Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med et bedragerisk telefonopkald
| Sagsnummer: | 100/2023 |
| Dato: | 18-09-2023 |
| Ankenævn: | Henrik Waaben, Jimmy Bak, Karin Sønderbæk, Tina Thygesen og Poul Erik Jensen |
| Klageemne: |
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ubegrænset hæftelse Netbank - øvrige spørgsmål |
| Ledetekst: | Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med et bedragerisk telefonopkald |
| Indklagede: | Nordea Danmark |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører krav om tilbageførsel af en netbankoverførsel, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Sagens omstændigheder
Klageren var kunde i Nordea Danmark, hvor hun blandt andet havde konti -949 og -108 og adgang til netbank.
Den 17. oktober 2022 blev der foretaget fire overførsler på i alt 251.000 kr. fra klagerens konti -949 og -108 til modtagerkonti -975 og -507 i pengeinstitut P.
Banken har oplyst, at overførslerne blev godkendt med MitID og bekræftet via SMS.
Banken har fremlagt en transaktionsliste og en SMS-log over SMS-beskeder, der blev sendt til klagerens telefonnummer den 17. oktober 2022.
Følgende fremgår blandt andet af transaktionslisten:
”
|
session_id |
start_timestamp |
login |
transactions |
ip_address |
user_agent |
|
[…] |
|
|
|
|
|
|
[-BDC] |
17-10-2022 19:05 |
[-153/Login method:MitID] |
[-949 à -507] DKK 44000 |
[-.27] |
[…] |
|
[-FD4] |
17-10-2022 18:24 |
[-153/Login method:MitID] |
[-108 à -507] DKK 100000, [-949 à -975] DKK 50000 |
[-.27] |
[…] |
|
[-7BO] |
17-10-2022 16:03 |
[-153/Login method:MitID] |
[-949 à -975] DKK 57000 |
[-.27] |
[…] |
…”
Det fremgår af udskriften af SMS-loggen:
”Bekræft overførsel af [overførselsbeløb] til [modtagerkonto]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”.
Det fremgår herudover af SMS-loggen, at banken til hver overførsel modtog en SMS med indholdet:
”Ja”.
Herefter sendte banken til hver overførsel en SMS med indholdet:
”Overførsel på [overførselsbeløb] gennemføres. Venlig hilsen Nordea.”
Den 18. oktober 2022 gjorde klageren indsigelse mod transaktionerne overfor banken ved en tro og love-erklæring. Det fremgår blandt andet af denne:
”…
POLITI:
Er forholdet politi anmeldt? JA [X] NEJ []
[…]
Hændelsesforløb:
Giv en beskrivelse af hændelsesforløbet:
Jeg blev ringet op af en, som udgav sig som ansat i Nordea. Han sagde, at jeg var ved at blive hacket, og derfor ville han standse angrebet. Så bad han om en masse oplysninger om mine konti, som jeg gav ham.
Du skal krydse af på én af de 3 følgende scenarier:
[…]
[X] Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet med overførslerne.
…”
Den 30. oktober 2022 meddelte banken klageren, at den havde formået at få 21.898,28 kr. tilbagebetalt fra pengeinstitut P2, hvorefter dette beløb ville blive tilbagebetalt klageren. Banken afviste at tilbagebetale de resterende 229.101,72 kr., da klageren selv havde foretaget overførslerne.
Parternes påstande
Den 6. februar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbagebetale hende 221.101,72 kr., så hun alene hæfter med 8.000 kr.
Nordea Danmark, har nedlagt påstand om frifindelse.
Parternes argumenter
Klageren har anført, at hun erkender, at hun personligt ved brug af MitID og bankoverførsel efter telefonisk anvisning fra bedrageren har overført fire beløb og tømt sine konti. Banken har dog et medansvar herfor.
Banken har ikke oplyst hende om muligheden for at nedsætte bankens defaultværdi for størrelsen af daglige overførsler og har ikke automatisk begrænset defaultværdien af egen drift. Banken har ingen procedurer, der skaber kontakt til kunder med en høj alder for at anmode dem om at ændre deres defaultopsætning for, hvor stort et beløb, man kan overføre.
