Krav om tilbageførsel af netbankoverførsler som blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer:589/2021
Dato:20-10-2022
Ankenævn:Bo Østergaard, Inge Kramer, Mette Lindekvist Højsgaard, Tina Thygesen, Finn Borgquist.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Krav om tilbageførsel af netbankoverførsler som blev foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede:Spar Nord Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, som blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Spar Nord Bank, hvor hun havde en række konti samt netbankadgang.

Den 18. november 2021 blev klageren ringet op af en person, der udgav sig for at være fra politiet. I forbindelse med opkaldet loggede klageren på sin netbank og foretog følgende seks overførsler til tredjemands konti i tre pengeinstitutter:

Nr.                Afsender (konto)              Beløb (kr.)

1                    -011                                    15.000       

2                    -011                                    14.394       

3                    -011                                    14.300       

4                    -011                                     14.150       

5                    -054                                    10.000

6                    -550                                    4.900          

Banken har fremlagt en logfil for klagerens netbank og har anført, at der blev logget på fra samme enhed og samme faste IP-adresse, som klageren normalt anvendte.

Banken har endvidere oplyst, at transaktionerne var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, samt at klagerens NemID blev anvendt ved transaktionerne.

Banken har oplyst, at transaktion nr. 2 og 3 ikke blev gennemført, da der ikke var angivet et gyldigt kontonummer i modtagerbanken. Transaktion nr. 4 blev sat på hold, da den blev opdaget i bankens automatiske fraud screeningsystem. Den 19. november 2021 blev transaktionen tilbageført til klagerens konto.

Det var herefter 29.900 kr., som klageren ikke havde fået tilbageført.

Klageren fremsatte indsigelse mod transaktionerne. Banken afviste indsigelsen.

Ved e-mail af 24. november 2021 skrev klagerens repræsentant til banken:

”Jeg repræsenterer min svigermor [klageren], ref. Jeres afvisning dateret d.d. af tilbageførsel af bl.a. 29.900 dkk.

Min indsigelse går på principperne i bl.a. gældende retspraksis samt pengeinstitut ankenævnspraksis som følger:

1. SKJERN BANK sagen dateret den 16/09 2021.

Her lagde flertallet til grund, at klageren er blevet franarret sin personlige sikkerhedsforanstaltning. På denne baggrund og efter det i øvrigt fremkomne fandt ankenævnet ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4 eller 5 er opfyldt. Klagerens hæftelse for tabet på 32.000 kr. udgør herefter højest 375 kr., jf. betalingslovens § 100, stk. 3.

2. Højesteretsdommen – Kendelse afsagt den 17. november 2021.

Højesteret udtalte, at efter de faktiske oplysninger i sagen havde A og B ikke udvist en sådan grad af uagtsomhed, at de hæftede for låneoptagelsen på aftaleretligt grundlag.

Min anke til SPAR NORD går tillige på følgende anbringender;

Min indsigelse er som følger:

Afgørelsen af, om en NemID-indehaver bliver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens digitale signatur (eller lign elektroniske systemer), træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb.

I vurderingen indgår bl.a. under hvilke omstændigheder tredjemand er kommet i besiddelse af indehaverens nøgle (brugernavn, adgangskode og nøglekort til fx Nemid og lign. Systemer), om indehaveren har haft kendskab til, at tredjemand er kommet i besiddelse af pågældende oplysninger, og om indehaveren har gjort, hvad der er muligt for at forhindre misbrug, f.eks. ved at spærre [sit] NemID så hurtigt som muligt, jf. herved betænkning nr. 1456/2004 om e-signaturs retsvirkninger s. 105-110.

Min svigermoder er 78 år, meget autoritetstro. Hun reagerer med det samme, da sagen er gået op for hende (At hun er blevet svindlet til at udbetale penge af en ukendt trediemand, der udgiver sig for at være fra Politiet, som vil hjælpe hende da nogen er ved at tømme hendes konto). Min svigermoder bliver stresset og ”autoriteten fra Politiet” i telefonen beder hende skynde sig, så de ikke stjæler hendes penge fra hende. [Klageren] kontakter SPAR NORD samme dag indenfor ganske få timer efter hun er blevet bevidst om hvad der er sket.

Jeg tager forbehold for at indtale et erstatningskrav imod banken for min svigermoders samlede tab – herunder tabte penge samt renter efter rentelovens regler, herunder for at indtale et krav for mine sagsbehandlingsomkostninger i sagen. Vort ønske er at få tilbagebetalt alle de penge der er hævet (undtaget selvrisiko på 375 dkk), grundet bl.a. Højesterets praksis og pengeinstitut ankenævnspraksis.

Anbringender;

  • Der er – ikke udvist uagtsomhed – baseret på sagens konkrete omstændigheder, retspraksis samt pengeinstitut ankenævnspraksis.
  • Min svigermoder er meget autoritetstro, grundet alder.
  • Betalingslovens § 100, stk. 3, skal følges i sagen …
  • Min svigermoder har reageret straks – og straks standset overførslerne ved at køre i banken, da miseren gik op for hende (Hun handlede således straks muligt).”

