| Sagsnummer: | 193/2022 |
| Dato: | 15-02-2023 |
| Ankenævn: | Bo Østergaard, Jonas Thestrup Nielsen, Karin Duerlund, Tina Thygesen og Poul Erik Jensen. |
| Klageemne: | Betalingstjenester - ubegrænset hæftelse Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd Betalingstjenester - ikke-vedkendte hævninger Afvisning - bevis § 5, stk. 3, nr. 4 |
| Ledetekst: | Indsigelse mod kontooverførsel til et udenlandsk firma. Adgang til computer via fjernstyringsprogram. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod kontooverførsel til et udenlandsk firma.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor han blandt andet havde en konto og adgang til netbank.
Klageren har oplyst, at han den 29. marts 2022 så et tv-program, der blandt andet handlede om investering i Bitcoins. Dagen efter så han en reklame på Facebook om, at man kunne opnå et positivt afkast ved at investere i Bitcoins via hjemmesiden, C. Klageren har oplyst, at han oprettede en profil på hjemmesiden C.
Den 30. marts 2022 blev der via netbank overført 50 EUR til firmaet F1. Det fremgår af oplysninger fremlagt af banken, at betalingen blev foretaget fra en Apple iPhone telefon med styresystemet iOS 15.3, via browseren Safari 15.3, og at IP-adressen var lokaliseret til Denmark, Kolding. Klageren kan vedkende sig denne overførsel.
Den 31. marts 2022 blev der via netbank overført 5.000 EUR svarende til 37.260,50 DKK fra klagerens konto til firmaet F2. Det fremgår af oplysninger fremlagt af banken, at betalingen blev foretaget fra en enhed med styresystemet Windows 10, via browseren Google Chrome 100, og at IP-adressen var lokaliseret til Denmark, Kolding. Klageren kan ikke vedkende sig denne overførsel.
Banken har fremlagt en NemID-log, der vedrørte den ikke vedkendte overførsel af 31. marts 2022, hvoraf det blandt andet fremgik, at der i forbindelse med overførslen blev accepteret ny hardware:
”[XXX-XXX]-975 Trace Ny hardware automatisk accepteret 31-03-2022
15:17:43 [XX.XX.XX].149 (Chrome 100 on Windows 10) samt
[XXX-XXX]-975 Trace Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering 31-03-2022 15:17:43 [XX.XX.XX].149”
Banken har fremlagt en log vedrørende login i netbanken for den ikke vedkendte betaling af 31. marts 2022. Følgende fremgik af loggen:
”[XXXX]748 JNP NBS 15:17:44 LOGIN ACCEPTERET
[XXXX]748 JNP NBS LOGIN Login OK (NBP) 2factor
[XXXX]748 JNP WCM 15:19:31 LOGIN Single Signon startet
[XXXX]748 JNP NBP 15:19:32 LOGIN ACCEPTERET”
Banken har oplyst, at betalingen efter ovenstående logins blev gennemført kl. 15:27:32 den 31. marts 2022:
”[XXXX]748 JNP WWW 15:27:32 UDL. OVF. NR. [XXXXXX]-706”
Klageren udfyldte den 13. april 2022 en tro- og loveerklæring, som banken modtog den 20. april 2022. Af denne fremgik blandt andet:
”30/3 første trans invest 50 euro (mig)
31/3 trukket 99,99 usd
31/3 trukket 5000 euro til [F2]
…
Forløb
Så [tv-program]
Opslag på fb – så interesant ud
Gik ind gennem siden
Oprettede mig der blev spurgt om bankoplysninger
Ingen alarmklokker
Blev ringet op talte engelsk [person T]
Sad ved computeren gennemgik investeringen (lagt vægt på investering)
Han bad om id oplysninger
Foto af kørekort
Kamera til id – tog også billede af mig
Han bad mig downloade [WhatsApp] så ville jeg få hans direkte nr og vi kunne [kommunikere] direkte
Pludseligt (jeg ved ikke hvordan) lå der et ikon på pc – anydesk
Opdagede der var overført 5000 euro og der begyndte [at] ringe fra Schweiz, Sverige, Storbritannien danske nummer (med engelsk afsender og en enkelt med gebrokken dansk)
…
Jeg lukkede visa Dankort og visa kort
Meldte det til JB
…”
Det fremgik endvidere af tro- og loveerklæringen, at klagerens nøglekort var opbevaret i klagerens pung og på hans app, at klageren huskede sin NemID-adgangskode udenad, og at nøglekortet og NemID-adgangskoden ikke havde været lånt ud.
