham. Banken tilbageførte efterfølgende pr. kulance transaktionen til klageren med fradrag af 375 DKK.

Banken har oplyst, at klageren den 12. februar 2020 kontaktede P1 for at få hjælp til at få beløbet på 6.000 DKK refunderet og til at forøge afkastet, og at klageren skærmdelte sin PC. I første omgang skulle der overføres 250 USD til klagerens konto, hvilket klageren blev bedt om at godkende med nemid og tilhørende nøglekode fra sin nøgle app. Den 18. februar 2020 blev der indsat 2.354,74 DKK på klagerens konto i banken fra firmaet F4. Banken har oplyst, at klageren aftalte med en anden person, P2, at der skulle overføres modværdien af 1.800 USD til klagerens konto i banken, som klageren skulle godkende med nemid og nøglekode, og at klageren har oplyst, at han foretog en betaling på 500 DKK, ligeledes ved nemid og nøglekode. Der indgik imidlertid ikke noget beløb til klageren.

Den 21. februar 2020 blev der via netbank overført 145.879,50 DKK (19.500 EUR) fra klagerens konto i banken til F4 som en ekspres udlandsoverførsel. Banken har oplyst, at overførslen blev godkendt med klagerens nemid og tilhørende nøglekode og ved brug af sms-kode, der blev sendt til klagerens telefonnummer. Klageren fremsatte telefonisk indsigelse mod overførslen over for banken, og klagerens nemid og betalingskort blev spærret.

Banken har oplyst, at klageren den 28. februar 2020 aktiverede et nyt betalingskort og nemid adgang.

Den 28. februar 2020 blev klageren kontaktet af en person, P3, der oplyste, at hun var fra et såkaldt recovery firma, F5, og at hun var bekendt med, at klageren var blevet snydt med nogle bitcoin investeringer. En anden person, P4, overtog samtalen fra P3, og klageren skærmdelte efter det oplyste sin PC med P4, så denne kunne se klagerens investeringskonto hos F1. Banken har anført, at klageren flere gange brugte sine nemid oplysninger og nøglekode fra nøgle app’en for at få frigivet sine investeringer.

Den 28. februar 2020 blev der via netbank som en ekspres udlandsoverførsel overført 112.278,75 DKK (15.000 EUR) fra klagerens konto i banken til firmaet F6. Banken har oplyst, at overførslen blev godkendt med klagerens nemid og tilhørende nøglekode og ved brug af sms-kode, der blev sendt til klagerens telefonnummer. Banken har oplyst, at brug af de fremsendte sms-koder var nødvendige for at gennemføre de to overførsler, og at sms’erne indeholdt oplysning om modtagerens navn og konto nummer. Klageren har bestridt, at han modtog sms’er om overførslerne.

Den 28. februar 2020 kl. 12.46 og 12.58 blev der gennemført to kortbetalinger på henholdsvis 3.944 DKK/569 USD og 17.750 DKK/2.562 USD til en betalingsmodtager, F7, ved brug af nemid og nøglekode. Betalingerne blev bogført på klagerens konto den 3. marts 2020. Den 11. marts 2020 tilbageførte F7 betalingen på 569 USD til klageren.

Den 28. februar 2020 indgav klageren indsigelse til banken om tredjemandsmisbrug vedrørende hævningen på 112.278,75 DKK. I indsigelsen anførte klageren:

”Jeg blev i dag kontaktet af et firma som hedder [F5] recovery … kvinden fortalte mig, at selskabet havde til hensigt at hjælpe de men[n]esker, der havde tabt penge på investering i bitcoin tilbage. Hun var overbevisende og fortalte, at de hjælp mange mennesker ligesom mig, der har tabt godt 140.000 kr for et par uger siden. Det har jeg gjort indsigelser på I Nykredit. Så kom en meget professionelt lydende mand til og styrede sikkert gennem optrevling af de midler, der ligger i den [W]allet i det firma, der stjal de mange penge for 2 uger siden. Han fortalte, at han først ville trække de bitcoin penge ud fra den lukkede [w]allet og derefter sætte dem i en udenlandsk bank, der kunne omdanne dem til rigtige penge og så sende dem tilbage til min konto. Han skulle bruge mit nemid flere gang til at få pengene ud af den [w]allet. Jeg spurgte ham igen og igen om det hele var ærligt og han svarede roligt og overbevisende at det var det. så var det jeg efter lang tids telefon snak og mens han kiggede med på min skærm, på det han gjorde, at jeg opdagede at han havde trukket 112.000 kr ud fra en konto og sat pengene over på en anden konto. Jeg kiggede på min IPad og kunne se det. Det var et depot, fortalte han. Jeg sagde, at jeg ikke ville være med og stoppe det hele. Så gik han ind og flyttede de 100.000 kr tilbage.

