Indsigelser om mangelfuld sikkerhed i netbank i forbindelse med overførsel via netbank af kreditorbeskyttede midler til Mastercardkonto, og indsigelse om misbrug af Mastercard vedrørende betalinger til to udenlandske investeringsfirmaer

Sagsnummer:455/2019
Dato:26-03-2021
Ankenævn:Bo Østergaard, Jesper Claus Christensen, Mette Lindekvist Højsgaard, Morten Bruun Pedersen, Lisbeth Baastrup Bur-gaard
Klageemne:Netbank - tekniske forhold
Indlån - øvrige spørgsmål
Betalingstjenester - fjernsalgstransaktioner
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelser om mangelfuld sikkerhed i netbank i forbindelse med overførsel via netbank af kreditorbeskyttede midler til Mastercardkonto, og indsigelse om misbrug af Mastercard vedrørende betalinger til to udenlandske investeringsfirmaer
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører indsigelser om mangelfuld sikkerhed i netbank i forbindelse med overførsel via netbank af kreditorbeskyttede midler til Mastercardkonto og indsigelser om misbrug af Mastercard vedrørende betalinger til to udenlandske investeringsfirmaer.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde fire indlånskonti, hvoraf tre konti var kreditorbeskyttede, og en konto med et tilknyttet Mastercard.

De tre kreditorbeskyttede konti blev oprettet ved to aftaler indgået i 2015 og én aftale indgået i 2017. Af de fremlagte eksemplarer af aftalerne fremgår klagerens underskrift på én af aftalerne i 2015. Af aftalerne fremgik blandt andet:

”…

Jeg oplyser herved banken om, at indeståendet på kontoen udgør erstatning for invaliditet eller tab af forsørger, som omfattes af Retsplejelovens § 513. Jeg er indforstået med, at det er mit eget ansvar at oplyse tredjemand om kreditorbeskyttelsen, herunder at fremvise fornøden dokumentation herfor. Banken er uden ansvar for, om indeståendet på kontoen måtte vise sig ikke at være omfattet af Retsplejelovens § 513.

…”

Klageren har oplyst, at hun efter tjeneste i det Danske Forsvar – på baggrund af traumatiserende oplevelser i udlandet – blev ramt af Post Traumatisk Stress (PTSD), og at indeståenderne på de kreditorbeskyttede konti var erstatningsbeløb, som hun modtog i den forbindelse.

Den 23. januar 2018 blev der med klagerens Mastercard foretaget 31 transaktioner á 5.000 USD, svarende til i alt 962.469,40 kr. Betalingsmodtagerne var to udenlandske investeringsselskaber, A og B.

Transaktionerne med Mastercardet blev dækket ved to overførsler på 550.000 kr. og 400.000 kr. samme dag fra en af klagerens kreditorbeskyttede konti til klagerens Mastercardkonto.

Den 29. januar 2018, 15. februar 2018 og 20. februar 2018 blev der fra A ved i alt syv transaktioner tilbageført i alt 9.550 USD, svarende til 57.690,06 kr.

Klageren gjorde indsigelse mod transaktionerne.

Den 13. december 2018 blev indsigelsen afvist af banken. Banken anførte blandt andet:

”…

Du har i forbindelse med behandlingen af din indsigelse oplyst banken, at du den 23. januar 2018 blev ringet op af en person ved navn Max, der ad flere omgange har forsøgt at overbevise dig om at investere. Under samtalen har du installeret programmet Anydesk og givet Max adgang til din computer mens du var logget ind på din netbank. Der blev på dette tidspunkt lavet to store overførsler til din MasterCard konto på i alt 950.000,00 kr. via din netbank.

Under din samtale med Max blev der foretaget i alt 31 betalinger med dit MasterCard til en samlet sum af 962.469,40 kr. Heraf er 57.690,06 kr. allerede blevet krediteret, hvilket giver en samlet overførsel til de to firmaer på 904.779,34 kr.

Alle betalingerne er gennemført ved at kortnummer, udløbsdato og kontrolkode er blevet oplyst, hvorefter du har modtaget en MasterCard SecureCode, som du har oplyst til Max. Dette er sket 31 gange i løbet af jeres telefonsamtale.

