Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagsnummer:42/2023
Dato:30-10-2023
Ankenævn:Henrik Waaben, Mette Lindekvist Højsgaard, Kritte Sand Nielsen, Jacob Ruben Hansen og Kim Korup Eriksen
Klageemne:Betalingstjenester - ikke-vedkendte hævninger
Netbank - øvrige spørgsmål
Ledetekst:Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med et bedragerisk telefonopkald.
Indklagede:Nordea Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med et bedragerisk telefonopkald.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor hun bl.a. havde en konto og netbankadgang.

Den 20. november 2022 blev klageren kontaktet telefonisk af en person, P, der udgav sig for at være fra Rigspolitiets IT-afdeling. P oplyste, at klagerens konto var blevet hacket, og at der var foretaget flere transaktioner fra kontoen. P bad klageren om at foretage nogle straksoverførsler.

Samme dag blev der foretaget tre netbankoverførsler på 40.189,52 kr., 42.059,11 kr. og 46.261,87 kr., i alt 128.510,50 kr. fra klagerens konto til tredjemands konti i to andre pengeinstitutter, P1 og P2, og i banken.

Banken har oplyst, at overførslerne blev foretaget af klageren selv via hendes netbank fra en IP-adresse og enhed, som hun har benyttet siden den 1. november 2021. Banken har endvidere oplyst, at overførslerne blev foretaget ved brug af klagerens MitID og godkendt med hendes MitID. Som en yderligere sikkerhed til frigivelse af overførslerne blev der sendt SMS’er til klagerens telefonnummer, til hvilke hun skulle svare ”JA”, hvis overførslerne skulle gennemføres.

Banken har fremlagt en log, hvoraf fremgår, at der forinden overførslerne blev sendt tre SMS’er med følgende tekst til klagerens telefonnummer:

”Bekræft overførsel af […] kr. til konto […]. Svar JA, hvis den skal gennemføres – NEJ, hvis den ikke skal gennemføres. Har du ikke selv oprettet betalingen kontakt Nordea 24/7 på 70334060. Venlig hilsen Nordea”

Af loggen fremgår, at SMS’erne blev godkendt med ”Ja”.

Banken har oplyst, at overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Banken har endvidere oplyst, at klageren den 21. november 2022 om morgenen kontaktede banken og gjorde indsigelse mod de tre overførsler. I den forbindelse blev klagerens MitID og netbank spærret.

Banken har endvidere oplyst, at den samme dag rettede henvendelse til P1 og P2 med anmodning om, at de overførte beløb blev tilbageholdt.

Ved en tro og love-erklæring af 21. november 2022 gjorde klageren over for banken indsigelse mod overførslerne. I indsigelsesblanketten havde klageren sat kryds ved teksten ”Jeg har selv foretaget de ovenstående transaktioner på baggrund af 3. mands urigtige oplysninger omkring formålet med overførslerne”. Klageren anførte endvidere under ”Hændelsesforløb”:

”Bliver ringet op af Poul Andersen, der oplyser, at han er fra Rigspolitiets it afd. – oplyser tjenestenr. K4769 – fortæller at en Jonas Jacobsen er ved at hacke min konto og overføre godt 52000 kr. til ham. Han oplyser endvidere, at han kan se, at jeg har været inde på min netbank kl. 13:05, 13:49, 14:10 og 15:00 samme dag, det har jeg ikke været. Desuden kan han se, at jeg har brugt godt 25000 kr. i en computerbutik på Frederiksberg. 39995 kr. i Jysk og godt 17.000 kr. i Elgiganten, hvad jeg ikke har. Han fortæller at Yoo see scanner nettet ud fra min IP kode og der er ikke noget galt.

Han snakker med Clara fra Nordea flere gange – siger at kontooplysninger er blevet lækket. Siger han har kontakt med Interpol.

Fortæller at de regner med at Jonas Jacobsen er ”stråmand” og at der står folk bag ham.

Han laver en aftale i Nordea Hillerød i dag 21/11 for mig kl. 15:30. Gir mig sag nr. 48-000638-09JKDJ-56 og policenr. til forsikring – nordea 8084793684489. Ber mig straksoverføre de beløb der er skrevet ned.

[…]”

Klageren har ligeledes anmeldt sagen til politiet.

Ved brev af 11. december 2022 afviste banken klagerens indsigelse. Endvidere anførte banken, at P1 ville tilbageføre 24.481,28 kr., samt at banken selv havde sikret 31.189,52 kr., der ville blive returneret til klagerens konto.

Klageren klagede til bankens kundeservicechef over afvisningen. Banken fastholdt afvisningen.

Ved brev af 23. december 2022 til klageren oplyste banken, at P2 ville tilbageføre 30.518,21 kr., som P2’s kunde ikke havde nået at bruge efter modtagelsen af overførslen fra klageren.

Klagerens tab udgjorde herefter 42.321,49 kr.

Parternes påstande

Den 14. januar 2023 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal betale 42.321,49 kr., subsidiært beløbet fratrukket 8.000 kr.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at hun blev bedraget og manipuleret til at foretage overførslerne på i alt 128.510,50 kr.

