Indsigelse mod transaktioner i netbank. Misbrug af nemid adgangskoder.

Sagsnummer:328/2018
Dato:27-06-2019
Ankenævn:Henrik Waaben, Anders Holkmann Olsen, Kristian Inge-mann Petersen, Ida Maria Moesby og Finn Borgquist.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke groft uforsvarlig adfærd
Ledetekst:Indsigelse mod transaktioner i netbank. Misbrug af nemid adgangskoder.
Indklagede:Fynske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører klagerens indsigelser mod transaktioner i netbank, der skete ved misbrug af nemid adgangskoder.

Sagens omstændigheder

Klageren, der er født i 1996, var kunde i Fynske Bank, hvor hun havde et ”Forbrugskort”, en opsparingskonto nr. -595 og en ”Økonomi/NEM konto” nr. -360.

Den 3. april 2015 blev der indgået en aftale mellem parterne om Netbank. Af ”Vilkår for Netbank” fremgik blandt andet:

”…

2.1.1 Adgang med NemID

2.1.1.1 NemID består af et bruger-ID, en adgangskode og et nøglekort eller en anden enhed, fx en telefon, som angiver den kode (nøgle), som kunden skal indtaste sammen med kundens bruger-ID og adgangskode.

2.1.1.4 Kundens anvendelse af NemID i Netbank fremgår af regler for brug af NemID, som kunden har modtaget fra DanID A/S, og som er tilgængelige på www.nemid.nu. Kunden skal overholde disse regler, herunder reglerne for opbevaring af bruger-ID, adgangskode og nøglekort samt sikkerhed ved brug, både ved tilslutning til Netbank og ved godkendelse af transaktioner i Netbank.

2.1.2 Adgang via Mobilbank

...

2.1.2.3 Kunden skal herefter oprette en selvvalgt pinkode, der bør læres udenad eller opbevares utilgængeligt for andre. …

2.1.2.4 Kunden får adgang til Mobilbank ved at indtaste brugernummer/CPR-nummer og den selvvalgte pinkode.

2.1.2.5 Brugernummer og den selvvalgte pinkode er personlige og må ikke overdrages til andre. Den selvvalgte pinkode bør læres udenad. Kunden må ikke oplyse koden til andre eller på anden måde lade andre få kendskab til koden. Såfremt kunden ikke lærer koden udenad eller ønsker at opbevare koden, skal koden opbevares forsvarligt. Koden må aldrig opbevares sammen med brugernummeret/CPR-nummeret. Reglerne for brug af kundens NemID nøglekort fremgår af reglerne for NemID, jf. pkt. 2.1.1.

2.1.2.6 Efter 3 fejlagtige indtastninger af pinkoden afbrydes forbindelsen, og adgangen til Mobilbank spærres automatisk af sikkerhedshensyn. Kunden kan i Netbank se dato og tidspunkt for spærringen.

2.3 Spærring

2.3.1 Kundens pligt til at spærre Netbank-adgangen

2.3.1.1 Kunden er forpligtet til at kontakte Fynske Bank snarest muligt på telefonnummer 62213322 eller spærre for Netbank-adgangen via Netbank, hvis:

* en anden får kendskab til kundens personlige sikkerhedsoplysninger

* kunden opdager eller har mistanke om, at kundens Netbank-adgang er blevet misbrugt

* kunden på anden måde får mistanke om, at kundens Netbank-adgang kan blive misbrugt

2.9 Kontoudskrift og kontrol

2.9.1 Såfremt der har været bevægelser på kundens betalingskonti og øvrige konti/depoter, stilles oplysninger herom dagligt til rådighed for kunden via posteringsoversigter mv. i Netbank. …

2.9.5 Kunden har pligt til løbende at kontrollere posteringer på kundens konti via posteringsoversigterne i Netbank samt ved kontrol …

2.10 Uautoriserede betalingstransaktioner

2.10.1 Hvis kunden mener, at der er gennemført en eller flere betalingstransaktioner på kundens betalingskonti, som kunden ikke har godkendt eller foretaget, skal kunden henvende sig i Fynske Bank snarest muligt efter, at kunden er blevet opmærksom på den uautoriserede transaktion. Ved vurderingen af, om kunden har henvendt sig rettidigt, vil der blive lagt vægt på kundens pligt til løbende at gennemgå posteringer på kundens konti, jf. pkt. 2.9.5. …

3.2 Datasikkerhed

3.2.2 Hverken Fynske Bank eller BEC er ansvarlig for, at oplysninger kommer til tredjemands kendskab som følge af fejl i datatransmissionerne eller ved tredjemands indtrængen på datatransmissionsforbindelsen.

