Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Krav om tilbageførsel af netbankoverførsler og kortbetaling, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagsnummer: 555/2023
Dato: 19-08-2024
Ankenævn: Vibeke Rønne, Mette Lindekvist Højsgaard, Jimmy Bak, Morten Bruun Pedersen og Ann-Mari Agerlin.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål
Ledetekst: Krav om tilbageførsel af netbankoverførsler og kortbetaling, der blev foretaget i forbindelse med bedrageriske telefonopkald.
Indklagede: Lægernes bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af ti netbanksoverførsler og en korttransaktion, der blev foretaget i forbindelse med bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Lægernes Bank, hvor hun havde en multikonto – 5046, en opsparingskonto -4369, et betalingskort og adgang til netbank.

Fra den 14. juli 2023 til 17. juli 2023 blev der via klagerens netbank foretaget ti overførsler på i alt 398.275 kr. og en kortbetaling på 15.000 kr. til en kryptovaluta platform, B, som klageren ikke kan vedkende sig:

Dato og tid

Beløb i kr.

Fra konto

Til konto

14. juli 2023 kl. 17:13

60.275 kr.

-046

-978

14. juli 2023 kl. 17:37

        39.000 kr.

-046

-096

15. juli 2023 kl. 16:33

50.000 kr.

-046

-001

15. juli 2023 kl. 21:43

35.000 kr.

-046

-871

15. juli 2023 kl. 21:56

14.000 kr.

-046

-102

17. juli 2023 kl. 10:28

65.000 kr.

-046

-808

16. juli 2023 kl. 16:34

25.000 kr.

-369

-470

16. juli 2023 kl. 16:44

40.000 kr.

-369

-001

16. juli 2023 kl. 20:02

35.000 kr.

-369

-873

17. juli 2023 kl. 10:16

35.000 kr.

-369

-808

15. juli 2023 kl. 18:11

15.000 kr.

-046

B

 

Banken har fremlagt en log fra sin datacentral og har oplyst, at det fremgik heraf, at der ved overførslerne var anvendt samme brugernummer (-5046), MitID-app -2680, klient IP (-98), authenticator IP (-98), authenticator geolocation (-3607) og iPhone (model 12,8), som tilhører klageren. MitID-appen var installeret den 27. november 2021 kl. 17:14 på klagerens enhed, og der var ikke blevet tilføjet yderligere enheder til MitID-appen.

Banken har oplyst, at der ved syv af overførslerne blev sendt SMS’er til klagerens telefonnummer, hvor overførslerne skulle godkendes, hvis de skulle gennemføres. Banken har oplyst, at det ikke er alle overførsler, klageren skulle godkende, da bankens system er sat op sådan, at det udvælger, hvilke overførsler der skal godkendes med SMS. Banken har fremlagt en SMS-log, hvoraf det fremgår, at klageren har godkendt syv af beskederne.

Banken har yderligere oplyst, at kortbetalingen på 15.000 kr., blev godkendt med sikkerhedsløsningen 3D Secure ved godkendelse i klagerens MitID-app og at klageren modtog en meddelelse fra Nets i sin MitID-app med teksten:

”Betal 15000,00 DKK til [B] fra kort xx7723”

Om baggrunden for overførslerne har klageren under klagesagen oplyst:

Den 14. juli 2023 kl. 16:20 blev hun kontaktet telefonisk af en person, P1, der udgav sig for at være fra et andet pengeinstitut, og som oplyste hende om et forbrugslån på 76.000 kr., som hun ikke kendte til. P1 oplyste, at hun skulle melde det til politiet, og omstillede i den forbindelse hende til en person, P2, der udgav sig for at være fra politiets IT-kriminal afdeling. P2 oplyste, at der var sket et hackerangreb på hendes MitID, og at svindlerne var kommet i besiddelse af personfølsomme data og havde fået adgang til hendes konti. Hun oplyste at hendes konti var i Lægernes Bank. P2 oplyste, at det var vigtigt, at hun ikke talte med nogen om sin kontakt med Rigspolitiet, da det ville ødelægge kriminalpolitiets opsporingsarbejde. Når pengene fra hendes konti var flyttet sikkert over i sikkerhedsdepoter, var der ingen risiko. Hvis pengene ikke blev flyttet, ville det formentlig være umuligt for banken at få dem tilbage. P2 bad hende om at overføre 65.000 kr. fra hendes opsparingskonto til hendes multikonto.