Det fremgår klart af hver MasterCard SecureCode, at man er i gang med et køb over internettet, beløbet på det pågældende køb og at hvis dette ikke er en selv, skal man straks spærre kortet.

På baggrund af sagens omstændigheder og ovenstående, er det bankens vurdering, at betalingerne er autoriserede af dig og at du har haft til intention at lave de pågældende overførsler.

Dette understøttes af, at du ved flere lejligheder før d. 23. januar 2018 har foretaget lignende overførsler og banken ved flere lejligheder i januar har haft kontakt med dig, hvor vi har informeret dig om, at vi har stoppet en overførsel grundet mistanke om misbrug.

Dertil kommer, at du ved at have oplyst Max den modtagne MasterCard SecureCode 31 gange må anses for at have haft til hensigt at overføre de pågældende beløb, alternativt indså eller burde [du] have indset, at der var risiko for misbrug af dit MasterCard.

…”

Banken har under sagen fremlagt en besked af 17. januar 2018 fra Nets. Heraf fremgik blandt andet:

”Som det fremgik af Infonet nyhed den 20/12-2017 har vi, for at imødegå misbrug, opdateret 3D secure SMS’erne så de indeholder yderligere information, se eksempel på SMS nedenfor:

Din engangskode er: […] til dit køb på 497,95 DKK hos […]. Er du ikke i gang med onlinehandel, spær straks kortnr. […]!

Ændringen er sket for Dankort secured by Nets, Verified by Visa og MasterCard SecureCode.”

Klageren har fremlagt skærmbilleder, der blandt andet viser beskeder fra Nets i januar, marts og juli 2018 med følgende tekst:

”Din engangskode fra Nets er: […]”  

Parternes påstande

Den 4. december 2019 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre transaktionerne.

Danske Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at banken bør tilbageføre transaktionerne.

Hun ønskede at beskytte de penge, som hun fik udbetalt i erstatning. Banken vejledte hende om at sætte pengene på en kreditorbeskyttet konto, hvilket hun gjorde.

Transaktionerne den 23. januar 2018 skyldtes svindel/bedrageri. Mens hun var logget ind på netbanken, mistede hun kontrollen over sin computer. Overførslerne på 500.000 kr. og 450.000 kr. skete uden brug af 2-faktor eller Nemid kode, hvilket var uforsvarligt, og banken må derfor bære ansvaret for, at det kunne ske. Andre pengeinstitutter kræver 2-faktor eller Nemid for at lave denne slags overførsler. 

Pengene blev flyttet til Mastercardkontoen, hvilket muliggjorde, at gerningsmændene kunne bortfjerne udbyttet fra deres kriminelle handlinger ved at gennemføre en lang række ”køb” på internettet.

Teksten i SMS’erne med koderne var mangelfuld. Det fremgik ikke, at koden var til at gennemføre et køb, hvem der var betalingsmodtager eller transaktionens beløb.

Den manglende sikkerhed i banken muliggjorde svindelen og var ansvarspådragende for banken. Beløbenes størrelse og det faktum, at der var tale om en kreditorbeskyttet konto, var en skærpende omstændighed.

Hendes sygdom medfører blandt andet, at hun under pres og i stressede situationer kan reagere decideret irrationelt. Derudover skal der ikke meget til for, at hun kommer under pres. Dette medfører, at almindelige hverdagssituationer kan være totalt uigennemskuelige for hende. Af denne grund opsøgte hun banken for at søge rådgivning om, hvordan hun bedst kunne sikre sine penge mod sine egne potentielt irrationelle valg eller kriminelles handlinger. Ved henvendelsen gav hun klart udtryk for, at hun led af PTSD, og at hun dermed særligt under pres kunne tænkes at handle irrationelt. Af selv samme grund foreslog banken, at hun brugte den kreditorbeskyttede konto som et værn mod impulsive og irrationelle handlinger, da ingen andre end hun selv – i samarbejde med banken – ville kunne tilgå midlerne.