Ved e-mail af 2. december 2021 fastholdt banken afvisningen. Af fastholdelsen fremgik bl.a. andet:

”… Men jeg må desværre meddele, at vi fastholder afvisningen, dette grundet at [klageren] selv har foretaget transaktionerne, som det fremgår af den logfil, der er sendt med bankens brev af 24. november 2021 til [klageren]. Transaktionerne er derfor efter vores opfattelse ikke uautoriserede, og banken er ikke forpligtet til at dække dem efter betalingslovens regler.

Vi er helt opmærksomme på, at der foreløbig ikke er meget praksis vedrørende dette spørgsmål og gør – som du allerede er bekendt med – udtrykkelig opmærksom på muligheden for at indbringe bankens afgørelse online til Det finansielle ankenævn…”

Parternes påstande

Den 30. december 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Spar Nord Bank skal betale 29.900 kr., subsidiært et mindre beløb fastsat af Ankenævnet.

Spar Nord Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun, der er 76 år, ikke har forstand på IT, telefoner eller computer og aldrig nogensinde selv har foretaget bankoverførsler på sin computer, i netbank eller via IT-systemer, som er stillet til rådighed af banken.

Hendes afdøde mand havde altid ordnet alle bankforretninger, skat og økonomi igennem deres ægteskab på 37 år. I dag ordner hendes to børn alle disse ting.

Den 18. november 2021 blev hun ringet op af en person, der udgav sig for at være fra politiets svindelenhed, ”Sikkerhedspolitiet”. Personen oplyste, at politiet var kommet på sporet af nogen, der var ved at tømme hendes opsparingskonto. Personen oplyste også, at det var hans daglige job at ringe til de personer, der blev udsat for denne form for svindel, og at han skulle standse svindlen omgående.

Personen fra politiet skabte en stemning af ”urgency”. Hun bad om at få lov til at ringe ham op på et telefonnummer, så hun vidste, at det var en rigtig politibetjent, hun talte med. ”Urgency” blev skabt ved, at den falske politimand talte om en pågående forbrydelse, som han skulle stoppe omgående. Hun modtog et telefonnummer, som hun kunne ringe tilbage på. En kvinde besvarede hendes opkald og agerede omstillingsdame på nummeret til ”politiet”. Omstillingsdamen svarede ”det er politiet” og oplyste, at hun kendte den pågældende politimand. Hun blev derefter omstillet til personen, der havde kontaktet hende telefonisk.

Politimanden lagde pres på hende og udtalte, at det ”skal gå hurtigt”, fordi han kunne se, at ”de som har begået indbruddet” var ved at tømme hendes opsparingskonto. Hun blev stresset og lod sig guide og styre af den falske politimand. Han bad hende logge ind i netbank for at standse forbrydelsen. Han bad hende endvidere om at indsætte nogle koder og tal i bankens IT-system. Politimanden guidede hende således rundt i netbank. Hun overførte derved slutteligt selv, men under falske forudsætninger grundet svindlen, de tre beløb til to pengeinstitutter fra sin opsparingskonto. Personen lagde på efter overførslerne var gennemført.

Politimanden havde skabt en stemning af kaos og hastværk (urgency), hvorfor hun blev stresset og kørte i banken for at høre nærmere om situationen.

Der var tale om, at tredjemand uberettiget brugte hendes betalingsmiddel, netbank, i betalingslovens forstand, idet tredjemand bedrog hende, hvorved hun afgav et falskt samtykke til overførslerne via tredjemands instruks. Svigen ved anvendelse af netbank må være omfattet af begrebet ”uautoriseret brug”. Hun blev med ført hånd bedraget af tredjemand via en overførsel i netbank. Tredjemands misbrug fik hende til at taste oplysningerne i netbank og til at foretage overførslerne, hvorfor brugen af netbank er ”uautoriseret brug” i betalingslovens forstand i relation til bl.a. §§ 97 - 100.

Hun bestrider, at hun i sædvanlig forstand selv overførte pengene til tredjemand. I en almindelig ordlydsforståelse af ”selv at overføre pengene” ville hun bevidst og med fortsæt overføre de omtalte penge til andre konti. I denne sag er der ikke i en sædvanlig forståelse af ordene tale om ”selv at overføre” pengene. Hun havde for det første ikke forsæt til at overføre pengene. Hun blev dernæst endvidere bedraget til at overføre pegene og blev bragt i den vildfarelse, at hun var ved at få tømt sin konto af nogle andre bedragere. Alt dette var ikke en overførsel, der var foretaget af hende selv i ordenes sædvanlige forstand, da såvel hendes vilje, fortsæt som hendes hænder var vildført af en svindler.

