| Sagsnummer: | 419/2024 |
| Dato: | 21-03-2025 |
| Ankenævn: | Katrine Waagepetersen, Jonas Thestrup Nielsen, Signe Vejen Hansen, Rolf Høymann Olsen og Kim Korup Eriksen. |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod at hæfte for 8.000 kr. af netbankoverførsel foretaget i forbindelse med bedragerisk telefonopkald. Tredjemand fået fjernadgang til klagerens computer. Godkendelse med MitID. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | OF |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod at hæfte for 8.000 kr. af netbankoverførsel foretaget i forbindelse med bedragerisk telefonopkald. Tredjemand fået fjernadgang til klagerens computer. Godkendelse med MitID.
Sagens omstændigheder
Klageren var kunde i Danske Bank, hvor han havde en konto og netbankadgang.
Den 15. juli 2024 blev der foretaget en netbankoverførsel på 24.877 kr. fra klagerens konto i banken til tredjemands konto i banken.
Banken har oplyst, at netbankoverførslen blev godkendt med klagerens MitID installeret på klagerens Samsung Galaxy telefon. Banken har fremlagt et uddrag af hændelseslog for klagerens MitID.
Banken har endvidere oplyst, at der var logget på klagerens MitID-app fra samme IP-adresse, som klageren sædvanligvis benyttede.
Ved en tro- og loveerklæring af 15. juli 2024 gjorde klageren over for banken indsigelse og oplyste følgende om hændelsesforløbet:
”Hændelse skete d. 15-07-24 mellem kl. Ca. 12.30 – 17.30 og blev opdaget af min IT-kyndige søn [navn …], da jeg fortalte om forløbet:
En ”engelsk talende Microsoft sikkerhedsafdeling” ringede og fortalte, at jeg siden 20-02-24 var […] en tysk og nigeriansk hacker og at min identitet var blevet overtaget.
Jeg lod ”sikkerhedsrådgiveren” få adgang til min Pc til scanning og overførsel af software mod […] abonnement på kr. 35,- som engangsbetaling. Timelang proces på computeren og min mobil. Da jeg […] min søn om sagen bad han mig omgående lukke computeren og afbryde wifi forbindelsen. Han mødte […] derefter frem på min adresse og overtog korrespondancen med Danske Bank, Google og MitID. Et beløb på ca. Kr. 24877,- er desværre uden mit tilsagn blevet overført fra min konto til en anden konto i Danske Bank.
Mine konto er blevet spærret, og adgange til bank, Google og MitId ændret.”
Herudover oplyste klageren følgende i tro- og loveerklæringen:
”Sikkerhedsrådgiver overtog kontrol med komputeren og foretog overførslen uden mit vidende.”
”… men jeg har anvendt min mobil til at scanne min mitid kode på min pc, der var ”overtaget” […] af svindleren.”
Det fremgik yderligere af tro- og loveerklæringen, at klageren havde en Samsung Galaxy telefon.
Den 17. juli 2024 godtgjorde banken klagerens tab med fradrag af 8.000 kr. og overførte 16.877 kr. til klagerens konto.
Den 13. august 2024 indbragte klageren sagen for Ankenævnet.
I forbindelse med klagen oplyste klageren blandt andet:
”…
Mandag d. 15-07-24, kl. 12.24 blev jeg ringet op af nr. [+44…] af angiveligt ”Microsofts sikkerhedstjeneste, som gennem længere tid havde forsøgt kontakt til mig pga. en registreret hacking på min PC fra to udenlandske sites”.
Efter at blive ledt ind i computerens indre blev jeg overbevist om at hacking faktisk havde fundet sted ved gentagne lejligheder siden d. 20-02-24, og jeg gav derefter ”Microsoft” adgang til min computer for at ”rense” den.
Jeg accepterede at betale et årsabonnement på 35,- kr. for et oprensningssoftware med aktiverings nr. 24877 19587 17785 24422 16859. Efterfølgende har de første 5 gult markerede cifre vist sig ikke at være tilfældige!
Jeg bekræftede overførslen af de 35,- kr. fra min konto til en uoplyst konto ved anvendelse af MitId og scanning med min mobil. Modtagerkontoen blev ikke angivet af bedrageren.
