Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald

Sagsnummer:003/2022
Dato:15-02-2023
Ankenævn:Bo Østergaard, Jonas Thestrup Nielsen, Karin Duerlund, Tina Thygesen og Poul Erik Jensen
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedrageriske telefonopkald
Indklagede:Middelfart Sparekasse
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klageren var kunde i Middelfart Sparekasse.

Den 16. oktober 2021 blev klageren kontaktet af en person T, der udgav sig for at være fra NETS. T spurgte klageren om, hvorvidt han var i færd med at bestille en tur til en feriedestination i udlandet. Klageren afviste dette. T spurgte herefter klageren, om hans NemID-nøglekort endte på 045. Klageren svarede, at han ikke vidste dette. T svarede klageren, at klagerens konto var ved at blive tømt.

Klageren har anført, at han i forbindelse hermed hverken gav koderne, sine NemID-oplysninger eller NemID-kode eller sit Visa/Dankort-nummer videre.

Samme dag kl. 18:04 og 18:07 blev der foretaget to overførsler på hver 9.400 kr. og 9.900 kr., som klageren ikke kan vedkende sig. Sparekassen har oplyst, at den første overførsel skete ved login med NemID-brugernavn og adgangskode, og at godkendelsen skete med nøgle fra NemID-nøglekortet. Den anden overførsel skete ved login med NemID-brugernavn og adgangskode og blev godkendt ved anvendelse af nøgle fra NemID-nøglekortet og ved indtastning af en tilsendt SMS-kode. Sparekassen har oplyst, at brugernavn og adgangskode til NemID skulle benyttes for at godkende overførsler op til 10.000 kr. pr. løbende døgn. Ved overførsler over 10.000 kr. pr. løbende døgn skulle der, foruden brugernavn og adgangskode også benyttes en kode, som blev sendt til klageren via SMS, inden en overførsel kunne godkendes. SMS-koderne blev sendt til det af klageren oplyste telefonnummer.

Første SMS-kode blev sendt kl. 18:05, men da den blev tastet forkert ind, blev der sendt endnu en kode kl. 18:06, som blev indtastet korrekt kl. 18:07, hvorved overførslen på 9.900 kr. blev godkendt. Sparekassen har fremlagt en SMS-log for telefonnummer -82 fra perioden 11. oktober 2021 til 18. oktober 2021. Af denne log fremgik blandt andet, at SMS’erne havde følgende ordlyd:

”Udlever aldrig denne kode til andre - heller ikke til Sparekassen. Du skal godkende din overførsel på 9900,00 DKK til konto [-202]. Indtast engangskode […] for at godkende overførslen. Er du ikke i gang med at overføre, så kontakt straks Middelfart Sparekasse på tlf. 64 22 22 22 eller vores hotline på tlf. 64 22 22 62, og spær dit NemID.”

Sparekassen har oplyst, at der fra 18:01-18:07 blev logget ind i netbanken, og at overførslerne blev godkendt fra en anden IP-adresse end klagerens sædvanlige IP-adresse. Der blev efterfølgende kl. 18:14 logget ind via klagerens sædvanlige IP-adresse.

Klageren har oplyst, at han ved 18-tiden gik ind på sin Netbank i en anden anledning, og at han opdagede, at der var hævet penge fra hans løn- og budgetkonto, hvorefter han ringede til sparekassens hotline. Klageren spærrede sit NemID og anmeldte forholdet til politiet. Sparekassen anmodede ham om at lave en elektronisk indsigelse til sparekassen.

Den 19. oktober 2021 indsendte klageren en tro- og loveerklæring, hvoraf det blandt andet fremgik:

Hvornår har du sidst anvendt Netbank?

Dato: 13.10.21 kl. 23:00. Eget IT-udstyr: Ja.

Hvornår har du sidst anvendt dit NemID?

Dato: 13.10.21 kl. 23:00.

Hvornår opdagede du misbrug af Netbank?

Dato: 16.10.21 kl. 18:00.

Hvornår har du spærret NemID?

Dato: 16.10.21 kl. 18.15.

Hvornår har du spærret Netbank?

Dato: 18.10.21 kl. 9:00.

6. Hvordan har du opbevaret BrugerID og adgangskoden til NemID?

Nøglekort ligger i en skuffe og koden er i hovedet.

7. Har du fortalt BrugerID og adgangskoden til NemID til andre personer: Nej.

7a. Har du oplyst SMS-koder ifm. misbruget: Nej.

Beskriv udførligt omstændighederne.

Kunden fortæller, at han lørdag d. 16.10.21 ved 14-tiden bliver ringet op af en mand, der udgiver sig for at være [T] eller [TK] fra Nets. Der ringes fra tlf. nr. [-02] (kan ikke længere ses i kundens tlf.).

Manden fra NETS spørger om kunden er ved at bestille en rejse til Malta med et nøglekort, der ender på 45. Kunden svarede, at det er han ikke og han ved ikke om hans nøglekort ender på 45, da det på det tidspunkt ligger i bilen. Manden fra Nets siger, at han vil få en tekniker til at se, hvad der er i vejen og afslutter herefter samtalen med kunden. Kunden har ikke fattet mistanke om, noget er galt på dette tidspunkt.

…”

Sparekassen besvarede den 13. december 2021 klagerens indsigelse. I dens svar oplyste sparekassen blandt andet, at den havde anmodet pengeinstitut, P, om at tilbageføre de overførte beløb, men at pengeinstitut P havde afvist dette. Sparekassen anførte, at den har dokumentation for, at SMS-koderne var sendt til det af klageren oplyste telefonnummer, og at det var de samme SMS-koder, der var anvendt til at verificere overførslen. Herudover fandt sparekassen det overvejende sandsynligt, at klageren havde udleveret sine oplysninger til tredjemand, hvilket havde muliggjort misbruget, hvorfor det var dens vurdering, at klageren hæftede for det fulde beløb på 19.300 kr.   