Det var derfor en meget bevidst beslutning fra hendes side, da hun tilvalgte denne ekstra sikkerhed, der blev tilbudt med oprettelsen af de kreditorbeskyttede konti. Hun stolede på, at banken ville beskytte hende, når hun nu så specifikt havde bedt om lige præcis det.

Det var ansvarspådragende for banken, at den gav hende en løsning, som fremstod sikker, men i virkeligheden var en falsk tryghed. Hendes tillid til sikkerheden, som banken ikke levede op til, forværrede situationen.

De manglende underskrifter på to af aftalerne tyder på, at kontiene aldrig har været oprettet som kreditorbeskyttede.

Det bestrides, at hun som anført af banken skulle have udleveret nøglekoder fra sit NemID nøglekort i forbindelse med transaktionerne, hvilket banken heller ikke har bevist. Hun er bekendt med sikkerheden omkring NemID og nøglekortet, og hun har en grundlæggende forståelse af, at koder og billeder af nøglekort ikke må deles med andre.

Under heftig manipulation af hende, blandt andet ved at sætte hende under ekstremt pres, opnåede svindlerne at få fjernadgang til og fjernkontrol over hendes computer med ”Remote Access Tool”. Fordi sikkerheden omkring den kreditorbeskyttede konto ikke var omfattet af 2-faktor beskyttelse, altså indtastning af nøgle fra NemID nøglekortet, kunne svindlerne dermed frit overføre 950.000 kr. til Mastercardkontoen.

Det bestrides, at hun skulle have givet lov til, at Remote Access Tools blev installeret. Der findes ’ulovlige’ udgaver af Remote Access Tools, der kan betegnes som malware, hvormed man med en såkaldt ”keylogger" kan ”optage” brugers password, mens det tastes ind. Hun erkender at have været logget ind på sin netbank på det omtalte tidspunkt, men da hun så pengene forsvinde fra kontoen, havde hun ingen mulighed for at vide, hvor de forsvandt hen, da hun jo ikke var inde på Mastercardkontoen. Det eneste, hun kunne se, var, at nogen fjernede pengene fra den kreditorbeskyttede konto.

Hun foretog således ikke overførslerne, ligesom hun ikke udleverede sin personlige sikkerhedsforanstaltning. Overførslerne blev foretaget af svindlerne, som havde fjernkontrol over hendes computer, og grundet den manglende sikkerhed på den kreditorbeskyttede konto muliggjorde banken, at transaktionerne til hendes Mastercardkonto blev gennemført.

Herefter fik svindlerne – under stærk manipulation af hende – udleveret de koder, som hun modtog på SMS. Da hun så pengene forsvinde fra den kreditorbeskyttede konto, sagde svindlerne til hende, at de ville føre pengene tilbage med det samme. De oplyste, at hun ville modtage nogle koder fra Nets, der ville muliggøre dette. Hun var desperat og bange. Men svindlerne fortalte igen, at hun ville modtage en række koder, der skulle bruges til at få pengene tilbage. Det var det, hun troede, koderne skulle bruges til.

På grund af den mangelfulde tekst i SMS’erne var det nemt for svindlerne at fortsætte manipulationen, og dermed overbevise hende om, at hun sagtens kunne give dem koderne pr. telefon, fordi det blot var til brug for en form for verifikation. Det af banken anførte om, at SMS-teksten var mere informativ, bestrides. Teksten var blot ”Din engangskode fra Nets er: xxxx”. Hun har ikke længere de 31 beskeder, som hun modtog, men de fremlagte skærmbilleder understøtter, at den ”gamle” formulering stadig blev anvendt den 23. januar 2018, hvor de omstridte transaktioner fandt sted.

Cirka en time før de omtvistede transaktioner havde banken afvist en transaktion på 100.000 kr. til A, fordi banken var sikker på, at A var et svindlerfirma. Det er derfor uforståeligt og ansvarspådragende, at banken undlod at reagere på, at der ad 31 omgange blev overført næsten en million til A.

