Indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.

Sagsnummer:170/2020
Dato:16-12-2020
Ankenævn:Bo Østergaard, Anita Nedergaard, Karin Duerlund, Ida Marie Moesby og Anna Marie Schou Ringive
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ubegrænset hæftelse
Betalingstjenester - ikke groft uforsvarlig adfærd
Betalingstjenester - groft uforsvarlig adfærd
Ledetekst:Indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID-oplysninger og sms-koder.
Indklagede:Middelfart Sparekasse
Øvrige oplysninger:OF
Senere dom:
Pengeinstitutter

Klageren delvis medhold.

Indledning

Sagen vedrører indsigelse mod netbank-transaktioner i forbindelse med telefonisk henvendelse. Videregivelse af NemID oplysninger og sms-koder.

Sagens omstændigheder

Klageren var kunde i Middelfart Sparekasse, hvor hun havde en konto med netbankadgang.

Den 24. juli 2019 blev klageren kontaktet telefonisk af en person, P, der udgav sig for at være fra et IT-sikkerhedsfirma, og som oplyste, at klageren var under hackerangreb, og at hun risikerede at miste mange penge, hvis ikke hun hurtigt lod ham hjælpe med at stoppe angrebet. Klageren har oplyst, at hun fik tre opkald fra P den 24. juli 2019, henholdsvis kl. 14.48., 15.01 og 15.49, og at hun i forbindelse med opkaldene havde telefonsamtaler med P af en varighed på henholdsvis 12, 46 og 29 minutter. Under telefonsamtalerne oplyste klageren sit kontonummer, sine NemID oplysninger samt koder, som hun fik fremsendt pr. sms, til P.

Sparekassen har oplyst, at klageren den samme dag i tidsrummet fra kl. 15.11 til kl. 16.20 modtog syv sms’er med følgende ordlyd:

"Denne kode må aldrig udleveres til andre. Indtast engangskode: xxxxxx i Netbank, for at godkende betalingen. Er du ikke i gang med en betaling, kontakt straks dit pengeinstitut og/eller få spærret dit NemID".

Der blev herefter iværksat syv overførsler á 15.000 kr. fra klagerens konto.

Sparekassen har oplyst, at den blev kontaktet af sin datacentral, der havde mistanke om netbank-svindel, og at sparekassen, da den fik kontakt med klageren, forsøgte at bremse transaktionerne ved at kontakte de pengeinstitutter, som modtog betalingerne. Det lykkedes sparekassen at få stoppet overførsel af 11.127 kr. Klageren har oplyst, at sparekassen kontaktede hende den 24. juli 2019 kl. 16.21 og oplyste, at den havde spærret hendes NemID og lukket hendes konti.

Den 25. juli 2019 indgav klageren anmeldelse til politiet.

I en e-mail af 1. november 2019 til sparekassen oplyste politiet, at forholdet, hvor klageren var forurettet, var et ud af flere hundrede forhold, hvor politiet havde anholdt og fængslet otte personer.

Klageren indgav indsigelse til sparekassen, der afviste indsigelsen. Af sparekassens brev af 23. januar 2020 til klageren fremgik, at det lykkedes sparekassen stoppe overførsel af 11.127 kr., og at tabet derefter udgjorde i alt 93.873 kr.

I en e-mail af 25. maj 2020 til klageren oplyste politiet, at en sag mod seks personer, der var tiltalt for blandt andet databedrageri mod klageren, skulle starte i august 2020.

Parternes påstande

Den 12. maj 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Middelfart Sparekasse skal tilbageføre 94.000 kr. til hende.

Middelfart Sparekasse har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har blandt andet anført, at hun blev udsat for phishing og blev påført et stort tab, som hun har krav på at få tilbageført.

Hun følte sig truet og presset til at udlevere koderne. P pressede hende ved at sige, at hun var under hackerangreb, og at hun risikerede at miste mange penge, hvis ikke hun hurtigt lod ham hjælpe og indvilligede i at samarbejde om at stoppe angrebet. P var insisterende og formåede at gøre hende både bange og utryg for konsekvenserne, hvis ikke hun samarbejdede med ham. P gav udtryk for, at det var presserende nødvendigt, at hun opgav oplysningerne, at der ikke var tid til at vente, og at der ingenlunde var tid til at kontakte hendes pengeinstitut. P stressede hende ved konstant at understrege oplysningernes presserende nødvendighed ved f.eks. at udbryde: ”uh, nu kommer angriber de igen!”. Det bestrides derfor, at hun ”frivilligt” udleverede oplysninger.