Der opstod problemer med at overføre flere penge til en af de sikre depotkonti, hvorfor P2 i stedet bad hende at forsøge via kryptovalutaplatformens B’s hjemmeside. Hun informerede P2 om, at hun ikke ønskede at købe bitcoins. P2 forklarede, at hun ikke skulle købe bitcoins, men blot klikke på knappen "videre". Det videre forløb er uklart for hende. På et tidspunkt bad P2 hende om at scanne hendes pas med hendes telefon. Undervejs i forløbet havde hun givet P2 numrene på sit betalingskort. P2 bad hende at kontrollere, om kortet var spærret. Det viste sig, at kortet var spærret. P2 bad hende at ringe til Nets, men fortalte, at der kunne være personer i Nets, der var involveret i svindlen, og hvis Nets ikke kunne åbne kortet, ville det være et tegn på, at de var med i svindlen, og så skulle hun blot lægge røret på.

Hun kontaktede Nets den 15. juli 2023 kl. 19.34 på et nummer, som hun fik af P2. Nets oplyste, at det var hendes bank, der havde lukket kortet, og at Nets ikke kunne åbne det. Senere modtog hun en besked fra banken via netbank, hvor det fremgik, at Nets havde lukket kortet, og at årsagen til lukningen var forsøg på overførsler fra hendes visakort til multikontoen. Hun informerede P2 om, at det var mærkeligt, at banken ikke havde nævnt noget om svindlen, men P2 forklarede, at sikkerhedsafdelingen ikke havde kontakt med det personale, der udførte de almindelige bankopgaver.

Banken har oplyst, at klageren den 15. juli 2023 kl. 19:55 modtog en besked i netbank med overskriften ”dit kort er blevet blokeret af Nets”. Af teksten fremgik:

”Dit kort nr. der ender med 7723 er blevet blokeret af NETS. De vil gerne have en bekræftelse på at du har forsøgt/brugt kortet til betalinger med følgende beløb: 15/07/23 18:35:41 DKK 5000 [B]
15/07/23 18:16:19 DKK 9950 [B] 15/07/23 18:11:34 DKK 15000 [B]”

Hertil svarede klageren den 15. juli 2023 kl. 20:59:

”…

Jeg har selv været inde og forsøgt at bruge kortet til de nævnte betalinger, så I må meget gerne åbne mit kort hurtigst muligt

…”

Den 17. juli 2023 kl. 08:53 modtog klageren besked fra banken om, at kortet var blevet åbnet igen. Efter at visakortet var åbnet, blev der trukket 15.000 kr. til B, inden kortet blev spærret samme dag.

Banken har yderligere oplyst, at klageren havde kontaktet B vedrørende kortbetalingen på 15.000 kr., og B i sit svar til hende oplyste følgende:

”Jeg er meget ked af at høre omkring svindlen, der har taget sted. Din bank, LPB.dk har ligeledes været i kontakt med os i går. Jeg har vedhæftet et kontoudtog for den [B] konto som er åbnet i dit navn. For at gennemføre transaktionen på 15.000 d. 15. juli har det været nødvendigt for os at screene kontoen, hvoraf vi har modtaget proof of ID (Billede af dit pas), Proof of address (verificering af din adresse) samt liveness check (Et selfie til at matche dit proof of ID med et realtidsbillede af dit ansigt).

…”

Banken meddelte klageren den 25. juli 2023, at banken ikke ville dække tabet på kortbetalingen og netbankoverførslerne. Det lykkedes banken at få tilbageført 178.000,74 ud af 413.275 kr. fra modtagerbankerne. Klagerens tab udfør herefter 235.274,26 kr.

Parternes påstande

Den 8. september 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Lægernes Bank A/S skal tilbagebetale det samlede tab på 235.274,26 kr., subsidiært, at Lægernes Bank A/S skal dække 235.274,26 kr. fratrukket 8.000 kr., mere subsidiært, at Lægernes Bank A/S skal dække 235.274,26 kr. fratrukket et beløb svarende til et maksimum pr. bankdag på i alt 50.000 kr., endnu mere subsidiært, at Lægernes Bank A/S skal dække 235.274,26 kr. fratrukket det beløb svarende til kontooverførslen på 60.275 kr.  

Lægernes Bank A/S har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har blandt andet anført, at hun blev udsat for et bedrageri fra den 14. juli 2023 til den 17. juli 2023, hvor det lykkedes svindlerne at manipulere hende til at gennemføre et stort antal betalingsoverførsler. Transaktionerne var ikke gyldigt autoriseret af hende, og hendes faktiske medvirken til transaktionerne derfor rammes af en aftaleretlig ugyldighedsindsigelse. Hun troede, at hun handlede efter instrukser fra politiet. Hun blev bragt i en psykisk tilstand, der satte svindlerne i stand til at styre hendes handlinger, og derigennem til at anvende bankens betalingstjeneste til at tømme sin bankkonti.

Lægernes Bank er erstatningsansvarlig over for hende for det fulde tab, fordi Lægernes Bank har forsømt at indrette sine systemer og procedurer effektivt på en måde, der modvirker bedragerier som det omhandlede. I modsætning til hende vidste banken alt om, at den slags svindel forekom. Hendes egen viden eller burde-viden var og er begrænset til, at man selvfølgelig gør, hvad politiet beder en om.