Den 3. april 2018 ringede hun til sin daværende rådgiver. Samtalen varede 12 minutter og 36 sekunder. Allerede der meddelte hun, at hun ville lave en indsigelse imod A, men hun kunne ikke få hjælp. Samme dag kontaktede hun bankens support-afdeling, som hun talte med i 41 minutter og 52 sekunder. Support-afdelingen grinede af situationen og sagde, at de ikke kunne hjælpe hende. Hun følte sig ydmyget og hjælpeløs. Banken bør fremlægge samtalen for Ankenævnet.

Det er uværdigt og uanstændigt, at banken med eksempler, som er sagen uvedkommende, forsøger at undgå sit ansvar ved at fremstille hende som mindreværdig og mindre begavet end gennemsnittet. Blandt andet har banken fremhævet, at det i marts 2018 fremgik af det engelske finanstilsyns hjemmeside, at A ydede finansielle ydelser og produkter uden tilstrækkelig tilladelse. De omstridte transaktioner skete i januar 2018, hvor oplysningen på det engelske finanstilsyns hjemmeside ikke var tilgængelig. Hun var endvidere på grund af den mangelfulde tekst i SMS’erne ikke klar over, hvem der var betalingsmodtager.

Banken har endvidere fremhævet en overførsel på 200.000 kr. til et investeringsfirma, som blev gennemført trods advarsel fra banken. Transaktionen er ikke relevant for nærværende sag. Der var tale om en investering i 2016 hos et investeringsfirma, fra hvem hun efterfølgende ved en retssag har fået erstatning på grund af dårlig rådgivning.

Danske Bank har til støtte for frifindelsespåstanden anført, at banken ydede korrekt rådgivning i forbindelse med oprettelserne af de kreditorbeskyttede konti. Kontiene blev oprettet med hjælp fra klagerens advokat, og de har til stadighed været kreditorbeskyttede. Der kan således ikke foretages udlæg i midlerne, men klageren kan naturligvis disponere over dem. En kreditorbeskyttet konto skal således ikke forhindre kunden i selv at disponere over indeståendet.

Banken har hverken sagt eller aftalt med klageren, at kontiene var et værn mod impulsive og irrationelle handlinger, fordi midlerne kun kunne tilgås i samarbejde med banken. Siden oprettelsen har klageren også selv løbende foretaget udbetalinger fra kontiene.

Banken kan ikke overvåge og stoppe overførsler mellem klagerens egne konti.

Overførslerne i netbanken har ikke kunnet finde sted uden, at klagerens NemID nøglekort og nøglekoder har været brugt. Alternativt har klageren – mens hun var logget på netbank – overladt kontrollen til andre, således at overførslerne kunne foretages.

Da de to overførsler på henholdsvis 500.000 kr. og 450.000 kr. til MasterCard-kontoen muliggjorde det efterfølgende påståede tredjemandsmisbrug, skal disse to overførsler vurderes i sammenhæng med de 31 korttransaktioner, som kunden heller ikke vedkender sig.

Det er bankens opfattelse, at klageren forsætligt overgav kontrollen over sin computer til en tredjemand og derfor forsætligt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor klageren indså eller burde have indset, at der var risiko for misbrug.

Korttransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl. Kortet har hele tiden været i klagerens besiddelse. Transaktionerne blev gennemført ved indtastning af kortoplysninger, herunder ved brug af 3D-secure samt ved korrekt indtastning af i alt 31 SMS-koder, som blev sendt direkte til klagerens mobilnummer.

Sagen beror herefter på, om der ud fra sagens omstændigheder må antages at være tale om tredjemandsmisbrug, eller om transaktionerne er foretaget af klageren selv/med klagerens samtykke.

Klageren har ved mange tidligere lejligheder siden 2015 foretaget betydelige betalinger til investeringsvirksomheder, herunder til A, som hun ikke har gjort indsigelse mod.

Banken har gentagne gange advaret klageren mod at foretage betalinger til investeringsvirksomheder. Klageren har ignoreret de fleste advarsler. Ved nogle lejligheder har banken – for at beskytte klageren – været nødt til at annullere overførsler mod klagerens ønske.