3.2.3 Kunden er forpligtet til straks at underrette Fynske Bank om enhver uregelmæssighed, kunden måtte blive opmærksom på vedrørende data og brugersikkerheden, herunder eventuelt misbrug af kundens personlige sikkerhedsoplysninger.

4. Kundens ansvar

4.2 I tilfælde af, at kundens Netbank-adgang har været misbrugt af en anden person, vil Fynske Bank dække tabet, medmindre tabet er omfattet af en af bestemmelserne nedenfor.

4.3 Kunden skal dække tab op til kr. 1.100 (selvrisiko), hvis Netbank-adgangen er misbrugt af en anden ved anvendelse af kundens personlige sikkerhedsoplysninger.

4.4 Kunden skal dække tab op til kr. 8.000 i tilfælde af, at kundens personlige sikkerhedsoplysninger har været anvendt, og

a) kunden har undladt at underrette Fynske Bank snarest muligt efter, at kunden har fået kendskab til, at en anden har fået kendskab til kundens personlige sikkerhedsoplysninger, eller

b) kunden har oplyst sine personlige sikkerhedsoplysninger til den, der har foretaget den uberettigede anvendelse, uden at kunden indså eller burde have indset, at der var risiko for misbrug, eller

c) kunden ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

4.5 Kunden hæfter for det fulde tab, hvis

a) kunden har oplyst sine personlige sikkerhedsoplysninger til den, der har foretaget den uberettigede anvendelse, og

b) kunden indså eller burde have indset, at der var risiko for misbrug.

4.9 Kunden gøres endvidere opmærksom på, at betalingsmodtager er ansvarlig for tab over for kunden, såfremt betalingsmodtageren vidste eller burde vide, at den, der har benyttet Netbank, var uberettiget til dette, ligesom Fynske Bank kan hæfte under visse omstændigheder, hvor en betalingsmodtager vidste eller burde vide, at en betaling var uberettiget.

4.10 De nærmere ansvarsregler fremgår af §§ 61 og 62 i Lov om betalingstjenester og elektroniske penge.

…”

I 2016 flyttede klageren sammen med S, som på daværende tidspunkt var hendes kæreste.

I et brev til klageren, der er dateret den 31. maj 2016, oplyste banken, at pinkoden til klagerens mobilbank var spærret den 1. juni 2016 kl. 00.24 på grund af forgæves logon-forsøg, og at klageren kunne oprette en ny pinkode i Netbank. Klageren har anført, at hun ikke modtog brevet.

Klageren har oplyst, at hun på baggrund af en henvendelse den 7. juli 2016 fra et pengeinstitut, hvor hun ikke var kunde, opdagede, at S uberettiget havde anvendt hendes nemid til at oprette lån og kreditter i flere pengeinstitutter og til via netbank at hæve på hendes konti i Fynske Bank.

På den baggrund blev klagerens konti i banken ophævet den 8. juli 2016 og samme dag blev sagen anmeldt til politiet.

Den 16. november 2016 sendte banken en indsigelsesblanket med tro- og love erklæring til udfyldelse og underskrift hos klageren. Klageren underskrev blanketten samme dag, hvor hun gjorde indsigelse mod ti transaktioner på i alt 55.137,50 kr. på opsparingskonto nr. -595. Transaktionerne var følgende:

Dato

 

Kr.

15. juni 2016

 

100,00

16. juni 2016

 

1.000,00

16. juni 2016

 

2.000,00

16. juni 2016

 

2.000,00

16. juni 2016

 

2.000,00

17. juni 2016

 

5.000,00

20. juni 2016

 

10.000,00

20. juni 2016

 

10.000,00

20. juni 2016

 

14.437,50

20. juni 2016

 

8.600,00

I alt

 

55.137,50

Efter det oplyste var transaktionen på 14.437,50 kr. en overførsel til dækning af S’ gæld til en tredjemand, T, mens de øvrige transaktioner var overførsler til S’ konto i et pengeinstitut, P1.

Den 12. september 2017 blev S i forbindelse med en straffesag mod ham, der blev gennemført som tilståelsessag om i alt 21 forhold vedrørende bedrageri og dokumentfalsk ved misbrug af klagerens nemid, dømt til blandt andet at betale en erstatning til klageren på 61.337,50 kr. med tillæg af procesrente fra den 5. september 2017, jf. forhold nr. 1, som vedrørte:

databedrageri efter straffelovens § 279 a, ved i perioden mellem den 15. juni 2016 og den 20. juni 2016, for derigennem at skaffe sig eller andre uberettiget vinding, retsstridigt og ad flere omgange via netbank at have overført i alt 61.337,50 kr. fra [klagerens] konto i Fynske Bank til sin egen konto i [P1].”