Parternes påstande

Den 4. januar 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Middelfart Sparekasse skal godtgøre ham begge transaktioner.

Middelfart Sparekasse har nedlagt påstand om afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at han aldrig har handlet på nettet eller købt noget, hvor han skal overføre penge. Han ved ikke, hvordan det foregår, når man skal betale via overførsler. Beløbene var overført til pengeinstitut, P, som han aldrig tidligere havde hørt om.

Han havde inden dagen for overførslerne senest anvendt sin netbank og sit NemID den 13. oktober 2021. Han havde ikke overført beløbene og har ikke medvirket til, at hans to konti var blevet hacket. Nøglekortet lå i en skuffe, og koden huskede han udenad. Der var ingen, der havde hans bankoplysninger, og der var ikke andre på bopælen på overførselstidspunktet.

Sparekassen har ikke bevist, at der var foretaget overførsler fra hans computer, og af de SMS-koder, som sparekassen har fremlagt, fremstod den ene med et forkert beløb. Herudover er de ikke et bevis på, at koderne var indtastet af ham. Overførslerne var muliggjort som følge af en fejl fra sparekassens side.

Middelfart Sparekasse har til støtte for sin afvisningspåstand anført, at den forsøgte at afdække hændelsesforløbet i sagen ved hjælp af tekniske data og klagerens medvirken. Klageren fastholdt fra begyndelsen af sagen, at han ikke havde udleveret oplysninger i telefonen til T, der udgav sig for at være fra NETS og fastholdt, at de SMS-koder, der blev modtaget omkring kl. 18, og som blev brugt til overførslerne, ikke blev ledsaget af yderligere opkald fra T. Sparekassen anmodede om en opkaldsliste for at afdække dette. Klageren har ikke fremlagt eller rekvireret opkaldslisten, da klageren havde slettet oversigten. 

Klageren havde dermed enten udleveret de fortrolige oplysninger til tredjemand, eller også havde klageren selv foretaget de omtvistede transaktioner. Det vil kræve en vidneafhøring at få afklaret hændelsesforløbet, hvorfor sagen bør afvises.

Sparekassen har til støtte for sin frifindelsespåstand anført, at misbruget ikke kunne være hændt, uden at vedkommende, der foretog handlingerne i netbanken, havde kendt klagerens brugernavn eller CPR-nummer, adgangskode til NemID, NemID-nøgle samt SMS-koder, som blev sendt til klagerens telefon.

Sparekassen har dokumentation for, at SMS-koderne blev sendt til klagerens nummer, og at selvsamme SMS-koder var dem, der blev benyttet i netbanken til at verificere overførslen.

Selvom klageren har anvendt sit NemID-nøglekort til at godkende overførslerne, så blev overførslen på 9.900 kr. godkendt ved anvendelse af en SMS-kode, hvorved to-faktor-autentifikation og stærk kundeautentifikation var anvendt, til at godkende denne transaktion.  

Forholdet kan være omfattet af betalingslovens § 100, stk. 2, hvorfor sparekassen af denne grund skal frifindes.

Ankenævnets bemærkninger

Klageren var kunde i Middelfart Sparekasse.

Den 16. oktober 2021 blev klageren kontaktet af T, der udgav sig for at være fra NETS. T spurgte klageren om, hvorvidt han var i færd med at bestille en tur til en feriedestination i udlandet. Klageren afviste dette. T spurgte herefter klageren, om hans NemID-nøglekort endte på 045. Klageren svarede, at han ikke vidste dette. T svarede klageren, at klagerens konto var ved at blive tømt.

Samme dag kl. 18:04 og 18:07 blev der foretaget to overførsler på 9.400 kr. og 9.900 kr. Sparekassen har oplyst, at den første overførsel skete ved login med Nem-ID-brugernavn og adgangskode, og at godkendelsen skete med nøgle fra NemID-nøglekortet. Den anden overførsel skete ved login med NemID-brugernavn og adgangskode og blev godkendt ved anvendelse af nøgle fra NemID-nøglekortet og ved indtastning af en tilsendt SMS-kode. Første SMS-kode blev sendt kl. 18:05, men da den blev tastet forkert ind, blev der sendt endnu en kode kl. 18:06, som blev indtastet korrekt kl. 18:07, hvorved overførslen blev godkendt. Klageren kan ikke vedkende sig de to overførsler.

Sparekassen har oplyst, at der fra kl. 18:01-18:07 blev logget ind i netbanken, og at overførslerne blev godkendt fra en anden IP-adresse end klagerens sædvanlige IP-adresse. Der blev efterfølgende kl. 18:14 logget ind via klagerens sædvanlige IP-adresse. Sparekassen har herudover oplyst, at brugernavn og adgangskode til NemID skulle benyttes for at godkende overførsler op til 10.000 kr. pr. løbende døgn. Ved overførsler over 10.000 kr. pr. løbende døgn skulle der, foruden brugernavn og adgangskode også benyttes en kode, som blev sendt til klageren via SMS, inden en overførsel kunne godkendes. SMS-koderne blev sendt til det af klageren oplyste telefonnummer.

Klageren har anført, at han hverken gav sine koder, sine NemID-oplysninger, NemID-kode eller sit Visa/Dankort-nummer videre i forbindelse med telefonsamtalen med T.

Sparekassen har anført, at klageren enten har udleveret fortrolige oplysninger til tredjemand, eller også har klageren selv foretaget de omtvistede transaktioner.

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter delvist for tabet, jf. betalingslovens § 100, stk. 4 og stk. 7 eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.