Banken burde kende hende som kunde og vide, at hun ikke foretager den slags overførsler.

Banken har et skærpet ansvar, da den ene af overførslerne var til en af bankens egne konti.

Hun undrer sig over, at banken tillader store overførsler på op til 500.000 kr. om dagen, når andre pengeinstitutter har et langt lavere maksimumbeløb. Andre pengeinstitutter har eksempelvis et maksimumbeløb på 25.000 kr.

Hun har overfor banken henvist til flere lignende sager.

Ovenstående punkter anførte hun i sin klage til banken, men bankens svar herpå var tyndt. Banken ignorerede punkterne og besvarede dem ikke. Det ligner, at banken dårligt nok har læst hendes klage. Hun tror, at svaret er et svar fra en skabelon, som banken giver til alle.

Hun fremsatte indsigelse mod overførslerne hurtigst muligt, og efterfølgende fik hun nogle af pengene tilbage og en afgørelse om, at det resterende beløb var tabt. I afgørelsen skrev banken "[P1] har accepteret tilbageførslerne af 24.481,28 kr., endvidere er der ligeledes sikret 31.189,52 kr. som vi sætter retur på din konto…" Dette svar er utilstrækkeligt, da der ikke var tale om det fulde beløb, og formuleringen er mangelfuld, da "endvidere er der ligeledes sikret" ikke fortæller, hvilken bank pengene kom fra.

Nordea Danmark har anført, at overførslerne på i alt 128.510,50 kr. er autoriserede overførsler.

Som klageren har bekræftet, er det klageren, der selv har foretaget de pågældende tre overførsler via sin netbank ved brug af sit MitID og har godkendt overførslerne med sit MitID på sin enhed. Overførslerne blev således gennemført ved stærk kundeautentifikation. Som en yderligere sikkerhedsforanstaltning bekræftes alle tre overførsler af klageren via SMS fra klagerens telefon.

Overførslerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Der er endvidere ikke tale om phishing i form af en uautoriseret overførsel ved tredjemands uberettigede anvendelse af netbank eller misbrug af MitID, idet klageren hverken udleverede MitID eller SMS-kode til svindleren, og denne person var ikke logget på klagerens netbank. Overførslerne skyldtes således ikke tredjemands misbrug af klagerens netbank eller MitID. Det forhold, at klageren var udsat for svindel af en kriminel til at foretage overførslerne, medfører ikke, at overførslerne kan anses som uautoriserede efter betalingsloven.

Klageren kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100, idet klageren selv har foretaget og godkendt overførslerne, og klageren hæfter derfor fuldt ud.

Sagerne, klageren henviser til i sin klage til bankens kundeservicechef, vedrører uautoriserede transaktioner, det vil sige, hvor kontohaver ikke selv har gennemført transaktionerne, hvorfor disse sager ikke er sammenlignelige med nærværende sag.

Betalingslovens § 112 finder ikke anvendelse i dette tilfælde, da klageren har foretaget overførslerne via sin netbank.

Banken har interne sikkerhedssystemer og kontroller til bekæmpelse af svindel og hvidvask, men af sikkerhedsmæssige årsager kan banken ikke oplyse nærmere herom.

Banken har tavshedspligt og må som hovedregel ikke videregive oplysninger om andre kunder i banken, medmindre den modtager en editionskendelse fra politiet.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor hun havde en konto og netbankadgang.

Den 20. november 2022 blev der fra klagerens konto foretaget tre overførsler til tredjemands konti, som i alt beløb sig til 128.510,50 kr.

Om baggrunden for overførslerne har klageren oplyst, at hun blev ringet op af en person, P, der udgav sig for at være fra Rigspolitiets IT-afdeling. P oplyste, at klagerens konto var blevet hacket, og at der var foretaget flere transaktioner fra kontoen. P bad klageren om at foretage nogle straksoverførsler.

Klageren har i sin indsigelse til banken erkendt at have foretaget overførslerne.

Det lykkedes banken at tilbageføre 86.189,01 kr. af klagerens tab fra modtagerpengeinstitutterne og banken selv, hvorefter tabet udgjorde 42.321,49 kr.

Tre medlemmer – Henrik Waaben, Mette Lindekvist Højsgaard og Kritte Sand Nielsen – udtaler:

Ud fra klagerens egne oplysninger om, at hun selv foretog overførslerne, finder vi, at transaktionerne blev autoriseret af klageren, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at hun blev narret og presset til at foretage transaktionerne i forbindelse med et bedragerisk telefonopkald.

Vi finder, at banken ikke på andet grundlag kan gøres ansvarlig for klagerens tab.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Jacob Ruben Hansen og Kim Korup Eriksen – udtaler:

Vi finder, at den manipulation, klageren er blevet udsat for, er at sidestille med en situation, hvor hun har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klageren har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktionerne, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klageren bør derfor alene hæfte med 8.000 kr., ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 34.321,49 kr. tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.