Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagsnummer:91/2022
Dato:02-11-2022
Ankenævn:Henrik Waaben, Jesper Claus Christensen, Karin Duerlund, Jacob Ruben Hansen og Kim Korup Eriksen
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald.
Indklagede:Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klageren var kunde i Lån & Spar Bank, hvor hun blandt andet havde en konto og netbankadgang.

Den 29. november 2021 blev der med klagerens NemID foretaget to overførsler á hver 15.000 kr., i alt 30.000 kr., fra klagerens konto i Lån & Spar Bank til tredjemands konti i to andre pengeinstitutter.

Om baggrunden for transaktionerne har klageren oplyst, at hun blev kontaktet telefonisk af en person, der udgav sig for at være fra politiet. Hun loggede på sin netbank og gennemførte selv transaktionerne efter instruktion fra den falske politimand.

Banken har oplyst, at transaktionerne blev gennemført ved brug af klagerens NemID og klagerens personlige kode.

Den 7. januar 2022 returnerede det ene modtagerpengeinstitut 12.222 kr. til klagerens konto.

Parternes påstande

Den 2. marts 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal betale 17.778 kr. til hende.

Lån & Spar Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun er blevet udsat for svindel.

Hun ringer normalt ikke tilbage til ukendte telefonnumre, der ringer hende op uden først at have været inde på De Gule Sider og tjekke identiteten. Det gjorde hun heller ikke denne dag. Hun talte i telefon med en veninde, da et opkald ”bankede på”. Hun afbrød sin veninde for at kontrollere, hvem der ringede. Telefonnummeret tilhørte hittegodskontoret hos politiet, og hun besvarede derfor telefonopkaldet. 

Manden meddelte, at han var fra politiet, at han beskæftigede sig med identitetstyveri og datasikkerhed, og at hans opkald drejede sig om en sikkerhedskontrol. Han ville høre, om hun havde oprettet et forbrugslån på 65.000 kr. i sin bank samme dag, hvilket hun afviste. ”Politimanden” ville derefter foretage et forhør over telefonen, som samtidig ville fungere som en anmeldelse. Han bad hende notere hans tjenestenummer, sagsnummer og et nummer til Nets, hvis hun efterfølgende havde yderligere spørgsmål.

Telefonsamtalen varede over halvanden time, hvor hun hele tiden ventede. Hun blev udspurgt grundigt om sine konti med mere. Manden ville hjælpe hende til digitalt at lukke den konto, der vedrørte de føromtalte 65.000 kr. og oprette en ny konto med MitID-adgang, som hun endnu ikke var overgået til. Det skulle forhindre, at hendes konto fremover kunne udnyttes af fremmede. Herefter fulgte en alenlang proces, hvor hun først skulle overføre 5.500 kr. (cirka det beløb, der stod på hendes lønkonto) til den nye MitID-konto -751. Herefter fik hun at vide, at det var en fejl, og at hun skulle slette det kontonummer og i stedet overføre 15.000 kr. til tredjemands konto -613. Manden sagde, at det var vigtigt, at de kom ind og berørte de 100.000 kr., som hun havde i kredit på sin lønkonto.

Efter at have overført de 15.000 kr. blev hun bedt om på grund af en fejl at overføre 15.000 kr. en gang til, men nu til tredjemands konto -010. Manden kommunikerede hele tiden med en IT-ekspert på sidelinjen. De blev afbrudt nogle gange og til sidst røg forbindelsen nærmest midt i en sætning. Når hun ringede tilbage, fik hun en telefonsvarer hos hittegodskontoret hos politiet, der oplyste, at hun ringede uden for åbningstid.

Hun undrede sig hele tiden over det med hittegods, og at det var uden for åbningstid, men hun tænkte, at politiet godt kunne arbejde efter lukketid med særlige sager. Hun blev første gang ringet op kl. 16:30. Hun var naturligvis bange for, at et eller andet var forkert, men hun beroligede sig selv med, at der jo blev ringet fra et politinummer.

Hun kontaktede herefter 114 og spærrede sin konto.

Banken skriver, at hun kunne have ringet til venner eller familie, men det havde ikke hjulpet at ringe til jævnaldrende – hun er 68 år – for de har sagt til hende, at de også var hoppet på den. De vidste heller ikke, at svindlere kunne ringe fra et politinummer.

Banken henviser til, at den oplyser sine kunder om de svindelnumre, der er ”oppe i tiden”. Men det er jo ganske nye opslag hos banken, som ikke havde gavnet hende, da svindlen foregik tilbage i november 2021. Der var ikke nyheder om ”vishing”.

Det havde været en hjælp i hendes pressede situation med svindlerne i røret, hvis der var kommet en sms fra banken med en advarsel om, at hun var ved at overføre 30.000 kr. til ”…”. Så ville hun have vidst, at det var usandt, når ”politimanden” på hendes spørgsmål om, hvad politiet havde med hendes bankforhold at gøre svarede, at politiet tog over, når der var tale om datasikkerhed og identitetstyveri. Hun var af den opfattelse, at hun ville modtage en eller anden form for meddelelse fra banken, hvis hun på under fem minutter uden bankens medvirken overførte så mange penge. Hele 24.000 kr. mere end der stod på hendes konto, hvorved hun kom i overtræk.