Betalingslovens regler om ”uautoriseret brug” må forstås i overensstemmelse med dansks rets almindelige regler, da der ikke er noget i lovens ordlyd eller forarbejder, der tilsiger en anden forståelse af udtrykket ”uautoriseret brug” i betalingsloven. Hvis man således har været udsat for et bedrageri efter dansk rets almindelige strafferetlige regler, må det lægges til grund, at svindlen (bedrageriet i straffelovens forstand) hun blev udsat for, er ”uautoriseret brug” af netbank. Den ”uautoriserede brug” er sket via tredjemands instruks af hende, som dermed resulterede i bedrageriet af hende og banken.

Tredjemand svindlede hende og kom indirekte i besiddelse af koderne via sine instruktioner og generelt via svindlen der skete, samt via den vildfarelse, hun befandt sig i.

Hvis man i andre sager kan kvalificere ”uautoriseret brug” som bl.a. udlevering af sine koder til netbank, herunder sit NemID, til en tredjemand, så bør bedrageri af en person i telefonen, som anvender netbank i god tro tillige være ”uautoriseret brug.” Det er værre at udlevere sine koder til banken og sit NemID, som dermed kan anvendes til gentagne hævninger i banken, end det er at blive besveget/bedraget én gang i en situation via telefonen til at lave nogle få overførsler, grundet bedrageriet. Der synes ikke at være forskel i beskyttelsesinteressen i sagerne med udlevering af NemID og bankkoder og denne sag med telefonisk bedrageri i relation til ordene ”uautoriseret brug” i betalingslovens forstand.

Bankens sikkerhedssystem opdagede tillige overførslerne, hvorfor dette specifikke faktum og bedrageriet i den konkrete sag bør omfattes af ”uautoriseret brug” efter betalingsloven. Banken kunne jo beskytte sig imod tredjemands ”uautoriserede brug” via IT-systemerne.

Hun handlede hverken svigagtigt eller med forsæt. Dette er ubestridt af banken.

Banken har ikke godtgjort, at betingelserne for, at hun hæfter efter de udvidede ansvarsbestemmelser i betalingsloven § 100, stk. 4 eller 5, er opfyldt. Hendes hæftelse for tabet udgør således højest 375 kr., jf. betalingslovens § 100, stk. 3, subsidiært 8.000 kr., jf. § 100, stk. 4 eller 5.

Spar Nord Bank har anført, at transaktionerne i sagen var autoriseret af klageren.

Sagen beror på, om der er tale om autoriserede transaktioner jf. betalingslovens § 82. Såfremt dette ikke er tilfældet, kan klagerens hæftelse blive begrænset ved anvendelse af lovens §§ 99 og 100. Er transaktionerne derimod autoriserede, dvs. foretaget af klageren selv/med klagerens samtykke, finder ansvarsreglerne i §§ 99 og 100 ikke anvendelse.

Det fremgår tydeligt af klagen, at det ikke bestrides, at klageren selv foretog transaktionerne, dvs. valgte afsenderkonto, indtastede beløb, kontonummer på modtager og godkendte transaktionerne med sit NemID. Klagerens personlige sikkerhedsforanstaltning i form af NemID, bruger id og kodeord var hele tiden i klagerens besiddelse og blev ikke videregivet til tredjemand, hvorfor der ikke var tale om phishing.

Betalingstransaktionerne skyldtes dermed ikke tredjemandsmisbrug af klagerens netbank eller NemID. Det forhold, at klageren var udsat for svindel fra en falsk betjent til at lave overførsler, medfører ikke, at transaktionerne var uautoriserede efter betalingsloven § 82.

Højesterets kendelse af 17. november 2021 vedrører tredjemands misbrug af en digital signatur og er allerede af den grund ikke relevant for nærværende sag.

Der foreligger ikke omstændigheder, der kan medføre, at banken på andet grundlag er forpligtet til at godtgøre klageren, hvorfor klageren selv hæfter fuldt ud for transaktionerne.

Ankenævnets bemærkninger

Den 18. november 2021 blev der med klagerens NemID foretaget seks netbankoverførsler på i alt 72.744 kr. til tredjemands konti i tre pengeinstitutter.

Om baggrunden for transaktionerne har klageren oplyst, at hun under en telefonsamtale med en person, der udgav sig for at være fra politiet, loggede sig på sin netbank i Spar Nord Bank og gennemførte transaktionerne.

To af transaktionerne blev ikke gennemført på grund af manglende gyldigt kontonummer i modtagerbanken, og én transaktion blev tilbageført af banken, således at i alt 42.844 kr. blev tilbageført til klageren. Tabet udgjorde herefter 29.900 kr.

Tre medlemmer – Bo Østergaard, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Ud fra klagerens egne oplysninger, om at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage transaktionerne i forbindelse med et bedragerisk telefonopkald.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Tina Thygesen og Finn Borgquist – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder NemID-oplysninger, sms-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.  

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100 stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag. 

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100 stk. 4.

Vi stemmer derfor for, at klageren skal have 21.900 kr. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.