Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.

Sagsnummer: 289/2022
Dato: 30-03-2023
Ankenævn: Vibeke Rønne, Inge Kramer, Mette Lindekvist Højsgaard, Tina Thygesen og Jørn Ravn.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse
Netbank - øvrige spørgsmål
Ledetekst: Krav om tilbageførsel af netbankoverførsler der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.
Indklagede: Sparekassen for Nørre Nebel og Omegn
Øvrige oplysninger: OF
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedragerisk telefonopkald. Videregivelse af SMS-koder. Godkendelse med MitID.

Sagens omstændigheder

Klageren var kunde i Sparekassen for Nørre Nebel og Omegn, hvor hun blandt andet havde en konto med et tilknyttet betalingskort, en opsparingskonto og netbankadgang.

Tirsdag den 19. juli 2022 blev der med klagerens MitID foretaget fem overførsler på 15.000 kr., 10.000 kr., 10.000 kr., 13.000 kr. og 15.105 kr., i alt 63.105 kr. fra klagerens opsparingskonto til tredjemands konto i et andet pengeinstitut.

Om baggrunden for overførslerne har klageren oplyst, at hun fredag den 15. juli 2022 modtog en SMS, der fremtrådte som om, den kom fra SKAT, hvoraf følgende fremgik:

”Der er opstået en teknisk fejl i din skatte beregning i 2021, du har 2276 DKK tilgode fra 2021. Se instruktionerne her: https:77skat-dk.web.app/”

Klageren har oplyst, at hun den 16. juli 2022 klikkede på linket og udfyldte en række personlige oplysninger (betalingskort, adresse, navn m.m.).

Sparekassen har oplyst, at når man klikker på det ovennævnte link, bliver man bedt om at give følgende oplysninger: MitID bruger-ID, navn og adresse, fødselsdag og CPR-nummer, pengeinstitut og kortoplysninger (kortnummer, udløbsdato og kontrolkode).

Klageren har oplyst, at hun den 19. juli 2022 blev ringet op af en person, der udgav sig for at være fra sparekassen. Personen oplyste, at der var blevet reserveret nogle penge fra hendes konto, og at han godt kunne nå at stoppe overførslerne.

Sparekassen har oplyst, at klageren muliggjorde svindlerens adgang til hendes netbank med en MitID-godkendelse.

Sparekassen har fremlagt en log fra klagerens netbank, hvoraf fremgår, at der, forinden overførslerne blev foretaget den 19. juli 2022 i tidsrummet fra kl. 14:36 til kl. 15:33, blev sendt fem SMS’er til klagerens telefonnummer med følgende tekst:

”Udlever aldrig denne kode til andre (heller ikke til dit pengeinstitut). Du skal godkende din overførsel på [xxx] DKK til [kontonummer]. Indtast engangskoden [xxxxxx] for at godkende overførslen. Er du ikke i gang med at overføre, så kontakt straks dit pengeinstitut eller netbank support og spær dit NemID/MitID”

Klageren har oplyst, at hun videregav SMS-koderne til svindleren og godkendte overførslerne med MitID.

Ved en mail af 22. juli 2022 gjorde klageren over for sparekassen indsigelse mod de fem overførsler på i alt 63.105 kr. Hun anførte blandt andet:

”D.19/7 blev jeg udsat for økonomisk svindel, og af den årsag søger jeg hjælp og erstatning fra jer.

Skriftlig beskrivelse af situationen:

Fredag d.15/7 modtog jeg en sms fra “skat” om at jeg skulle have penge tilbage, jeg trykkede ind på linket og udfyldte mine informationer (betalingskort, adresse, navn mm) d.16/7.

Tirsdag d.19/7 bliver jeg ringet op af en “Johannes fra Nørre Nebel sparekasse”, som kan se der er reserveret penge fra min konto. Han spørger om jeg har modtaget nogle sms’er fra nyligt, hvor jeg jo svare ja. Han siger at vi godt kan nå at stoppe overførslerne, han skal bare bruge de koder jeg får på besked, og at jeg godkender med mitid. Han virker generelt meget troværdig, så jeg lytter til hvad han siger, og gør som han siger. Han nævner også at han har en kollega der hedder Jan, som der hjælper ham, og en IT mand som hjælper ham med at flytte pengene. Han siger han vil lave en ny konto med alle mine penge på, så de er “sikret” for svindlerne. Gennem hele forløbet lagde han meget tryk på at det er godt jeg har min bank, så jeg ikke mister mine penge, og at det sikkert er nogle svindlere der sidder i Bangladesh som havde sendt SMSen. Da vi har snakket sammen i 1 time og 50 min, ligger han på, og min konto er tømt for 63.150kr. Så han flyttede i stedet pengene til hans egen konto. Jeg handlede i god tro, og jeg var sikker på at han blot ville hjælpe mig, grundet hans troværdige tilgang til forløbet.