Lang tid fulgte med ”oprensning” af computeren og gentagne dialoger med bedrageren fra dennes nu hemmelige nummer, indtil min tilkaldte søn ved opringning kl. 16.34 til Danske Banks akutservice kunne konstatere, at 24.877,- kr. var blevet overført til en anden konto i Danske Bank, kontonr. [-762]. Wifi-forbindelsen til den inficerede computer var da blevet afbrudt.
Danske Bank har d. 15-07-24 ikke fremsendt nogen form for advis, SMS eller betalingsbekræftelse til mig om denne for mig helt eksorbitante bankoverførsel fra min kassekredit/netbankkonto. Jeg har i de seneste 10 år ikke haft udbetalinger, der har oversteget 5.000,- kr.
Vi bad i telefonen d. 15-07-24 straks banken om at sikre tilbageførsel af den bedrageriske overførsel fra den af banken administrerede konto, og aftalte, at udsætte politianmeldelse indtil banken vendte tilbage til mig. Det kunne jo være, at banken straks tilbageførte beløbet, selv ville foretage politianmeldelse eller helst ville undgå politianmeldelse. Mine 2 betalingskort i Danske Bank til hhv. Netbank og MasterCard blev samtidig spærret og nye aftalt fremsendt med nye adgangskoder.
Umiddelbart efterfølgende ændrede jeg passwords og adgangskoder til alle væsentlige applikationer for mig og min kone, [navn], herunder MitId, Google, Danske Bank, Microsoft, Facebook, Instagram m.v.
…”
Parternes påstande
Klageren har nedlagt påstand om, at Danske Bank skal godtgøre ham 8.000 kr.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har blandt andet anført, at han ikke har set, kunnet se eller har oprettet en betalingsoverførsel på 24.877 kr. Det af banken anførte om, at han bevidst har oprettet overførslen på 24.877 kr., og at han på et tidspunkt før kl.16:34 har haft kendskab til oprettelsen af denne overførsel, bestrides.
Han har via sin mobiltelefons MitID-app alene godkendt en betalingsoverførsel på 35 kr. Det strider imod al sund fornuft, at han skulle skade sig selv med et så stort beløb, når det for ham drejede sig om et årsabonnement på software til 35 kr. pr. år, og når han ikke ”i mands minde” har overført beløb i den størrelsesorden.
Ulykkeligvis havde han givet svindleren adgang til sin computer og havde samtidig en konstant åben telefonforbindelse til ham på sin mobil under det fire timer lange forløb. Undervejs i forløbet var hans PC´s skærm sort i lange perioder, uden at han kunne påvirke det, og han har ikke modtaget eller set nogen betalingsoverførsel eller nogen bekræftelse på sin PC.
Han har ikke haft mulighed for at se noget beløb eller modtagerkontonummer på sin mobiltelefon i forbindelse med overførslen den 15. juli 2024, idet svindleren holdt disse oplysninger skjult for ham. Derfor har han ikke kunnet bevise, men kun sandsynliggøre, hvad der har fundet sted.
Omstændighederne i Ankenævnets afgørelse 28/2023, som banken har henvist til i sit brev af 9. august 2024 til ham, adskiller sig markant fra omstændighederne i hans sag, og sagerne er derfor ikke sammenlignelige.
Banken har forsømt at sikre sig denne helt eksorbitante overførsel blev bekræftet af ham via SMS. Banken vidste, at han som mangeårig uformuende kunde blot havde folkepension og ATP som indtægtsgrundlag, hvorfor en udbetaling på 24.877 kr. væsentligt ville overstige, hvad han med rimelighed kunne forventes at disponere under hensyn til hans udgiftsmønster gennem hele hans pensionisttilværelse. I Ankenævnets afgørelse 28/2023 kunne den indklagede bank godt finde ud af at kræve og opnå kundens SMS-bekræftelse på en meget usædvanlig overførsel.
Han befandt sig i en yderst stresset situation under hele det fire timer lange forløb, fordi han var uden kontrol og fornøden indsigt i den helt uvante proces.
Han har ikke udvist groft uforsvarlig adfærd, men har handlet i god tro.