Jeg var lettet og kunne se, at pengene nogenlunde stod som tidligere. Da jeg så lidt senere Så ringede jeg til Nykredit og fik spærret alle konti. Da jeg så igen lidt senere ringede til Nykredit for at få oplyst beløbene på min konto, (fordi jeg ikke selv kunne se dem længere pga spærre) fik jeg at vide at der var hævet 100.000 igen. Det har jeg ikke selv været en del af - pengene er stjålet uden at jeg har vidst det.”

Banken har oplyst, at den efter modtagelse af indsigelsen spærrede klagerens nemid og betalingskort.

Den 26. marts 2020 sendte klageren blandt andet supplerende oplysninger til banken om forløbet op til den 21. februar 2020 og om overførslen den 28. februar 2020:

”… Jeg skrev til [P1] og talte i telefon med ham mange gange. Han sagde, at han havde sagt, han ville hjælpe med at arbejde pengene tilbage. Jeg skulle lade ham investere og få pengene til at arbejde.

Jeg var vred og ville have pengene tilbage – han garanterede på mange måder, at jeg ville få alle mine penge igen i form af afkast.

Det gik jeg så med til. Han lagde fra firmaet 6000 kr. oveni, så beløbet blev større at handle med.

En anden - … tog derefter over. Han viste mig dashboardet med investeringsfirmaer, løbende forretninger mv og min personlige [W]allet / konto, hvor der nu stod ca. 2900 Euro. Denne konto, har intet med Nykredit at gøre og skulle åbnes med brugernavn og adgangskode. Vi var ikke på noget tidspunkt inde på vores bankkonto. …

Jeg åbnede min [w]allet, skrev 250 Dollars og skulle bruge Nem Id og Underskrift for at dokumentere, at det var mig, der hævede pengene Jeg sikrede mig, at han ikke kunne se mit Nem Id og kode ved at spørge ham, om han kunne se noget på skærmen ifm. Med mit brugernavn og adgangskode – det kunne han ikke, forsikrede han. …

Derefter steg beløbet på min konto til ca. 3900 Dollars, kunne jeg se. … Jeg besluttede, at jeg ville lukke ned efter at det beløb var kommet ind på kontoen, fordi vi jo havde besluttet, at vi ikke ville gå ind i bitcoinhandel.

Overførslen blev tilrettelagt ligesom sidste gang. Jeg skrev selv 1800 Dollars på overførslen …

Jeg har på intet tidspunkt oplyst eller videregivet oplysninger om vores Nykredit konti (udover vores kontonummer) eller givet tilladelse til at der blev hævet 145.879,50 kr fra kontoen …

Redegørelse for trick tyveri af penge på vores konto d. 28.2.2020

Fredags d. 28.2.2020 ringede igen et nummer fra England. …

Han overtog skærmen og viste mig, hvad han ville gøre, og hvordan han gjorde det. Han var ikke inde på vores netbank. Han ville ikke røre vores penge – kun dem, vi havde på den konto på dashboardet, han kunne se pengene på.

Jeg skulle bruge Nem Id til at trække pengene ud fra den konto, de stod på i det engelske firma, sagde han.

Jeg sikrede mig, at han ikke kunne se mit Nem Id og kode ved at spørge ham, om han kunne se noget på skærmen ifm. Med mit brugernavn og adgangskode – det kunne han ikke, forsikrede han. …

Alle konti og kort blev spærrede fredag d. 28.2. … Til trods for det, var der mandag igen forsvundet yderligere ca. 21.000 kr. fra vores konto ….”

Den 7. april 2020 anmodede banken klageren om at bevare spørgsmål vedrørende klagerens indsigelse. Spørgsmålene og klagerens svar var følgende:

” • Hvilke oplysninger har du selv udleveret?

Jeg har ikke udleveret oplysninger udover kontonummer, som jeg har skrevet i sagsfremstillingen.

En enkelt gang har jeg åbnet for Netbank for at vedkommende kunne se, hvordan pengene var forsvundet. Netbanken var åben i max ½ min, hvorefter jeg lukkede ned igen.

Jeg skiftede NemID og passwords, samt spærrede alle kort og konti efter begge svindelnumre.

• Hvordan er skærmdelingen foregået, samt hvilke programmer har været åbne og hvilke oplysninger er blevet indtastet under skærmdelingen?