Hun var i god tro. Hun er 80 år og har ikke nogen teknisk viden. P, der udgav sig for at varetage IT-sikkerheden, var veltalende og tillidsvækkende. P sagde, at hun nu var i de bedste hænder og roligt kunne lade ham hjælpe hende.

Hun blev udsat for en identisk forbrydelse (phishing) som i Ankenævnets afgørelse nr. 373/2019 og skal ikke hæfte uden beløbsbegrænsning, jf. betalingslovens § 100, stk. 5. Hun blev på tilsvarende måde telefonisk blev narret til at give sine personlige oplysninger. Sparekassen er ikke berettiget til at nægte tilbagebetaling med henvisning til sms’ens ordlyd om, at koden ikke må udleveres. Det er netop et afgørende moment i phishing, at man bliver franarret den personlige sikkerhedsforanstaltning. Phishing omfatter de tilfælde, hvor betalere er blevet franarret deres NemID-koder eller sms-engangskoder telefonisk eller på falske hjemmesider. Sms ordlyden svarede til ordlyden i Ankenævnets afgørelse nr. 373/2019.

Hun skal ikke hæfte for 8.000 kr., jf. betalingslovens § 100, stk. 4, nr. 2 eller 3, jf. Ankenævnets afgørelse nr. 207/2019. Ankenævnet har i en lang række sager (nr. 207/2019, 290/2018, 18/2019, 88/2019 og 94/2019) fundet, at videregivelse af koder i forbindelse med phishing mv. ikke udgjorde groft uforsvarlig adfærd, jf. betalingslovens § 100, stk. 4, nr. 3.

Sagen skal ikke afvises. Ankenævnet kan tage stilling til sagen på det foreliggende grundlag. Sagen er ikke af principiel karakter. Hun giver gerne en skriftlig partsforklaring, hvis Ankenævnet ønsker dette, men har intet nyt at tilføje sagen.

Middelfart Sparekasse har til støtte for frifindelsespåstanden blandt andet anført, at klageren, henset til sms’ernes ordlyd, handlede med forsæt i forbindelse med videregivelsen. Klageren er kognitivt velfungerende. Klageren videregav sms-koderne med forsæt og under forudsætninger, hvor hun burde have indset, at der var stor risiko for misbrug, hvorfor hun selv er forpligtet til at bære det fulde tab, jf. lov om betalinger § 100, stk. 5.

Phishing-begrebet som beskrevet i lovbemærkningerne til betalingslovens § 100, stk. 5, har ikke været tiltænkt at omfatte de tilfælde, hvor en kunde videregiver sms-koder, som tydeligt angiver, at de aldrig må udleveres til andre. Phishing-begrebet er tiltænkt de tilfælde, hvor en person ved en fejl kommer til at videregive sine oplysninger via falske links, spammails eller falske hjemmesider, og hvor en kunde f.eks. med føje tror, at de indtaster deres kort-eller login-oplysninger på en rigtig hjemmeside, som efterfølgende viser sig at være falsk.

Nærværende sag, hvor klageren først videregav sine fortrolige oplysninger over telefonen og efterfølgende videregav syv sms-koder, går langt ud over, hvad der var tiltænkt med phishing-begrebet i lovbemærkningerne, særligt under hensyn til, at sms-teksten tydeligt angav, at koden aldrig måtte udleveres til andre. Hvis man ikke i sådanne tilfælde må anses for at have haft forsæt til videregivelsen og efterfølgende en burde-viden om risiko for misbrug, stiller sparekassen sig uforstående over for, hvilke yderligere sikkerhedsforanstaltninger, der skal indføres, før en kunde kan forpligtes til at bære tabet for egen manglende agtpågivenhed. Hvis § 100, stk. 5, ikke kan finde anvendelse i nærværende situation, åbnes der op for, at reglen kan misbruges af svindlere, som kan udnytte pengeinstitutternes ufravigelige forpligtelse til at dække tabet.