Lægernes Banks erstatningsansvar udspringer af aftaleforholdet mellem banken og indlånskunder som hende. Der er tale om et erstatningsansvar inden for kontraktforhold og et professionsansvar. Lægernes Bank driver en virksomhed, der kræver en særlig fagkyndighed til alle dele af bankvirksomheden, herunder håndteringen af kunderne, som jo ikke har denne fagkyndighed. Bankens virksomhed udføres med tilladelse fra Finanstilsynet. Derfor har banken en særlig pligt til at passe på sine kunder, som omvendt trygt må kunne læne sig tilbage og regne med, at banken passer på de penge, man overlader dem. I et kontraktforhold kan man også gøres erstatningsansvarlig for undladelser, der medfører tab hos medkontrahenten.

Bankens erstatningsansvar er skærpet efter de tilsynsregler, som Lægernes Bank er underlagt, herunder § 43 i lov om finansiel virksomhed, der pålægger banken at overholde reglerne om god skik for finansiel virksomhed, og i den hertil hørende bekendtgørelse nr. 330 af 7. april 2016 om god skik for finansielle virksomheder og § 14 i bekendtgørelsen, der pålægger banken (med skyldig hensyntagen til det generelle gældende kend-din-kunde-princip) at tage højde for kundernes individuelle forhold, når den rådgiver om sikkerhedsmæssige forhold.

Lægernes Bank burde have udvist en særlig omsorg for kunder i hendes situation. Hun har aldrig ifølge sine kontobevægelser overført så store beløb som dem, hun blev franarret. Banken har siden december 2022 kendt til den svindel, som hun var udsat for. Bankens advarsel var ikke desto mindre helt generelt formuleret. Hun har siden forstået også fra den megen presseomtale, at svindel af denne karakter målrettet går mod ældre og typisk kvindelige kunder, der kontaktes af gerningsmænd, som giver sig ud for at repræsentere politiet. Banken kunne derfor allerede i december 2022 som led i den screening, som banken løbende er forpligtet til at foretage af alle sine kunder, have identificeret hende og andre oplagte ofre for denne form for kriminalitet blandt sine kunder og have givet dem særskilt, individuel rådgivning om at fastsætte beløbsgrænser for hævninger og meddelelse om at være særligt opmærksomme på ikke at efterkomme anmodninger om betalingsoverførsler afgivet af personer, der i telefonen udgiver sig for at være fra politiet. Det valgte banken ikke at gøre, selv om man havde god anledning til det.

Trods bankens kendskab til svindel har den indrettet sine systemer med daglige beløbsgrænser på 100.000 kr., som også gælder i weekender og på helligdage. Banken kunne, som en del af den løbende screening, som den er forpligtet til at udføre for alle sine kunder, have identificeret hende og andre potentielle ofre for denne form for kriminalitet og ydet særskilt, individuel rådgivning om at fastsætte beløbsgrænser for hævninger. Andre pengeinstitutter har en grænse på 25.000 kr. Derudover kunne banken have advaret om at være særligt opmærksom på ikke at efterkomme anmodninger om betalingsoverførsler fra personer, der i telefonen udgiver sig for at være fra politiet.

Der henvises til Højesterets kendelse U.2022.414 H vedrørende praksis om hæftelse for lån optaget ved hjælp af offerets NemID. Denne praksis, hvor offeret har udleveret de fortrolige NemID-oplysninger til politiet, bør også finde anvendelse i hendes sag, hvor hun som kunde manipuleres til selv at overføre beløb efter påbud fra personer, som hun opfattede som politimyndighed.

Lægernes Bank A/S har anført, at banken i henhold til betalingsloven hæfter for tab som følge af uautoriserede betalinger, det vil sige betalinger, som kunden ikke selv har foretaget eller godkendt. En betalingstransaktion er kun autoriseret, hvis betaleren har meddelt samtykke til at gennemføre transaktionen, jf. betalingslovens § 82. Autorisation forstås som kundens godkendelse, f.eks. ved brug af en kode i netbanken. Der skal derfor sondres mellem om en transaktion, som beror på tredjemandsmisbrug, eller om den er foretaget af betaleren selv med vedkommendes samtykke.

Klageren har selv udført og godkendt de omhandlede betalinger ved indtastning af kontonumre og godkendelse med MitID, jf. betalingslovens § 7, nr. 30. Disse betalinger er derfor autoriserede og ikke et resultat af tredjemandsmisbrug. Der er således uomtvisteligt tale om transaktioner, som klageren selv har foretaget og ikke transaktioner som beror på tredjemandsmisbrug i betalingslovens forstand.