Det første jeg gjorde var at spærre mine kort, og lukke mit NemID. Jeg kunne dog først komme i kontakt med banken dagen efter, da opkaldet først sluttede 16.50.

Jeg har efterfølgende meldt det til politiet, snakket med min bank og snakket med forsikring. Jeg er altid meget påpasselig og opmærksom på mine penge, men denne gang var jeg godtroende. Han var utrolig oprigtig at høre på. Derfor søger jeg erstatning og hjælp fra jer.

…”

Sparekassen afviste at tilbageføre de omtvistede transaktioner.

Parternes påstande

Den 29. juli 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Sparekassen for Nørre Nebel og Omegn skal tilbageføre overførslerne på 63.105 kr.

Sparekassen for Nørre Nebel og Omegn har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun handlede i god tro, idet hele forløbet virkede utrolig reelt.

Manden, der kontaktede hende, ringede og udgav sig for at være en fra sparekassen. Han sagde, at han havde en IT-ekspert siddende ved siden af sig, hvilket opbyggede stor troværdighed hos hende. Han vidste, hvem hendes rådgiver fra sparekassen var, og at hun var på ferie. Han nævnte flere gange, at det var godt, han havde ringet, fordi ellers ville alle hendes penge være blevet taget, og at han blot var glad for at kunne hjælpe hende mod "den slags svindlere". Hun blev snydt af et meget overbevisende menneske, som vidste mange ting om hende.

Da hun nævnte for ham, at sikkerhedskoden på SMS’erne sagde, at hun ikke måtte videregive koden til ham, vidste han straks, hvad han skulle svare og udtalte, "at det blot var noget, de skulle skrive grundet de nye sikkerhedsregler". Han var igen meget overbevisende, og hvis man ikke har været udsat for sådanne ting før, er det ikke noget, man har nogen ide om kan finde sted. Hun har handlet i god tro og har ikke på noget tidspunkt "gjort det med vilje".

Advarslerne fra sparekassen om svindel kom først, efter overførslerne havde fundet sted, og det samme gjaldt advarslerne fra SKAT om, at der florerede falske SMS’er og mails, som ikke var fra SKAT.

Hun har en bekendt, som har været udsat for noget lignende. Hendes bank dækkede hendes tab med fradrag af en selvrisiko.

Sparekassen for Nørre Nebel og Omegn har anført, at transaktionerne er korrekt registreret og bogført uden tekniske svigt, jf. betalingslovens § 98, stk. 1.

Der er brugt stærk kundeautentifikation jf. betalingslovens § 7, nr. 30, samt § 100, stk. 7. I dette tilfælde er der benyttet MitID samt engangskode (OTP).

Der er indtastet MitID og valideret med MitID app med information om handling samt med SMS-engangskode (OTP), det vil sige, at den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, jf. betalingslovens § 100 stk. 4.

Oplysninger omkring sikkerhedsforanstaltninger er videregivet, hvor risikoen for misbrug burde være indset ved at godkende med MitID og videregive OTP koder ud fra OTP meddelelser, jf. betalingslovens § 100 stk. 5.

Handlingen er gentaget fem gange (fem gange OTP) – det vil sige, at der er gennemført fem transaktioner med fuld sikkerhedsforanstaltning.

Der var ikke tale om en særlig presset situation.

Digitaliseringsstyrelsen har i 2022 præciseret, at MitID er personligt, og at man derfor ikke skal dele sine oplysninger med andre, heller ikke sit bruger-ID. Digitaliseringsstyrelsen har ligeledes præciseret, at man aldrig skal swipe på en anmodning, man ikke selv har startet. Man bør f.eks. altid læse den tekst, der står i MitID-anmodningen, som beskriver hvilken tjeneste, der er tale om, og hvad det er for en transaktion, man er ved at godkende.

