Indsigelse om at overførsler fra klagerens konto var sket uden klagerens samtykke ved hacking i forbindelse med telefonisk henvendelse. Spørgsmål om groft uforsvarlig adfærd.

Sagsnummer:315/2014
Dato:11-11-2015
Ankenævn:Vibeke Rønne, Søren Geckler, Troels Hauer Holmberg, Anita Nedergaard, Karin Sønderbæk
Klageemne:Betalingstjenester - groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål
Ledetekst:Indsigelse om at overførsler fra klagerens konto var sket uden klagerens samtykke ved hacking i forbindelse med telefonisk henvendelse. Spørgsmål om groft uforsvarlig adfærd.
Indklagede:Sparekassen Kronjylland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse om, at overførsler fra klagerens konto var sket uden klagerens samtykke ved hacking i forbindelse med telefonisk henvendelse. Spørgsmål om groft uforsvarlig adfærd.

Sagens omstændigheder

Klageren var kunde i Sparekassen Østjylland, der i 2012 blev overtaget af Sparekassen Kronjylland.  

Den 24. februar 2011 indgik klageren en aftale om tilslutning til netbank med Sparekassen Østjylland. Af de til aftalen hørende ”generelle regler for selvbetjening” fremgik bl.a. følgende om brugernummer og adgangskode til NemId:

”… Hverken adgangskoder eller elektronisk underskriftkode må overdrages til tredjemand, men må kun anvendes af dig personligt.

Nøglefil og mobiltelefon, hvis du benytter centralt opbevarede nøgler, må ikke overdrages til tredjemand, da det kan kompromittere din sikkerhed i systemet. …

Ansvarsregler

Såfremt transaktionen er korrekt registreret og bogført hæfter du som bruger med:

a. op til DKK 1.100 for tab som følge af andres uberettigede brug af betalingssystemet, når din personlige hemmelige adgangskode, og når denne er påkrævet, din elektroniske underskriftkode er anvendt.

b. op til DKK 8.000 for tab som følge af andres uberettigede brug af betalingssystemet, hvis … godtgør, at din personlige hemmelige adgangskode, og når denne er påkrævet, elektronisk underskriftkode har været anvendt, og:

  • at du har undladt at underrette … snarest muligt efter at have fået kendskab til, at koderne er kommet til den uberettigedes kendskab.
  • at du har oplyst koderne til den, der har foretaget den uberettigede anvendelse.
  • at du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse. …”

Sparekassen har oplyst, at de ”generelle regler for selvbetjening” er en genudskrivning fra sparekassens og Sparekassen Østjyllands fælles dataleverandør af de dagældende ”generelle regler for selvbetjening”.

Den 28. og 29. august 2014 blev der via klagerens netbank overført to beløb på henholdsvis 5.765,12 kr. og 6.926,72 kr. med tilknyttede gebyrer på 295,72 kr. og 296,91 kr. fra klagerens konto til en konto i udlandet.

Sparekassen har fremlagt en oversigt udarbejdet af Sparekassen dataleverandør og af den ansvarlige medarbejder for sparekassens netbank, M, med oplysning om følgende transaktioner.

Den 28. august 2014: Log-in på klagerens netbank kl. 09.23 ved indtastning af brugernavn, adgangs- og nøglekortkode, overførsel af 4.900 kr. mellem to af klagerens konti kl. 9.32 ved indtastning af adgangskode, modtagelse af en engangskode pr. SMS til klagerens mobiltelefon kl. 9.39, godkendelse af en overførsel på 5.765,12 kr. til en konto i udlandet ved indtastning af SMS koden kl. 9.41, og gennemførelse af overførslen kl. 15.13.

Den 29. august 2014: Log-in på klagerens netbank kl. 09.32 ved indtastning af brugernavn, adgangs- og nøglekortkode, overførsel af 7.500 kr. mellem to af klagerens konti kl. 10.17 ved indtastning af adgangskode, modtagelse af en engangskode pr. SMS til klagerens mobiltelefon kl. 10.13, indtastning af SMS koden kl. 10.15, modtagelse af en ny engangskode pr. SMS til klagerens mobiltelefon kl. 10.20, godkendelse af en overførsel på 6.926,72 kr. til en konto i udlandet ved indtastning af SMS koden kl. 10.21, og gennemførelse af én overførsel på 6.926,72 kr. til en konto i udlandet kl. 15.20.