Skærmdelingen skete via en app, som jeg ikke kan huske navnet på – og efter søgning i Appstore har jeg ikke kunnet genfinde den. …

Jeg viste den ansatte i det recover firma, jeg begge gange troede jeg talte med, hen til de konti, hvor vores penge stod. …

Så han kunne se vores egen ”konto” på firmaets side For at få dem fri skulle jeg bruge NemID, sagde de. Derfor brugte jeg NemID. …

• Hvordan mener du, at tredjemand har opnået adgang til din netbank?

Jeg tror, de professionelle datasvindlere har kunnet se mine personlige data, når jeg f.eks. har skrevet brugernavn og password i Nem Id ifm. at jeg skulle hæve mine egne indsatte penge på firmaernes konti.

Det var jo der, de fortalte, jeg skulle bruge mit NemID til at kunne hæve mine egne penge på kontiene. …

Jeg forstå stadigvæk ikke, hvordan de har været i stand til at flytte pengene, når de ikke har haft mit nøglekort – for det havde de ikke – det har jeg som mange gange tidligere nævnt ikke som et fysisk nøglekort, men som det digitale nøglekort.”

I en udateret e-mail og en e-mail af 28. april 2020 til banken oplyste klageren endvidere blandt andet følgende vedrørende sin indsigelse mod hævningen på 145.879,50 DKK den 28. februar 2020:

”…. Samtidigt med at jeg talte i telefon med en person fra firmaet, havde jeg delt skærmen med vedkommende vha. et program og han foretog udtagning af penge fra min ”Crypto konto” på dashboardet til at videresende for at få dem overført tilbage til vores konto. Under disse overflytninger fra Crypto kontoen skulle jeg bruge NemID, som kom frem på skærmen. Herefter brugte jeg NemID. (digitalt) … ”

”… lighed med ved den sidste overførsel skulle jeg betale de 500 kr, det koster at overføre udenlandsk valuta.Og her brugte jeg NemID for at overføre pengene. (Digital NemID) …”

Parternes påstande

Den 19. august 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Nykredit Bank skal tilbageføre de hævede beløb på i alt 270.000 DKK helt eller delvist.

Nykredit Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at han har været udsat for data svindel (phishing). Det er lykkedes svindlerne at stjæle ca. 270.000 DKK fra hans og hans kones konti. Svindlerne har benyttet sig af tricktyveri, scam og ”Social Engineering”. Svindlerne udnyttede den ”sociale interaktion” og brugte psykiske kneb til at manipulere og narre ham til at udlevere informationer og give adgang til systemer eller overføre penge til dem.

Han handlede i god tro og forsøgte blot at få sine tabte penge tilbage. I telefonsamtalen, hvor han desperat forsøgte at få de 145.000 DKK tilbage, googlede han firmaet og erfarede, at firmaet eksisterede og arbejdede med at hjælpe folk med at skaffe stjålne penge tilbage.

Han har kun godkendt én overførsel fra sin konto, nemlig betalingen på 500 DKK til en valutaoverførsel. Bortset herfra har han har ikke på noget tidspunkt overført eller godkendt overførsler af penge fra sine konti i banken. Han har aldrig selv tilladt svindlerne at hæve penge fra sine konti i banken. Han har på intet tidspunkt set, godkendt eller været bevidst om, at hans penge blev hævet eller flyttet under telefonsamtalerne med svindlerne. De transaktioner, han har set, har været fra den Cryptokonto, hvor hans penge var fastlåst.

Standardteksten i sms’erne ”vil du betale til modtagers navn + kontonummer”, som banken fremhæver, har han ikke modtaget. Han har - ud over den ene gang som omtalt ovenfor - ikke modtaget meddelelser om, at der skulle trækkes penge fra deres konti. Han kunne ikke se navn/kontonummer på modtager eller beløb.

Han har politianmeldt bedrageriet.

Banken burde have advaret ham og gjort opmærksom på sine erfaringer med disse former for phishing. Banken anfører blandt andet, at han burde have kunnet gennemskue, at de forskellige svindelselskaber samarbejdede, og at han derfor burde have afbrudt samarbejdet med dem. Han forstår ikke, hvorfor ikke en af de mange personer fra banken, som han i hele forløbet med fortvivlelse talte med efter tyverierne, har viderebragt deres viden om, at kriminelle samarbejdede på denne måde. Han har efterfølgende læst, at andre banker har beskrevet dette for deres kunder.