Klageren har haft flere muligheder for ikke at overføre beløbene og blev advaret direkte mod at udlevere sikkerhedskoder (endda hele fem gange). Klageren blev i SMS’erne klart og tydeligt advaret mod at udlevere koderne fra SMS’erne, der er opbygget på en sådan måde – så advarslen vises som det første – og det ikke er muligt at se koden uden at åbne hele beskeden – heller ikke ved at skimte notifikationen uden at åbne SMS’en helt.

Klageren har anført, at hun godt var klar over, at sikkerhedskoden i SMS’erne ikke måtte udleveres, men dette valgte hun at ignorere.

Hændelsesforløbet underbygger således, at klageren bevidst har tilsidesat alle sikkerhedsmekanismer. Det er derfor sparekassens vurdering, at klageren selv hæfter for det fulde beløb, jf. betalingslovens § 100, stk. 5.

Det er korrekt, at sparekassen advarede mod den aktuelle svindel dagen efter, at hændelsen havde fundet sted. Sparekassen advarer løbende og periodisk mod forskellige kriminelle handlinger, både via sparekassens Facebook side og hjemmeside m.v. At sparekassen i perioder advarer mod svindel, fritager ikke klageren fra eget ansvar.

Ankenævnets bemærkninger

Den 19. juli 2022 blev der via netbank med klagerens MitID foretaget fem overførsler på 15.000 kr., 10.000 kr., 10.000 kr., 13.000 kr. og 15.105 kr., i alt 63.105 kr. fra klagerens opsparingskonto i Sparekassen for Nørre Nebel og Omegn til tredjemands konto i et andet pengeinstitut.

Baggrunden for overførslerne var, at klageren den 15. juli 2022 havde modtaget en SMS, der fremtrådte som om, den kom fra SKAT. Hun havde klikket på et link og afgivet en række personlige oplysninger. Den 19. juli 2022 blev klageren kontaktet telefonisk af en person, der udgav sig for at være fra sparekassen, og som oplyste, at der var blevet reserveret nogle beløb på hendes konto, og at han godt kunne nå at stoppe overførslerne, hvis pengene blev flyttet til en sikkerhedskonto. Klageren modtog samme dag i tidsrummet fra kl. 14:36 til kl. 15:33 fem SMS’er. Klageren gav svindleren adgang til sin netbank med sit MitID, videregav SMS-koderne til svindleren og godkendte overførslerne med MitID.

Transaktionerne blev gennemført ved brug af de modtagne SMS-koder, og transaktionerne blev godkendt med klagerens MitID.

Det lægges efter det oplyste til grund, at klageren videregav sit bruger-ID til MitID og de modtagne SMS-koder til svindleren, samt at klageren godkendte transaktionerne med MitID.

Ankenævnet finder, at transaktionerne skyldtes tredjemands misbrug af klagerens betalingstjeneste.

Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.

Ankenævnet finder ikke, at sparekassen har godtgjort, at betingelserne for, at klageren hæfter uden beløbsbegrænsning efter betalingslovens § 100, stk. 5, er opfyldt.

Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Tre medlemmer – Vibeke Rønne, Inge Kramer og Mette Lindekvist Højsgaard – udtaler:

Det fremgik af de til klageren sendte SMS’er, at hun ved brug af SMS-koden godkendte overførsler på nærmere angivne beløb til en konto i et andet pengeinstitut.  Vi finder, at klageren ved at videregive SMS-koderne og godkende transaktionerne med MitID ved groft uforsvarlig adfærd har muliggjort transaktionerne, og at klageren som følge heraf hæfter med op til 8.000 kr., selv om det må lægges til grund, at hun har været udsat for phishing.

Vi stemmer derfor for, at sparekassen skal tilbageføre differencen på 55.105 kr. med valør fra datoen for debitering af transaktionerne.

To medlemmer – Tina Thygesen og Jørn Ravn – udtaler:

Vi finder det godtgjort, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

 Vi finder at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionerne.  

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 kr. af tabet på 63.105 kr., jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Sparekassen for Nørre Nebel og Omegn skal inden 30 dage tilbageføre 55.105 kr. med valør fra datoen for debitering af transaktionerne til klagerens konto.

Klageren får klagegebyret tilbage.