Banken har ikke en procedure, der forhindrer eller advarer om tømning af konti ved overførsel til andre pengeinstitutter eller procedurer for advarsel, når kunder tømmer deres konti med angivelse af bedragernes standardtest ”Ekstra konto”. Banken har heller ikke procedurer, der opfanger større systematiske overførsler på samme måde som andre banker, som pr. telefon kontakter deres kunder. Bankens interne og hemmelige sikkerhedssystemer, som banken påstår, den har, har ikke fundet anvendelse i hendes sag. Det er herudover uklart, hvor hurtigt banken har handlet efter overførslerne, og om et større beløb kunne have været sikret, hvis den havde handlet hurtigere.
Hun har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som også ældre forbrugere må forudsættes at anvende for at kunne fungere i samfundet. Det bør ikke have en afgørende betydning, om hun selv har gennemført transaktionerne, og hun bør derfor være beskyttet af den samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
Den manipulation, hun var udsat for, er at sidestille med en situation, hvor andre kunder har udleveret deres oplysninger, herunder MitID-oplysninger og SMS-koder, og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Retsstillingen er urimelig, hvis Ankenævnet ikke følger hendes indstilling. En mindre betydende divergens på hendes handlinger vil i så fald medføre uproportionale konsekvenser for hendes økonomi, når det, der grundlæggende er ens i begge situationer, netop er, at man er blevet udsat for manipulation og organiseret svindel uden for ens kontrol, og som man som forbruger skal være beskyttet imod som udtrykt i § 100 stk. 4. En analogi af denne bestemmelse er derfor relevant i denne sag.
Nordea Danmark har anført, at overførslerne på i alt 251.000 kr. er autoriserede overførsler.
Klageren har bekræftet, at det er hende selv, der selv har foretaget de pågældende fire overførsler via sin netbank ved brug af sit MitID og godkendt overførslerne med hendes MitID på hendes enhed. Overførslerne blev således gennemført ved stærk kundeautentifikation.
Som en yderligere sikkerhedsforanstaltning har klageren bekræftet alle fire overførsler via SMS fra klagerens telefon.
Overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
Der er endvidere ikke tale om phishing i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, idet klageren hverken udleverede MitID eller SMS-kode til svindleren, og denne person var ikke logget på klagerens netbank.
Overførslerne skyldtes således ikke tredjemands misbrug af klagerens netbank eller MitID. Det forhold, at klageren var udsat for svindel af en kriminel til at foretage overførslerne, medfører ikke, at overførslerne kan anses som uautoriserede efter betalingsloven.
Klageren kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100, idet klageren selv har foretaget og godkendt overførslerne, og klageren hæfter derfor fuldt ud.
Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren har foretaget overførslerne via sin netbank.
Banken har interne sikkerhedssystemer og kontroller til bekæmpelse af svindel og hvidvask, men af sikkerhedsmæssige årsager kan banken ikke oplyse nærmere herom.
Ankenævnets bemærkninger
Den 17. oktober 2022 blev klageren kontaktet telefonisk af en person, der udgav sig for at være ansat i Nordea Danmark. På personens foranledning foretog klageren selv fire netbankoverførsler på i alt 251.000 kr. til tredjemandskonti. Klageren har gjort indsigelse mod overførslerne. Hun har fået tilbageført i alt 21.898,28 kr.
Tre medlemmer – Henrik Waaben, Jimmy Bak og Karin Sønderbæk – udtaler:
Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at den omtvistede transaktion blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Vi finder således, at klageren i forhold til banken har afgivet en bindende viljeserklæring. Dette gælder, uanset at det må lægges til grund, at klageren blev narret og presset til at foretage den omtvistede transaktion i forbindelse med bedrageriske telefonopkald.
Vi finder ikke, at banken på andet grundlag kan gøres ansvarlig for klagerens tab.
Vi stemmer derfor for, at klageren ikke får medhold i klagen.
To medlemmer – Tina Thygesen og Poul Erik Jensen – udtaler:
Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor klageren har udleveret oplysninger, herunder NemID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.
Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.
I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.
Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.
Vi stemmer derfor for, at klageren skal have 221.101,72 kr. tilbage.
Der træffes afgørelse efter stemmeflertallet.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.