I henhold til betalingslovens § 101 har han ret til at få tilbageført det fulde beløb på 24.877kr. fra banken, idet han 1) ikke har godkendt dette præcise beløb for betalingstransaktionen, og 2) fordi betalingstransaktionen væsentligt oversteg det beløb, som han med rimelighed kunne forventes at disponere under hensyn til sit tidligere udgiftsmønster.
I henhold til betalingslovens § 100, stk. 8 hæfter banken tillige, hvis tabet, tyveriet eller den uberettigede tilegnelse ikke kunne opdages af ham forud for den uberettigede tilegnelse.
Banken har, omend ubevidst, faciliteret hvidvask i denne sag ved uden fornøden kundeidentifikation at tillade den aktuelle modtagerkonto i banken at blive oprettet og fungere i strid med hvidvaskloven og bankens egen kundekendskabsprocedure.
Banken har endvidere ved hans telefoniske anmeldelse den 15. juli 2024 kl. 16:34 haft mulighed for straks at tilbageføre den bedrageriske overførsel fra/til en konto i samme bank. Det kan ikke være rimeligt, at modtagerkontoen blot skal holdes under observation uden øjeblikkelig indgriben.
Det er fortsat uafklaret, om banken, der kendte betalingsmodtagerens CPR-nummer og administrerede dennes kontonummer, har tilladt modtageren at beholde eller videreføre hele eller andele af det overførte beløb. Det er ligeledes uafklaret, til hvilken konto beløbet eventuelt måtte være videreført, hvornår dette måtte være sket, og om banken har indberettet svindlen til politiet.
Når banken henholder sig til sin tavshedspligt, må det være op til Ankenævnet at sikre eventuelt fornøden dokumentation tilvejebragt før nævnets afgørelse foreligger. Man bliver ikke ansvarsfri, fordi man har tavshedspligt.
Danske Bank har til støtte for frifindelsespåstanden anført, at klageren oprettede eller muliggjorde oprettelse af netbankoverførslen.
Overførslen blev godkendt med klagerens MitID-app og blev dermed godkendt med stærk kundeautentifikation. MitID-appen var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af betalingen.
Klageren har enten selv eller efter instruktion fra tredjemand oprettet overførslen eller haft kendskab til overførslen, idet klageren, uanset at tredjemand havde fjernadgang til klagerens computer, havde adgang til sin netbank og kunne følge med i, hvad der skete. Når en overførsel blev initieret i netbanken, skulle klageren godkende den i sin MitID-app. I forbindelse med godkendelsen blev der vist en tekst i klagerens MitID-app med oplysninger om både beløbsstørrelse og modtagerens kontonummer. Ved klagerens godkendelse af overførslen blev han således gjort bekendt med beløbet for overførslen på 24.877 kr.
Det fremgår ikke af bankens systemer, at der på noget tidspunkt skulle være initieret eller godkendt en overførsel på 35 kr., ligesom der ikke blev debiteret 35 kr. på klagerens konto. Klageren har i øvrigt ikke dokumenteret, at han havde en aftale om at overføre 35 kr.
Overførslen var korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Det er bankens opfattelse, at klageren ikke befandt sig i en presset situation ved oprettelse og godkendelse af overførslen. Uanset om klageren følte sig stresset og narret til at foretage den omtvistede netbankoverførsel, ændrer dette ikke på, at klageren har handlet groft uforsvarligt ved at godkende overførslen i sin MitID-app. Dermed hæfter klageren med 8.000 kr., jf. betalingsloven § 100, stk. 4.
Banken kan ikke kommentere på det af klageren anførte om, at den ikke har overholdt sine forpligtelser i relation til hvidvaskloven, da banken er underlagt tavshedspligt.
Til det af klageren anførte om, at banken straks burde have tilbageført den bedrageriske overførsel, særligt når modtagerkontoen var i Danske Bank, kan det oplyses, at uanset om modtagerkontoen var i Danske Bank eller et andet pengeinstitut, må banken som udgangspunkt ikke hæve penge på en kundes konto uden denne kundes accept. Banken kan i øvrigt ikke oplyse, om det overhovedet var muligt at tilbageføre beløbet. Banken er underlagt tavshedspligt om andre kundeforhold i medfør af lov om finansiel virksomhed.