Banken har oplyst, at havde der været tale om ”phishing”, havde den kunnet hjælpe hende økonomisk. I hendes tilfælde er der tale om en særlig form for ”phishing”, der åbenbart for en lille kreds er kendt som ”vishing”, og så bortfalder hjælpen.

Hun har svært ved at se, hvorfor banken betragter de to ting så forskelligt. Hun er jo selvfølgelig smerteligt klar over, at hun har opført sig naivt og godtroende, men på en skala - hvis man kan gradbøje naivitet og godtroenhed - er det vel næsten værre at sidde ved sin computer og opgive personnumre, kontonumre og så videre til en fremmed via e-mail, end at lade sig dirigere telefonisk af ”politiet”? Der er tilsyneladende også noget, der hedder ”smishing”, som er svindel via sms. Hvordan mon det så betragtes på skalaen?

Lån & Spar Bank har til støtte for afvisningspåstanden anført, at Ankenævnet bør afvise sagen, da det kun vil være muligt at træffe afgørelse i sagen, hvis klageren og eventuelle vidner under strafansvar afgiver mundtlige parts- og vidneforklaringer. Dette kan ikke ske for Ankenævnet, men i givet fald ved domstolene. Ankenævnet bør derfor afvise sagen under henvisning til Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Til støtte for frifindelsespåstanden har banken anført, at det på grundlag af klagerens oplysninger om, at hun selv foretog de to transaktioner og ikke videregav sine personlige oplysninger, kan udelukkes, at en uautoriseret tredjemand skulle have foretaget transaktionerne. Klager benyttede således selv sin personlige sikkerhedsforanstaltning ved transaktionerne. Transaktionerne skete dermed med klagerens medvirken og samtykke, hvorfor betalingslovens § 100 om uautoriserede betalinger ikke finder anvendelse.

Bogføringen er sket korrekt, og betalingerne er korrekt registreret. Betalingstransaktionerne blev gennemført ved brug af NemID samt indtastning af korrekt personlig kode, jævnfør betalingsloven § 7, nr. 30.

Det påhviler klageren at bevise, at der forelå "andres uberettigede anvendelse" af betalingstjenesten, jævnfør betalingslovens § 82 om uautoriserede transaktioner. Klageren har ikke løftet sin bevisbyrde. Er der tale om, at betaleren selv har iværksat og godkendt en transaktion, hæfter betaleren fuldt ud og kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.

Klageren ringede flere gange tilbage til ”politiet”, når forbindelsen blev brudt. Hun havde derved i mellemtiden mulighed for og tid til at kontakte politiet og få verificeret, om det virkelig var politiet, der ringede. Hun kunne også have kontaktet venner eller familie.

Der er meget i medierne omkring svindel, phishing, vishing med mere, og man bør være meget opmærksom og mistænkelig. Vishing betegner den hændelse, at en svindler ringer til en person og får personen til at overføre sine egne penge til en anden konto end personens egen. Ofte udgiver svindleren sig for at være fra personens egen bank eller fra politiet, MitID eller noget fjerde.

Banken gør meget ud af at oplyse sine kunder om de svindelnumre, der er ”oppe i tiden”. Ved en søgning på ordet ”svindel” på dens hjemmeside vises de seneste advarsler/nyheder herom. Det er desværre ikke muligt at opliste alle metoderne på bankens hjemmeside, idet metoderne ofte skifter og svindlerne gerne er ”et skridt foran” og meget opfindsomme på nye svindelformer. Det kan ikke komme banken til skade, at banken ikke på tidspunktet for klagerens overførsler, forinden havde lavet et specifikt opslag omkring vishing, hvor en person udgav sig for at være fra politiet.

Allerede fordi klageren var bekendt med, hvilket beløb og til hvilke kontonumre hun overførte sine penge, ville en SMS (med præcis samme oplysninger) ikke have givet hende yderligere oplysninger og/eller et varsel om mulig svindel. Klageren var jo allerede i besiddelse af disse oplysninger og godkendte transaktionerne, fordi hun selv indtastede modtagers kontonummer samt beløb og trykkede på overfør.

Ankenævnets bemærkninger

Den 29. november 2021 blev der med klagerens NemID foretaget to overførsler á hver 15.000 kr., i alt 30.000 kr., fra klagerens konto i Lån & Spar Bank til tredjemands konti i to andre pengeinstitutter.

Om baggrunden for transaktionerne har klageren oplyst, at hun blev kontaktet telefonisk af en person, der udgav sig for at være fra politiet. Hun loggede på sin netbank og gennemførte selv transaktionerne.

Banken har oplyst, at transaktionerne blev gennemført ved brug af klagerens NemID og klagerens personlige kode.

Den 7. januar 2022 returnerede det ene modtagerpengeinstitut 12.222 kr. til klagerens konto.

Tre medlemmer – Henrik Waaben, Jesper Claus Christensen og Karin Duerlund – udtaler:

Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jævnfør herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jævnfør betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Kim Korup Eriksen – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder NemID-oplysninger, sms-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.  

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag. 

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 9.778 kr. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.