Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer:202/2024
Dato:17-01-2025
Ankenævn:Kristian Korfits Nielsen, Inge Kramer, Jimmy Bak, Tina Thygesen og Kim Korup Eriksen.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede:Jyske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsel, der blev foretaget i forbindelse med bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Jyske Bank, hvor han havde en konto og netbankadgang.

Den 28. februar 2024 blev der via klagerens netbank foretaget en overførsel på 69.346,37 kr. fra klagerens konto til tredjemands konto i Jyske Bank.

Banken har fremlagt en udskrift af tekniske detaljer for betalingen fra klagerens MitID-log og har oplyst, at det fremgår heraf, at netbankoverførslen den 28. februar 2024 kl. 19:34 blev godkendt med klagerens MitID-app, der slutter på -7105, der var blevet oprettet den 1. marts 2023 på en iPhone 14,5. Banken har endvidere fremlagt en udskrift fra en hjemmeside, der indeholder en identifikationsliste over Apple-enheder, hvoraf fremgår, at en iPhone 13 svarer til en iPhone Model Identifiers 14,5 (der er Apples interne versionsnummer).

Som en yderligere sikkerhed for at det var klageren, der foretog overførslen, blev der forinden foretagelsen af overførslen sendt en SMS til klagerens telefonnummer med følgende ordlyd:

”Oplys ALDRIG koden til andre! Indtast SMS-kode xxxx i Net-Mobilbanken for at godkende betalingen på DKK på DKK 69.346,37 til konto [-x30]. (Bestillingsnummer [-886]). Er denne betaling ikke oprettet af dig, kontakt os straks på telefon 89892800. Venlig hilsen Jyske Bank”.

Banken har oplyst, at det fremgår af bankens systemer, at klageren indtastede SMS-koden og godkendte betalingen.

Klageren har fremlagt en udskrift af SMS-beskeder, som han modtog på sin telefon den 28. februar 2024 og 29. februar 2024 og har bestridt, at han har modtaget en SMS-kode fra banken.

Banken har oplyst, at klageren senere samme aften den 28. februar 2024 blev opmærksom på, at han havde været udsat for svindel, og han kontaktede kl. 20:28:50 bankens kundeservice telefonisk med henblik på at gøre indsigelse mod overførslen. Under telefonsamtalen oplyste klageren, at han var blevet ringet op af telefonnummer -422 og havde talt med en person, der oplyste, at han var fra banken. Opkaldet varede ifølge bankens opkaldslog 7,17 minutter.

Banken har yderligere oplyst, at en medarbejder i bankens kundecenter kort tid efter telefonsamtalen med klageren spærrede modtagerkontoen, herunder betalingskort til kontoen, hvilket skete kl. 20:50. Baggrunden for, at spærringen ikke skete lige efter afslutningen af telefonsamtalen med klageren skyldtes, at banken skulle kontrollere og verificere/efterprøve klagerens oplysninger op mod modtagerkontoen, med henblik på en sikring af grundlaget for spærringen af modtagerkontoen var korrekt. Hvis dette var tilfældet, skulle der desuden foretages registreringer i flere systemer for at gennemføre en effektiv spærring af modtagerkontoen. Fra afslutningen af telefonsamtalen med klageren og indtil spærringen af modtagerkontoen gik der ca. 14 minutter.

Banken har endvidere oplyst, at der henholdsvis seks og ni minutter efter afslutningen af telefonsamtalen med klageren blev gennemført to betalinger fra modtagerkontoen på henholdsvis 5.025 kr. og 2.020 kr. inden spærringen af modtagerkontoen. Efter spærringen af modtagerkontoen var det ikke længere muligt at disponere over kontoen, og der kunne dermed ikke overføres midler fra modtagerkontoen.