Banken har oplyst, at den ved en SWIFT-meddelelse af 12. april 2022 anmodede modtagerbanken om at tilbagebetale det omtvistede beløb. Den 21. april 2022 svarede modtagerbanken:
”The recall request has been declined on this occasions the funds were already returned to the users account on 01/04/2022 with the ref [XXXXXXXX]ZKZ”.
Da beløbet ikke var returneret til klagerens konto, sendte banken en ny forespørgsel til modtagerbanken og fik følgende svar:
”Apologies for the misinformation here. This recall request was declined because the funds were applied to the users account on 01/04/2022 with the ref [XXXXXXXX]ZKZ. There has not been a 77A: Narrative return of funds.”
Banken har oplyst, at den herefter ikke rettede yderligere forespørgsler til modtagerbanken.
Banken har oplyst, at klageren mundtligt den 22. april 2022 blandt andet meddelte banken, at T præsenterede sig som rådgiver for hjemmesiden, C, og at han vejledte klageren om, hvordan han skulle investere via hjemmesiden, som klageren tilgik. Klageren huskede ikke, om han skulle bruge NemID for at logge ind. Han havde dog glemt sit password og modtog et nyt fra T. Han blev anmodet om at åbne sin netbank i forbindelse med betalingen af 50 EUR, hvorefter han fik forevist en investeringsside på hjemmesiden, C. Banken har endvidere oplyst, at klageren i telefonsamtalen oplyste, at han ikke huskede, om han selv havde accepteret til installering af AnyDesk. Klageren bestred, at han loggede ind i sin netbank den 31. marts 2022, og at han samme dag havde tastet betalingen på 5.000 EUR ind i netbanken. Klageren anmeldte forholdet til politiet.
Parternes påstande
Den 19. maj 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre betalingen på 5.000 EUR.
Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klageren har anført, at han har været udsat for et misbrug, og at hans tab i forbindelse hermed skal kompenseres.
Han loggede på sin netbank den 31. marts 2022, men godkendte ikke overførslen af 5.000 EUR til F2. Han havde ingen interesse i at tømme sin egen konto.
Han har mistanke om, at der er sket en uberettiget fjerninstallation af AnyDesk på hans enheder, som muliggjorde, at overførslen kunne ske. Det er muligt at fjerninstallere programmer og app’s på telefoner og computere, uden at brugeren selv giver tilladelse hertil, og banken har ikke bevist, at han har medvirket til installeringen af programmerne. Det er derfor muligt, at den uautoriserede betaling blev foretaget herved. Da han ikke har været vidende om, at AnyDesk blev installeret på hans enheder, havde han ikke mulighed for at dokumentere, at programmet blev installeret. Da han var logget ind på sin netbank efter fjerninstallationen af AnyDesk, havde svindleren haft adgang til hans netbank.
Han forstår, at der vil være en egenbetaling, da han reagerede på svindlernes Bitcoin-opslag og at han selv har en form for risiko ved denne affære, men banken burde vedkende sig erstatningsansvaret, da den er den professionelle part i sagen. Der måtte have været et hul i NemID, der gjorde det muligt for andre at overføre pengene.
Han spærrede efterfølgende sit NemID og fik et nyt betalingskort og NemID. Han fulgte alle anvisninger, som bankens Fraud Management-afdeling gav.
Det er meget problematisk, at banken ikke foretog sig noget, efter at modtagerbanken fejlagtigt oplyste, at beløbet var returneret. Banken fralagde sig hermed sit ansvar for at beskytte kunden. Banken burde i stedet have fulgt op på kontakten med modtagerbanken.