Ankenævnets afgørelse nr. 207/2019 er ikke sammenlignelig med nærværende sag i forhold til ordlyden af sms’erne. Sparekassens sms’er fastslog tydeligt, at koderne aldrig måtte udleveres til andre, og at man skulle kontakte sit pengeinstitut og/eller spærre sit NemID, hvis man ikke var i gang med en betaling. Dette var ikke tilfældet i sms’erne i afgørelse 207/2019. Sparekassen har således i sms-teksten udtømt alle handlemuligheder for klageren og endda som det allerførste i sms’en gjort det klart, at koden aldrig må udleveres til andre.

Skulle Ankenævnet komme frem til, at klageren ikke handlede med forsæt, er det sparekassens opfattelse, at klageren har udvist groft uforsvarlig adfærd i forbindelse med videregivelsen, herunder særligt henset til sms-kodernes ordlyd.

Middelfart Sparekasse har til støtte for afvisningspåstanden anført, at en yderligere afklaring af klagerens forsæt og burde-viden vil kræve en parts- og vidneforklaring, som medfører, at sagen ikke er egnet til behandling for Ankenævnet, hvorfor sagen bør afvises. Sagen er af så principiel juridisk karakter, at den i overensstemmelse med Ankenævnets vedtægter § 5, stk. 3, nr. 4 bør behandles ved de almindelige domstole. Dette understøttes af dissensen i Ankenævnets afgørelse i både sag 373/2019 og 207/2019.

Ankenævnets bemærkninger

Den 24. juli 2019 blev der via netbank foretaget syv overførsler á 15.000 kr. fra klagerens konto i Middelfart Sparekasse til tredjemands konti i andre pengeinstitutter.

Baggrunden for overførslerne var, at klageren samme dag blev kontaktet telefonisk af en person, P, der udgav sig for at være fra et IT-sikkerhedsfirma, og som oplyste, at klageren var under hackerangreb, og at hun risikerede at miste mange penge, hvis ikke hun hurtigt lod ham hjælpe med at stoppe angrebet. Klageren modtog den samme dag i tidsrummet fra kl. 15.11 til kl. 16.20 syv sms’er. Klageren videregav sine NemID oplysninger og sms-koderne til P, der fik adgang til klagerens netbank.

Det lægges til grund, at sparekassen fik stoppet overførsel af 11.127 kr. fra klagerens konto, og at overførslerne fra klagerens konto herefter udgjorde 93.873 kr.

Transaktionerne skyldtes tredjemands misbrug af de af klageren videregivne oplysninger, herunder klagerens NemID oplysninger. Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Det fremgår af forarbejderne til betalingslovens §100, stk. 5, (lovforslag nr. L157, af 15. marts 2017), at hæftelse uden beløbsbegrænsning ikke finder anvendelse, hvis den personlige sikkerhedsforanstaltning uforvarende er overladt til andre, eksempelvis i forbindelse med phishing, idet betaleren ikke har overdraget den personlig sikkerhedsforanstaltning med forsæt til, at der skal foretages den uberettigede anvendelse.

Ankenævnet finder, at klageren har været udsat for phishing. Ankenævnet finder derfor, at sparekassen ikke har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

I løbet af telefonsamtalerne med P modtog klageren i alt syv sms’er med engangskoder. Det fremgik af sms’erne, at engangskoden skulle indtastes i netbank for at godkende en betaling, at koden aldrig måtte udleveres til andre, og at hun skulle kontakte sit pengeinstitut og/eller spærre sit NemID, hvis hun ikke var i gang med en betaling. På trods af dette videregav klageren engangskoderne til P. Ankenævnet finder, at klageren ved at videregive sine NemID-oplysninger og engangskoderne til P har udvist groft uforsvarlig adfærd, og at klageren som følge heraf hæfter med op til 8.000 kr. Det gælder, selvom det som anført må lægges til grund, at hun har været udsat for phishing.

Middelfart Sparekasse skal derfor tilbageføre differencen på 85.873 kr. til klagerens konto med valør fra datoen for debiteringerne.

Ankenævnets afgørelse

Middelfart Sparekasse skal inden 30 dage tilbageføre 85.873 kr. til klagerens konto med valør fra datoen for debiteringerne.

Klageren får klagegebyret tilbage.