Den følgende dag blev den praktiske del af betalingen ekspederet af banken, og banken returnerede 37.627,37 kr., der var det beløb, der var i behold på modtagerkontoen efter, at denne var blevet spærret om aftenen den 28. februar 2024. Beløbet blev tilbageført til klagerens konto, og banken afviste at dække klagens tab på 31.719 kr. i forbindelse med overførslen.

Klageren indgav herefter en klage til banken, hvor han blandt andet anførte:

”…

Mange tak for jeres arbejde i min sag.

Dog har jeg en indsigelse og vil jeg gerne sætte fokus på, at tiden fra anmeldelsen om aften til at banken først går i aktion næste dag er alt for lang. Umiddelbart går der ca. 12 timers fri leg, når der er tale om svindel, som ligger internt i Jyske Banks konti.

Jeg handler selv ret hurtigt, da jeg konstatere der er tale om en falsk "Jyske Bank" ansat, og jeg kontakter Jyske Bank, i håb om at, I kan stoppe det igangværende fupnummer, specielt da der er tale om en intern overførsel.

Jeg har helt en fornemmelse af at handle i god tro ud fra telefonsamtalen, da der er tale om kortvarige at sikre mine penge fra hacking og danner ikke mistro, da der er tale om en intern overførsel i Jyske Bank.

Derfor undre det mig, at det ikke muligt få stoppet denne overførsler med det samme, netop fordi at jeg havde alle oplysninger omkring hvilken konto pengene var blevet overført til, samt mobilnummer mv., og derved havde I (Jyske Bank) rigtige gode muligheder for at stoppe alt trafik med det samme. Men jeg bliver henledt til, at man lukker alle mine konti mv, og derefter får besked på, at Jyske Bank vil kigge på sagen den næste dag, når I møder ind kl. 8, altså ca. 12 timer efter at skaden er sket.

Jeg taler her ind til en hurtigere ekspeditionstid og forsøger endda selv at ringe yderligere et andet telefonnummer i Jyske Bank for at få mere hjælp. Jeg kontaktede også politiet i håb om hurtigere handling. Så min indsigelse går på, at opstarten ikke har været hurtig nok fra Jyske Bank.

Jeg synes, der kunne have været en stor mulighed for at inddrive alle pengene i forhold til at det er en intern overførsel.

Så kan banken på nogen måde kunne træde ind i et medansvar for sin kunde, når kunden pludselig og på meget professionelt vis bliver manipulere med og udnytter kundes forhold til deres loyalitet for banken og ud fra at man som kunde er i god tro og at banken altid vil beskytte deres kunder og derfor kræver denne handling.

Jeg ser frem til at der laves et samarbejde på at imødekomme mit tab på ca.32.000 kr. i denne sag, viden om at Jyske Bank også skal beskytte deres kunder for tab.

…”

Banken afviste fortsat at dække klagerens tab og anførte blandt andet følgende i sit svar til klageren:

”…

Vi vender hermed tilbage til din henvendelse af den 4. marts 2024, hvor du gør indsigelse mod en overførsel, du har fortaget i din netbank/mobilbank.

Vi forstår din henvendelse således, at du er utilfreds med bankens sagsbehandlingstid i forbindelse med at sikre penge på en konto, hvortil du som følge af svindel havde overført beløbet.

Vi skal indledningsvis beklage det sene svar.

Dine oplysninger

Det fremgår af din henvendelse, at du gør indsigelse mod følgende overførsel, som du har godkendt i din netbank/mobilbank med din MitID-app fra konto nummer [-x65]:

• Den 28.02.24 kl. 19.34; Indenlandsk overførsel til kontonummer [-x30]; kr. 69.346,37

I alt DKK 69.346,37.

Det fremgår af din korrespondance med banken, at du var blevet ringet op af en person, der udgav sig for at være en medarbejder i Jyske Bank. ”Medarbejderen” oplyste dig om, at din konto var ved at blive hacket, hvorfor du skulle overføre et større beløb til en sikkerhedskonto – en ”Safe Account”.

Du overførte i den forbindelse det ovennævnte beløb.