Klageren har selv oplyst, at hun i relation til de omhandlede transaktioner har udleveret PIN-kode, kortnummer, kontrolkode, NemID-koder, nøglekoder, SMS-koder modtaget via hendes mobiltelefon samt nummeret til hendes nøgleviser til den person, som hun blev kontaktet af.

Mindre end en time før transaktionerne blev gennemført, advarede banken pr. telefon klageren mod at overføre 100.000 euro til A. Mindre end en måned efter de omhandlede transaktioner forsøgte klageren at overføre 15.200 euro til A men blev stoppet af banken.

Klageren kontaktede først banken en måned efter de omhandlede transaktioner havde fundet sted og indsendte først en egentlig indsigelse efter ti måneder.

Klagerens adfærd før, under og efter de omhandlede transaktioner vidner om, at klageren burde have indset, at der var risiko for misbrug, da hun udleverede sine koder mm. til medarbejderen fra investeringsvirksomheden. Klageren har dermed forsætligt oplyst den personlige sikkerhedsforanstaltning til tredjemand og hæfter derfor selv fuldt ud for det samlede påståede kortmisbrug.

Ifølge bankens oplysninger er ”Remote Access Tool” et softwareprogram, som gør det muligt at tilgå en computer via fjernadgang. Brugen af denne software forudsætter, at indehaveren af computeren enten udleverer eget brugernavn og adgangskode eller aktivt ”accepterer”, at en anden får adgang til computeren, efter indehaveren selv er logget ind. Klageren må derfor selv aktivt have overladt kontrollen af sin computer til en anden, mens hun var logget på Netbanken.

Nets har over for banken bekræftet, at teksten på SMS-beskederne blev ændret pr. 16. januar 2018 til: ”Din engangskode er: […] til dit køb på […] DKK hos […]. Er du ikke i gang med onlinehandel, spær straks kortnr. […]”. Det er ikke længere muligt at fremskaffe den specifikke tekst på de 31 SMS-koder, som helt konkret blev sendt til klageren.

Vedrørende de af klageren fremlagte skærmbilleder har Nets har oplyst, at de forsat anvender den forkortede tekst i anden form for SMS kommunikation med kortholder, for eksempel i de tilfælde hvor kortholder forsøger at ændre telefonnummer til brug for modtagelsen af 3D-Secure SMS-koderne.

Telefonsamtalerne den 3. april 2018 blev ikke optaget og kan derfor ikke fremlægges.

Til støtte for afvisningspåstanden har Danske Bank anført, det kun vil være muligt at træffe afgørelse i sagen efter afgivelse af mundtlige forklaringer fra kunden og eventuelle relevante vidner under strafansvar, hvorfor Ankenævnet derfor bør afvise sagen med henvisning til vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

I 2015 og 2017 oprettede klageren i alt tre kreditorbeskyttede konti i Danske Bank. Ankenævnet finder det ikke godtgjort, at banken ydede mangelfuld rådgivning, eller at banken i øvrigt begik ansvarspådragende fejl i forbindelse med, at kontiene blev oprettet.

Den 23. januar 2018 blev der overført 500.000 kr. og 450.000 kr. fra en af de kreditorbeskyttede konti til klagerens Mastercardkonto, og med klagerens Mastercard blev der foretaget 31 transaktioner á 5.000 USD, svarende til i alt 962.469,40 kr. Betalingsmodtagerne var to udenlandske investeringsselskaber, A og B. Den 29. januar 2018, 15. februar 2018 og 20. februar 2018 blev der fra A ved i alt syv transaktioner tilbageført i alt 9.550 USD, svarende til 57.690,06 kr.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om de omtvistede transaktioner skete ved tredjemands misbrug af klagerens Nemid, og i så fald om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter helt eller delvist for beløbet, jævnfør betalingslovens § 100. Ankenævnet finder, at en stillingtagen hertil forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor denne del af klagen, jævnfør Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Klageren får ikke medhold i, at Danske Bank ydede mangelfuld rådgivning, eller at banken i øvrigt begik ansvarspådragende fejl i forbindelse med, at der i 2015 og 2017 blev oprettet kreditorbeskyttede konti til klageren i banken.

Ankenævnet kan i øvrigt ikke behandle klagen