Af oversigten fremgår endvidere, at overførsler til udlandet, der afsendes inden kl. 14 vil blive ekspederet efter kl. 15, og at L ikke havde registreret driftsproblemer i netbanken den 28. eller 29. august 2014.

Sparekassen har endvidere fremlagt en udskriftslog for klageren fra Dan-ID, hvoraf bl.a. fremgår, at der blev anvendt forkerte nøgle- eller adgangskoder til klagerens NemId den 28. august 2014 kl. 14.13 og den 29. august 2014 kl. 12.55, 13.41 og 15.05.

Klageren har anført, at overførslerne blev foretaget ved hacking af hendes computer, efter at hun var blevet kontaktet telefonisk af en person, P, der udgav sig for at være fra et it-firma, F. P oplyste, at hendes computer havde været forsøgt hacket gentagne gange. P overtog styringen af hendes computer. Efterfølgende blev hun klar over, at P havde overført beløbene.

Sparekassen har anført, at klageren den 3. september 2014 rettede telefonisk henvendelse til sparekassen og oplyste, at hun havde ”sendt nogle penge til udlandet” den 28. og 29. august 2014, efter at hun var blevet kontaktet telefonisk af P, der oplyste, at hendes computer havde været forsøgt hacket.

I en e-mail af 5. september 2014 til sparekassen meddelte klageren, at der ikke måtte foretages overførsler til andre banker fra hendes konto.

Sparekassen har anført, at klageren under en telefonsamtale med M, den 10. september 2014 oplyste, at hun efter aftale med P havde overført beløbene til et sikkert sted. 

Den samme dag gjorde klageren indsigelse mod de ovennævnte overførsler over for sparekassen. I en tro og love-erklæring anførte klageren:

”… Transaktioner er foretaget i forbindelse med et opkald fra en mand som udgiver sig for at være fra [F], han fortæller at en hacker har kendskab til [klagerens] oplysninger. Pengene skal låses så en hacker kunne fanges.

Beløbsmodtager fremgår af overførselsnotaer. …”

I erklæringen var anført følgende med fortrykt tekst:

”Jeg har ikke selv på nogen måde foretaget eller accepteret overførslen, hverken via netbank eller på anden måde. ”

Den 12. september 2014 indsatte sparekassen 3.000 kr. på klagerens konto til dækning af leveomkostninger, mens klagerens indsigelse blev behandlet.

Sikkerhedsfirmaet S foretog en scanning af klagerens computer. Sparekassen har fremlagt et uddrag af en rapport med S's konklusion, hvoraf fremgår:

"The PC is not inverted with malware. There is install a RAT (remote administration tool) that the user need to start manually and is typical used by “[F] scammers”. PC cleaner is installed, which removes some evidence, but it is still possible to conclude that at RAT was installed and used in the fraud case by an “[F] scammer”. Further adware was found on this machine and we recommend that the PC is reinstalled."

Sparekassen har oplyst, at S endvidere fandt en "Western Union Refund" på klagerens computer vedrørende tre overførsler på i alt 25.000 kr. 

Den 22. september 2014 meddelte sparekassen, at klageren selv skulle bære en selvrisiko på 8.000 kr. vedrørende overførslerne. Sparekassen indsatte samme dag 2.284,50 kr. på klagerens konto til dækning af de overførte beløb inklusiv overførselsgebyrer og med fradrag af 8.000 kr. og de 3.000 kr. som sparekassen havde indsat den 12. september 2014.

Parternes påstande

Den 1. oktober 2014 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen Kronjylland skal tilbageføre de resterende 8.000 kr. til hende.

Sparekassen Kronjylland har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at hun blev hacket uden skyld. Sparekassen burde derfor ikke have pålagt hende at hæfte for de 8.000 kr. 

Hun blev kontaktet af P, da hun sad ved sin computer. Pludselig kunne P styre hendes computer. P viste hende på skærmbilleder, at hun var forsøgt hacket rigtig mange gange. Af et af skærmbillederne fremgik således ifølge P, at hun var forsøgt hacket 28.000 gange. P oplyste, at de mange forsøg på hacking og mange alarmer vedrørende disse forsøg var årsagen til, at hun var blevet kontaktet af F. 

Da det gik op for hende, at der var noget galt, var der blevet overført i alt ca. 13.000 kr. fra hendes konto til udlandet. 