Senere samme aften ca. kl. 20:28 kontaktede du Jyske Banks kundecenter telefonisk med henblik på at gøre indsigelse mod overførslen.

…”

Parternes påstande

Den 3. april 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal tilbageføre 31.719 kr. til ham.

Jyske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at han har været udsat for svindel.

Banken har henvist til nogle lignende afgørelser fra Ankenævnet fra 2022. Disse afgørelser kan ikke anvendes direkte, da teknologien er blevet meget bedre siden 2022, hvilket har forbedret de kriminelles muligheder for svindel. Bankens rådgiver påpegede også, at den svindel, som banken oplever på nuværende tidspunkt, er blevet uhyggeligere og skarpere end tidligere.

Han bestrider, at der blev sendt en SMS med en kode til hans telefonnummer den 28. februar 2024 om aftenen for at godkende overførslen. Det er fint, at banken bruger denne sikkerhed, men han har ikke modtaget nogen SMS den 28. februar 2024.

Det af banken anførte om, at den lukkede modtagerkontoen inden for kort tid, kan han ikke forstå. Den medarbejder i banken, som han talte med, oplyste, at hun ikke havde mulighed for at lukke modtagerkontoen, selv om den var i samme bank. Hun kunne kun spærre hans konto, hans MitID mv. hvilket hun gjorde med det samme. Hun ville overgive sagen til behandling så hurtigt som muligt den efterfølgende dag, det vil sige, at hun oplyste, at der ikke ville ske noget før den følgende dag.

Jyske Bank har til støtte for frifindelsespåstanden anført, at klageren selv har godkendt betalingen ved indtastning af kontonummer, beløb samt godkendelse i MitID, hvilket klageren heller ikke har bestridt. Der er dermed tale om en godkendt (autoriseret) betaling, jf. betalingslovens § 82.

Betalingen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1.

Klagerens MitID er en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslo-vens § 7, nr. 30.

Klageren havde til hensigt at gennemføre den pågældende betaling og med det pågældende beløb, også selv om baggrunden for overførslen var et svindelopkald.

Klageren modtog desuden en ekstra godkendelses-SMS fra banken umiddelbart efter godkendelse af betalingen med MitID og godkendte dermed betalingen ad to omgange – både med MitID og ved den ekstra godkendelses-SMS fra banken.

Klageren fik dermed lejlighed til at tænke sig om en ekstra gang, inden han god-kendte betalingen.

Klageren burde desuden have undret sig over, at beløbet skulle overføres til en ”sikkerhedskonto”. Dette burde have givet ham anledning til mistanke og til at undersøge sagen nærmere, før han godkendte betalingen, herunder ved at kontakte banken.

Da klageren selv har godkendt betalingen i sagen, jf. betalingslovens § 82 – og der dermed ikke er tale om en uautoriseret betalingstransaktion - er banken ikke forpligtet til at godtgøre klageren betalingen, jf. Ankenævnets afgørelser i sagerne 439/2022 og 504/2022.

Banken er heller ikke forpligtet til at godtgøre klageren betalingerne efter beta-lingslovens § 112 om visse godkendte betalinger, da bestemmelsen alene gælder ved køb af varer eller tjenesteydelser og ikke ved kontooverførsler.

Banken har desuden ikke begået ansvarspådragende fejl eller forsømmelser i forbindelse med spærringen af modtagerkontoen efter, at klageren kontaktede banken og gjorde opmærksom på, at han havde været udsat for svindel.

Banken spærrede modtagerkontoen umiddelbart efter telefonsamtalen med klageren 28. februar 2024 om aftenen, hvor den blev gjort bekendt med klagerens indsigelse mod betalingen. Det kan ikke bebrejdes banken, at der forløb ca. 14 minutter fra afslutningen af samtalen med klageren og til spærring af modtagerkontoen. Der skal i den forbindelse tages hensyn til, at banken skal gives en rimelig tid til at kontrollere klagerens oplysninger med henblik på sikring af grundlaget for spærringen af modtagerkontoen og i givet fald gennemføre de registreringer, der skal til for at modtagerkontoen spærres effektivt.