Klageren har anført, at den indklagede bank i Ankenævnets afgørelse 28/2023 indhentede en SMS-bekræftelse, inden overførslen blev gennemført. Den indklagede bank havde i Ankenævnets afgørelse 28/2023 en ekstra godkendelsesproces, som ikke er påkrævet for at opfylde reglerne om stærk kundeautentifikation. Det ændrer imidlertid ikke på, at betalingen i denne sag blev godkendt i klagerens MitID, og at beløb og modtagerkonto blev vist i MitID-appen. Rent juridisk er det godkendelsen af den uautoriserede betaling i MitID-appen, som betegnes som ”groft uforsvarlig adfærd” og derfor hæfter klageren for 8.000 kr., jf. betalingslovens § 100, stk. 4.
Til støtte for afvisningspåstanden har banken anført, at det af klageren anførte om, at han ikke foretog overførslen, ikke hænger sammen med det faktiske hændelsesforløb, herunder at overførslen blev autoriseret med klagerens MitID-app, som var installeret på klagerens telefon, der var i klagerens besiddelse på tidspunktet for godkendelse af overførslen. En vurdering af sagen vil derfor vil kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jf. vedtægternes § 5, stk. 3, nr. 4.
Ankenævnets bemærkninger
Klageren var kunde i Danske Bank, hvor han havde en konto og netbankadgang.
Den 15. juli 2024 blev der foretaget en netbankoverførsel på 24.877 kr. fra klagerens konto i banken til tredjemands konto i banken.
Klageren har oplyst, at han den 15. juli 2024 ca. kl. 12:30 blev kontaktet telefonisk af en ukendt tredjemand, der udgav sig for at være fra Microsoft Security Service. Den pågældende tredjemand oplyste, at klagerens computer havde været udsat for et hackerangreb, og at forskellige vira havde inficeret computeren. Derfor skulle computeren renses for at undgå yderligere hackerangreb/misbrug. Klageren gav som følge af telefonopkaldet tredjemand fjernadgang til sin computer, så den kunne blive renset for vira. Han accepterede at betale 35 kr. for et abonnement på oprensningssoftware, og han godkendte via sin mobiltelefons MitID-app alene en betalingsoverførsel på 35 kr. Han havde ikke mulighed for at se noget beløb eller modtagerkontonummer på sin mobiltelefon, da tredjemand holdt disse oplysninger skjult for ham. Han bestrider at have foretaget kontooverførslen på 24.877 kr.
Banken har oplyst, at netbankoverførslen blev godkendt med klagerens MitID installeret på klagerens Samsung Galaxy telefon, og at der var logget på klagerens MitID-app fra samme IP-adresse, som klageren sædvanligvis benyttede.
Banken har endvidere oplyst, at uanset om modtagerkontoen var i Danske Bank, må banken som udgangspunkt ikke hæve penge på en kundes konto uden denne kundes accept. Banken kan i øvrigt ikke oplyse, om det overhovedet var muligt at tilbageføre beløbet. Banken er underlagt tavshedspligt om andre kundeforhold i medfør af lov om finansiel virksomhed.
Banken har den 17. juli 2024 godtgjort klagerens tab med fradrag af 8.000 kr. og har tilbageført 16.877 kr. til klagerens konto.
Ankenævnet lægger til grund, at klageren gav tredjemand fjernadgang til sin computer, at overførslen blev foretaget via klagerens netbank, og at klageren godkendte transaktionen med sin MitID-app.
Ankenævnet lægger efter parternes oplysninger som ubestridt til grund, at transaktionen skyldtes tredjemands misbrug af klagerens betalingstjeneste.
Det lægges til grund, at transaktionen er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.
Efter de foreliggende oplysninger lægger Ankenævnet til grund, at klageren må have godkendt transaktionen på 24.877 kr. med sit MitID.
Ankenævnet finder, at Danske Bank har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 24.877 kr. og beløbsmodtageren, og at klageren som følge heraf hæfter med op til 8.000 kr.
Klageren får derfor ikke medhold i klagen.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.