Sparekassen Kronjylland har til støtte for frifindelsespåstanden anført, at klageren selv har foretaget overførslerne, eller i hvert fald selv har medvirket til overførslerne. Dette underbygges af, at klageren flere gange har forklaret, at "jeg har sendt nogle penge til udlandet". Sparekassen var derfor berettiget til at lade klageren hæfte for det fulde beløb, men valgte dog efter omstændighederne at fastsætte selvrisikoen til 8.000 kr. 

Klageren har selv logget ind på sin netbank med brugernavn og adgangskode, da hun talte med P og har selv indtastet eller oplyst koden fra nøglekortet til NemId. Derudover blev der sendt sikkerhedskoder på SMS til klageren. Hvis sikkerhedskoden ikke indtastes, er overførsel til udlandet ikke mulig. Klageren har enten selv indtastet koderne eller oplyst disse til P. Klageren har således selv indtastet eller oplyst de personlige sikkerhedsforanstaltninger, herunder SMS-koden, der skal anvendes ved overførsel til udlandet.

Af S's rapport fremgår, at der ikke har været malware på computeren, men alene et værktøj som 'teamviewer', der har givet P adgang til at se, hvad klageren foretog sig på computeren, og som gav P mulighed for at vise klageren forskellige skærmbilleder. 

Klagerens adfærd kan som minimum karakteriseres som værende groft uforsvarlig, da klageren burde have indset, at der var risiko for misbrug i en situation, hvor man kontaktes af en engelsktalende person, som man udleverer sine personlige sikkerhedskoder til. Klagerens groft uforsvarlige adfærd har muliggjort overførslen. Klageren hæfter således for det fulde beløb. Klageren har endvidere undladt at underrette sparekassen snarest muligt efter, at hun var blevet kontaktet af P. Sparekassen har dog efter omstændighederne valgt at alene at fastsætte en selvrisiko på 8.000 kr.

Oplysningerne om overførsel via Western Union tyder i øvrigt på, at klageren skulle bruges som 'muldyr' til at sende flere penge til udlandet. 

Sparekassen Kronjylland har til støtte for afvisningspåstanden anført, at en fastlæggelse af sagens faktum vil kræve en bevisførelse, der ikke kan finde sted i Ankenævnet. Klagerens sagsfremstilling i klageskemaet giver ikke klarhed over, om hun selv overførte eller accepterede overførslen af beløbene. Den 3. september 2014 oplyste klageren telefonisk sparekassen om, at hun havde ”sendt nogle penge til udlandet”. I efterfølgende samtaler med flere medarbejdere i sparekassen ændrede klageren flere gange forklaring om overførslerne. Klageren gentog endvidere overfor M, at hun efter aftale med P havde overført/accepteret at overføre pengene til et sikkert sted, da P havde vist hende, at andre havde forsøgt at hæve eller overføre penge fra hendes konto.

Ankenævnets bemærkninger

Den 28. og 29. august 2014 blev der overført to beløb på henholdsvis 5.765,12 kr. og 6.926,72 kr. med tilknyttede gebyrer på 295,72 kr. og 296,91 kr. fra klagerens konto til en konto i udlandet via klagerens netbank. De overførte beløb inklusive overførselsgebyrer udgjorde i alt 13.284,50 kr.

Klageren har anført, at overførslerne skete uden hendes samtykke, ved hacking af hendes computer i forbindelse med en telefonisk henvendelse fra en person, der udgav sig for at være fra et computerfirma. Sparekassen har anført, at klageren hæfter for det fulde beløb, da overførslerne blev gennemført af klageren eller med hendes samtykke, eller subsidiært muliggjort af klagerens groft uforsvarlige adfærd. Sparekassen har anført, at den alene vil gøre et selvrisikobeløb på 8.000 kr. gældende overfor klageren og har i overensstemmelse hermed tilbageført i alt 5.284,50 kr. til klageren.

Efter bevisførelsen finder Ankenævnet det godtgjort, at der ikke er registreret driftsproblemer relateret til netbank på de datoer, hvor transaktionerne blev foretaget.

Ankenævnet lægger efter bevisførelsen endvidere til grund, at klageren i forbindelse med begge transaktioner har logget ind med brugernavn og adgangskode, og at klageren har indtastet nøglekoden fra NemID. Ankenævnet lægger endvidere til grund, at klageren har godkendt begge overførsler med den SMS-kode, som blev sendt til hendes telefon. Under disse omstændigheder finder Ankenævnet ikke grundlag for at pålægge Sparekassen Kronjylland at tilbagebetale yderligere beløb til klageren

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.