Det forhold, at klageren er blevet svindlet til selv at foretage overførslerne i sin netbank, medfører ikke, at overførslerne kan anses som uautoriserede efter betalingsloven.

Klageren henviser til Højesterets kendelse i U.2022.414 H og andre sager fra Landsretten, som omhandler oprettelsen af et lån for personer, som er blevet franarret deres NemID. I disse sager kom retten frem til, at personerne i det konkrete tilfælde ikke hæftede for lån som gerningsmændene havde oprettet i deres navn. Sagerne omhandler ikke autoriserede betalinger efter betalingsloven, men udlevering af Nem ID, og at tredjemand misbruger indehaverens digitale signatur. Disse domme ikke kan anvendes i forhold til den konkrete sag, hvor klageren selv har foretaget transaktionerne, idet betalingsloven sondrer mellem, om en transaktion beror på tredjemandsmisbrug, eller om den er foretaget af betaleren selv med vedkommendes samtykke.

Klageren har forklaret, at hun selv foretog en kortbetaling på 15.000 kr. til B, hvilket skete ved brug af stærk kundeautentifikation (MitID), jf. betalingslovens § 7, nr. 30. Transaktionen er korrekt registreret og bogført uden tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Klageren bekræftede over for banken, at hun selv havde forsøgt at bruge kortet til betalinger.

B modtog "proof of ID" og andre dokumenter fra klageren for at åbne kontoen, hvilket stemmer overens med klagerens forklaring. Klageren modtog kryptovaluta som modydelse for betalingen, og der er derfor ikke tale om tredjemandsmisbrug eller uautoriseret brug af betalingsmidler.

Henvisninger til lov om finansiel virksomhed, bekendtgørelse om god skik for finansielle virksomheder, hvidvaskloven og Finanstilsynets tilsyn er ikke relevante, da sagen ikke omhandler tredjemandsmisbrug, men klagerens egne autoriserede transaktioner.

Den daglige beløbsgrænse og screeningsværktøj var funktionsdygtigt på tidspunktet, hvor svindlen fandt sted. På opfordring og anbefaling fra bankens IT-leverandør besluttede banken i december 2022, at sænke beløbsgrænsen for overførsler fra 250.000 kr. til 100.000 kr. pr. døgn. Denne beslutning er truffet på baggrund af en generel advarsel om den aktuelle risiko for netbankssvindel.

Transaktionerne er autoriserede af klageren selv og ikke resultatet af tredjemandsmisbrug. Banken kan derfor ikke holdes ansvarlig for klagerens tab i henhold til betalingsloven.

Ankenævnets bemærkninger

Klageren var kunde i Lægernes Bank, hvor hun havde konti, et betalingskort og adgang til netbank.

I perioden fra den 14. til den 17. juli 2023 blev der foretaget ti netbankoverførsler på i alt 398.275 kr. fra klagerens konti til tredjemands konti i andre pengeinstitutter og en korttransaktion på 15.000 kr. til en kryptovalutaplatform, B, som klageren ikke kan vedkende sig. Det lykkedes banken at få tilbageført 178.000,74 kr. fra modtagerbankerne. Klagerens tab udgør 235.274,26 kr., heraf 220.269,26 kr. for netbanksoverførslerne.  

Vedrørende kortbehandlingen på 15.000 kr. bemærker Ankenævnet, at det på grund af klagerens svar på bankens besked i netbank må lægges til grund, at klageren selv foretog betalingen på 15.000 kr. Betalingslovens § 100 om uautoriserede betalinger finder derfor ikke anvendelse.

Ankenævnet finder, at det må lægges til grund, at B leverede den aftalte ydelse. Ankenævnet finder på den baggrund ikke, at banken i medfør af betalingslovens § 112 om manglende levering er forpligtet til at opfylde klagerens krav om tilbageførsel af betalingstransaktionen på 15.000 kr.

Tre medlemmer – Vibeke Rønne, Mette Lindekvist Højsgaard og Jimmy Bak – udtaler:

Ud fra klagerens egne oplysninger om, at hun selv foretog netbanksoverførslerne på 398.275 kr., finder vi, at overførslerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage overførslerne i forbindelse med et bedragerisk telefonopkald.

Vi finder heller ikke, at banken på andet grundlag, herunder på grund af den måde bankens systemer er indrettet, kan gøres ansvarlig for klagerens tab.

Vi stemmer derfor for, at klageren ikke får medhold i klagen vedrørende netbanksoverførslerne.

To medlemmer – Morten Bruun Pedersen og Ann-Mari Agerlin – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktionerne, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 212.269,26 kr. tilbage vedrørende netbanksoverførslerne.

Der træffes afgørelse efter stemmeflertallet vedrørende netbankoverførslerne.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.