Jyske Bank har til støtte for sin påstand om frifindelse anført, at banken hæfter i forhold til klageren for tab som følge af uautoriserede betalingstransaktioner, medmindre andet følger af betalingslovens regler. En betalingstransaktion er kun autoriseret, hvis betaleren har meddelt samtykke til at gennemføre transaktionen. Er der ikke meddelt samtykke, skal betalingstransaktionen anses for uautoriseret.
Afgørelsen afhænger af, om klageren gav sit samtykke til gennemførsel af betalingen af 5.000 EUR til F2. Det er klageren, der skal dokumentere, at der var tale om en uautoriseret og ikke godkendt betaling. Klageren har ikke bevist, at betalingstransaktionen på 5.000 EUR til F2 var sket som følge af misbrug af klagerens netbank, hvorfor banken ikke er forpligtet til at godtgøre indsigelsesbeløbet.
Det fremgår af de tekniske beviser, at login i netbanken i forbindelse med godkendelsen og betalingen var sket med klagerens NemID. NemID er en personlig sikkerhedsforanstaltning. Ved transaktionen blev der derfor anvendt stærk kundeautentifikation. Der blev foretaget login på netbanken med to-faktorgodkendelse, hvilket ikke kunne lade sig gøre, uden at klageren selv havde logget på, eller uden at klageren havde afgivet oplysninger, der havde muliggjort, at gerningsmanden kunne logge på og gennemføre betalingen.
Et fjernstyringsprogram såsom AnyDesk kan ikke umiddelbart installeres, uden at man selv accepterer installationen. Klageren har ikke dokumenteret, at der er sket installation af AnyDesk på hans enheder uden hans tilladelse, herunder hvilken betydning dette skulle have i forhold til betalingen af det omtvistede beløb.
Det kan i den henseende ikke udelukkes, men grundet de omstændigheder, som klageren har oplyst, at betalingen var sket under, kan det ikke lade sig gøre at betalingen blev iværksat og udført af gerningsmanden. Klageren har anført, at hans nøglekort var opbevaret i hans pung og på hans app, at han huskede adgangskoden udenad, og at hans nøglekort og adgangskode til NemID på intet tidspunkt havde været lånt ud. Der er ingen plausibel forklaring på, hvordan uberettigede fik adgang til klagerens loginoplysninger, da både login og godkendelse af betaling i netbanken forudsatte, at man benyttede NemID. Betalingen var gennemført med klagerens medvirken og samtykke, og klagerens forklaring hænger derfor ikke sammen.
Betalingen af 5.000 EUR blev gennemført fra samme IP-adresse, som blev benyttet ved betalingen af 50 EUR den 30. marts 2022. Klageren har ikke gjort indsigelse mod betalingen af 50 EUR.
Banken har forsøgt at få modtagerbanken til at tilbagebetale klageren det omtvistede beløb. Da modtageren ikke ønskede at returnere beløbet, havde banken ikke mulighed for at gøre yderligere i denne henseende.
Ankenævnets bemærkninger
Klageren var kunde i Jyske Bank.
Klageren har oplyst, at han i et tv-program og på Facebook så en reklame for, at man kunne opnå et positivt afkast ved at investere i Bitcoins via hjemmesiden, C, hvorfor han den 30. marts 2022 oprettede en profil på hjemmesiden og foretog en betaling på 50 EUR til F1. Den 31. marts 2022 blev der med klagerens NemID foretaget en overførsel i netbank på 5.000 EUR fra klagerens konto i Jyske Bank til tredjemands konto, som klageren ikke kan vedkende sig.
Klageren har anført, at han havde logget ind på sin netbank den 31. marts 2022, og at der var sket en uberettiget fjerninstallation af AnyDesk, som han mistænker har muliggjort overførslen, men at han ikke havde foretaget overførslen på 5.000 EUR. Banken har anført, at betalingen skete ved anvendelse af klagerens NemID, og at et fjernstyringsprogram såsom AnyDesk ikke umiddelbart kan installeres, uden at man selv tillader installationen.
Det lægges til grund, at transaktionen var korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klageren hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4 eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnet afviser derfor klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.