Der skulle i forbindelse med en spærring af modtagerkontoen foretages registreringer i flere systemer.

De to betalinger, der blev gennemført efter samtalen, men inden spærringen, blev desuden godkendt henholdsvis ca. seks og ni minutter efter afslutningen af samtalen med klageren, hvilket under alle omstændigheder måtte være en rimelig frist for banken til at efterprøve klagerens oplysninger, gennemføre de ovennævnte undersøgelser og foretage de systemmæssige spærringer.

Hvis Ankenævnet måtte vurdere, at 14 minutter var for lang tid til at undersøge grundlaget, så har dette ikke haft betydning for sagen, da betalingerne fra modtagerkontoen blev gennemført seks og ni minutter efter samtalen, hvilken under alle omstændigheder måtte være en rimelig frist/”ekspeditionstid” for banken til at undersøge grundlaget for den ikke vedkendte overførsel og spærring af modtagerkontoen.

Efter spærringen af modtagerkontoen var det ikke længere muligt for ejeren af modtagerkontoen at disponere over indeståendet på kontoen, og banken har dermed på dette tidspunkt ”begrænset skaden”.

Der lykkedes at sikre 37.627,37 kr., der var det beløb, der var i behold fra betalingen på det tidspunkt, hvor modtagerkontoen blev spærret. Banken har dermed gjort, hvad den med rimelighed kunne for at begrænse klagerens tab.

Banken hæfter ikke og er ikke erstatningsansvarlig for, at det resterende beløb ikke længere var i behold på modtagerkontoen.

Banken har ikke i øvrigt begået ansvarspådragende handlinger eller undladelser, der kan begrunde et erstatningsansvar.

Til støtte for afvisningspåstanden har banken anført, at der foreligger en sådan usikkerhed om det i sagen passerede, herunder indholdet af telefonsamtalen med banken i forbindelse med frigivelse af betalingen, at en afgørelse heraf forudsætter en bevisvurdering i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men må i givet fald finde sted ved domstolene. Sagen bør derfor afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren var kunde i Jyske Bank, hvor han havde en konto og netbankadgang.

Den 28. februar 2024 blev via klagerens netbank foretaget en overførsel på 69.346,37 kr. fra klagerens konto til tredjemands konto i Jyske Bank.

Om baggrunden for overførslen er det oplyst, at klageren den 28. februar 2024 blev ringet op af en person, der udgav sig for at være en medarbejder i Jyske Bank. Personen oplyste, at klagerens konto var ved at blive hacket, hvorfor klageren skulle overføre et større beløb til en sikkerhedskonto. Klageren overførte i den forbindelse det ovennævnte beløb til tredjemands konto i Jyske Bank.

Senere samme aften ca. kl. 20:28 kontaktede klageren banken telefonisk med henblik på at gøre indsigelse mod overførslen. Samtalen varede ifølge bankens
opkaldslog 7,17 minutter.

Banken spærrede modtagerkontoen kl. 20:50. Det lykkedes banken at sikre 37.627,37 kr., som den tilbageførte til klagerens konto.

Banken har oplyst, at overførslen blev godkendt med klagerens MitID. Som en yderligere sikkerhed blev forinden foretagelsen af overførslen sendt en SMS til klagerens telefonnummer. Det fremgår af bankens systemer, at klageren indtastede SMS-koden og godkendte betalingen.

Klageren har bestridt, at han har modtaget en SMS-kode fra banken

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug, herunder om der er tale om misbrug under sådanne omstændigheder, at klageren hæfter delvist for tabet, jf. betalingslovens § 100, stk. 4, eller hele tabet, jf. betalingslovens § 100, stk. 5. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse herunder i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.