De øvrige forhold (2-21) vedrørte optagelse eller forsøg på at optage lån eller kredit i klagerens navn i andre pengeinstitutter, herunder et lån på 5.000 kr. som var blevet udbetalt af pengeinstituttet P2.

Differencen på 6.200 kr. mellem domsbeløbet og opgørelsen i indsigelsesblanketten vedrørte tilsyneladende transaktioner på klagerens Økonomi/NEM konto nr. -360 henholdsvis den 15. og 29. juni 2016. Den 15. juni 2016 blev der således overført henholdsvis 200 kr. og 1.000 kr. fra klagerens konto nr. -360 til S’ konto hos P1. Den 29. juni 2016 blev der indsat 5.000 kr. vedrørende låneoptagelsen hos P2. Beløbet blev samme dag overført til S’ konto hos P1. Efter det oplyste rettede P2 sit krav vedrørende lånet mod S og ikke mod klageren.

Ved et brev af 11. januar 2018 til klageren afslog banken at betale erstatning. I brevet anførte banken blandt andet:

”…

Sideløbende med straffesagen har der været ført en erstatningssag.

I erstatningssagen har du været part.

Det fremgår således: ”Anklagemyndigheden har vedrørende forhold 1 på vegne af [klageren] fremsat krav om betaling af erstatning på 61.337,50 kr…..”. Forhold 1 vedrører hævninger i din netbank hos Fynske Bank.

Under ”Rettens begrundelse og afgørelse” anføres at, ”Retten tager erstatningspåstanden vedrørende forhold 1….til følge som nedenfor bestemt.”

Endelig anføres: ”Tiltalte skal inden 14 dage til [klageren] betale 61.337,50 kr. med tillæg af procesrente fra den 5. september 2017.”

Du har tidligere indgivet en tro og love erklæring til Fynske Bank på 55.137,50, der alene vedrørte hævninger på konto [-595].

En del af denne difference kan skyldes, at der er tale om provenu af lån fra [P2], og derfor ikke et ”tab”. Der er således indgået 5.000 kr. på din konto [-360] den 29. juni 2016. Fynske Bank har ikke kendskab til baggrunden for differencen eller dette beløb.

Det er tidligere oplyst, at du ikke har tegnet en forsikring, da du flyttede hjemmefra, og derfor ikke har en dækning for tabet.

Endvidere er du blevet opfordret til at rette henvendelse til 3. mand vedrørende en betaling på kr. 14.437,50, for at begrænse dit tab.

I mail af 8. januar 2018 fra [faderen] anføres, at de øvrige pengeinstitutter også er frarøvet midler ved brug af uberettiget elektronisk adgang for dømtes egen vindings skyld, sammenlignelig med måden foregået i Fynske Bank og overfor dennes kunde.

Vi må henvise til, at der i henhold domsudskriften er tale om dokumentfalsk, der er omfattet af straffeloven § 171, jf. § 172, stk. 1 og bedrageri i henhold til straffeloven § 279 for så vidt angår udbetaling og ansøgning om lån.

I forhold til beløbet på 61.337,50 kr. er der tale om databedrageri, jf. straffelovens § 279a, overfor dig – og ikke overfor Fynske Bank.

Der er således ikke tale om, at Fynske Bank er part i sagen.

På baggrund af, at du nu har opnået dom for dit tilgodehavende hos [T], finder vi ikke, at der lidt et tab, som Fynske Bank skal erstatte.

Fynske Bank lægger ordlyden i dommen til grund nemlig, at

”Tiltalte skal inden 14 dage til [klageren] betale 61.337,50 kr. med tillæg af procesrente fra den 5. september 2017.”

…”

Parternes påstande

Den 13. oktober 2018 har klageren indbragt sagen for Ankenævnet med påstand om, at Fynske Bank skal tilbageføre alle overførsler og betalinger som hendes daværende kæreste foretog i juni 2016 ved at stjæle hendes nem-id samt kode.

Fynske Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

 

Parternes argumenter

Klageren har anført, at hendes forældre hjalp hende med at opklare sagen og forhindre yderligere misbrug ved blandt andet at rette henvendelse til Fynske Bank og politiet. Banken kendte familien, som inklusive blandt andre hendes bedsteforældre har været kunder i 40 år.

De henvendte sig gentagne gange til banken, der imidlertid trak sagen ud i stedet for at hjælpe. Banken anmodede først om en tro- og loveerklæring den 16. november 2016 og ville herefter ikke beslutte noget, men i stedet vente på retssagen mod S.

Under retssagen kom det frem, at S havde affotograferet hendes nem-id kort og afluret id, koder osv. lidt efter lidt, og at hun ikke havde kunnet forhindret dette.

S’ profession var redigering af websider og andet it-virke, og han var meget kreativ på en pc. Hun har ikke set bankens meddelelse om spærring af pinkode til mobilbank på grund af tre forgæves logon-forsøg. I den pågældende periode var alle hendes mails, post og e-boks beskeder omdirigeret af S.