Nykredit Bank har anført, at klageren indlod sig på investeringer, som han vidste var risikofyldte. En simpel søgning på internettet kunne have afsløret, at indholdet af annoncerne var for godt til at være sandt. Selvom klageren fik mistanke om, at der var noget galt, forsøgte han at få sin investering retur uden at reflektere over, hvordan de personer, der kontaktede ham, kunne vide, at han havde investeret i bitcoins, hvordan de kunne tilgå hans investeringer, og om personerne derfor kunne være i ledtog med dem, der stod bag investeringerne. Banken valgte kulancemæssigt at imødekomme klagerens første indsigelse.

Efter den første transaktionen på 6.000 DKK burde klageren have været bevidst om risikoen for at blive snydt ved at give tredjemand adgang til skærmdeling. Klageren fortsatte en dialog med en person, som han burde have indset var involveret i det første tab på 6.000 DKK. Klageren fortsatte kontakten med F2, som havde afstedkommet et uønsket træk på klagerens konto. Klageren fortsatte dialog og skærmdeling med tredjemand uanset det tidligere misbrug. Det er åbenbart risikabelt at give tredjemand adgang til skærmdeling, især når klageren tidligere i forløbet havde oplevet at få trukket beløb på sin konto i stedet for som lovet at få indsat beløb. Det burde have stået klageren klart, at han muliggjorde misbrug af sin konto og kort.

Klageren har erkendt at have brugt nemid oplysninger og nøglekode (via nøgle app) til godkendelse af forskellige overførsler uden at reflektere over, at det var usædvanligt, at der skulle bruges kode til indbetaling på hans konto i banken fra en ”intern” udenlandsk investeringskonto og uden at reflektere over, at det danske nemid skulle bruges uden for landets grænser.

Klageren modtog og anvendte igen og igen koder til transaktionerne, som tydeligt angav, at der var tale om betaling til en navngiven kontohaver og et kontonummer, der ikke var klagerens. Klageren har derved udvist en adfærd, som han burde have indset rummede risiko for misbrug. Klageren hæfter derfor uden beløbsbegrænsning, jf. betalingslovens § 100, stk. 5.

Banken advarede klageren mod videregivelse af koder til tredjemand. På sin hjemmeside advarer banken om forskellige typer af svindel. Klageren overhørte rådene om skærpet forsigtighed og opmærksomhed, som bankens indsigelsesafdeling kom med i forbindelse med genbestilling af kort og ny nemid adgang. Klagerens henvendelser til banken vedrørte hovedsageligt praktisk hjælp til spærring. Havde klageren oplyst, at de firmaer, som han var i kontakt med, ønskede skærmdeling, havde banken utvivlsomt advaret klageren mod overhovedet at overveje at give en sådan adgang.

Ankenævnets bemærkninger

Klageren var kunde i Nykredit Bank, hvor han havde konti med netbank-adgang og et betalingskort.

I sommeren 2019 foretog klageren en investering på modværdien af 500 USD i bit-coins hos firmaet F1. Den 7. februar 2020 blev klageren kontaktet af et firma, F2, som tilbød at hjælpe klageren med at få udbetalt hans tilgodehavende på 6.000 DKK hos F1. Den 11. februar 2020 blev der i stedet hævet en kortbetaling på 6.000 DKK fra klagerens konto. Banken godtgjorde pr. kulance transaktionen til klageren med fradrag af 375 DKK.

I perioden fra den 12. februar 2020 var klageren flere gange i telefonisk kontakt med personer og firmaer, der tilbød at hjælpe ham med at få hans investeringer og tilgodehavender retur. Det lægges efter det oplyste til grund, at klageren i den forbindelse flere gange gav tredjemand adgang til sin PC ved skærmdeling.

Den 21. februar 2020 blev der via netbank overført 145.879,50 DKK (19.500 EUR) fra klagerens konto i banken til firmaet F4. Den 28. februar 2020 blev der via netbank overført 112.278,75 DKK (15.000 EUR) fra klagerens konto i banken til firmaet F6. Banken har oplyst, at overførslerne blev godkendt med klagerens nemid og tilhørende nøglekode og ved brug af sms-koder, der blev sendt til klagerens telefonnummer. Den 28. februar 2020 blev der endvidere gennemført to kortbetalinger på henholdsvis 3.944 DKK/569 USD og 17.750 DKK/2.562 USD til firmaet F7 ved brug af klagerens nemid og nøglekode. Betalingen på 3.944DKK/569 USD blev efterfølgende tilbageført af F7.

Klageren har anført, at han ikke godkendte de i sagen omhandlede transaktioner, og at han ikke modtog og anvendte de omhandlede sms’er.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens nemid var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.

Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.