Det af banken anførte om, at hun var passiv, og at hun skulle have udtalt, at hun ikke havde forsøgt at skjule sin nemid-kode, bestrides. Tværtimod oplyste hun til banken, at hun ikke delte sine koder med nogen, og at hun ikke havde mistanke om S’ afluring.

Hun anvendte ikke opsparingskontoen i det daglige og opdagede derfor ikke transaktionerne.

Domsbeløbet blev fastlagt af politiets anklager.

Fynske Bank har til støtte for afvisningspåstanden anført, at klageren ikke har lidt et tab, som banken kan pålægges at erstatte. En eventuel erstatning vil medføre, at klageren opnår en berigelse på bankens bekostning.

Der var ikke tale om identitetstyveri, men databedrageri over for klageren foretaget af T, som var en del af klagerens husstand på gerningstidspunktet.

Klageren har modtaget dom for, at T skal betale 61.337,50 kr. med tillæg af procesrente fra den 5. september 2017. Der er ikke overensstemmelse mellem det beløb, der er indgivet tro- og loveerklæring på over for banken, og det beløb der ønskes erstattet af banken i forbindelse med klagen. Klageren har bevidst opgjort sit krav til et for stort et beløb, idet en del af beløbet vedrører P2.

En stillingtagen til sagen vil kræve en vidneafhøring, hvilket ikke kan ske for Ankenævnet, hvorfor sagen bør afvises.

Fynske Bank har til støtte for frifindelsespåstanden anført, klageren ikke har truffet de nødvendige foranstaltninger for at forhindre misbrug af sin netbank.

Allerede den 31. maj 2016, hvor pinkoden til mobilbank blev spærret på grund af tre forgæves logon-forsøg om natten kl. 00.24, hvor klageren formentlig sov, burde klageren have kontaktet banken om mistanke om eventuelt misbrug.

Klageren havde endvidere pligt til løbende at kontrollere posteringer på egne konti, jf. Netbankaftalen pkt. 2.9.5.

I henhold til Netbankaftalen hæfter kunden for det fulde tab, hvis kunden indså eller burde indse, at der var risiko for misbrug. jf. pkt. 4.5 litra b.

Klageren har udvist passivitet både under samlivet med S og i forbindelse med det efterfølgende opklaringsarbejde.

På et møde oplyste klageren, at hun ikke havde forsøgt at skjule sin nemid-kode, da forholdet til S var baseret på tillid.

Vedrørende transaktionen på 14.437,50 kr. var betalingsmodtageren, T, som følge af ond tro ansvarlig for klagerens tab, idet T blev informeret om sagen.

Ankenævnets bemærkninger

Ved en dom af 12. september 2017 blev klagerens tidligere samlever i forbindelse med en straffesag mod ham, der blev gennemført som tilståelsessag om i alt 21 forhold vedrørende bedrageri og dokumentfalsk ved misbrug af klagerens nemid, dømt til blandt andet at betale en erstatning til klageren på 61.337,50 kr. med tillæg af procesrente fra den 5. september 2017, jf. forhold nr. 1. Forholdet vedrørte ”databedrageri efter straffelovens § 279 a, ved i perioden mellem den 15. juni 2016 og den 20. juni 2016, for derigennem at skaffe sig eller andre uberettiget vinding, retsstridigt og ad flere omgange via netbank at have overført i alt 61.337,50 kr. fra [klagerens] konto i Fynske Bank til sin egen konto i [P1].”

Ankenævnet finder det på den baggrund godtgjort, at de i klagesagen omhandlede transaktioner på i alt 61.337,50 kr. på klagerens konti i Fynske Bank skyldtes klagerens daværende samlevers misbrug/u­be­ret­tigede anvendelse af klagerens nemid.

Ankenævnet finder, at klagerens tab som følge af misbruget udgjorde 56.337,50 kr. svarende til transaktionerne i dagene 15.-20. juni 2016. Ankenævnet har herved lagt til grund, at klageren ikke er kommet til at hæfte for lånet hos P2 på 5.000 kr., der blev indsat på hendes konto den 29. juni 2016 og hævet af S samme dag.

Klageren hæfter for 1.100 kr. af tabet, jf. den dagældende lov om betalingstjenester § 62, stk. 2, og bankens ”Vilkår for Netbank” punkt 4.2 og 4.3.

Ankenævnet finder imidlertid, at det er uklart, om klageren har udvist en sådan grad af uagtsomhed, at hun i forhold til banken hæfter for transaktionerne. Ankenævnet finder, at en afgørelse af dette ville forudsætte en mundtlig bevisførelse, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen i medfør af Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.