Krav om erstatning begrundet i, at betalingstransaktioner ikke blev stoppet.

Sagsnummer:263/2019
Dato:26-06-2020
Ankenævn:Henrik Waaben, Anita Nedergaard, Kristian Ingemann Pe-tersen, Ida Marie Moesby, Finn Borgquist
Klageemne:Betalingstjenester - øvrige spørgsmål
Ledetekst:Krav om erstatning begrundet i, at betalingstransaktioner ikke blev stoppet.
Indklagede:Fynske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører et erstatningskrav begrundet i, at betalingstransaktioner ikke blev stoppet.

Sagens omstændigheder

Klageren var kunde i Fynske Bank, hvor hun havde et Visa-/dankort i tilknytning til en konto nr. -285 og et Mastercard i tilknytning til en konto nr. -319.

Klageren havde endvidere en opsparingskonto nr. -277. Den 30. august 2018 blev der via Netbank foretaget fire overførsler, hvorved i alt 51.500 kr. blev overført fra opsparingskonto -277 til Visa-/dankortkonto -285.

I perioden torsdag den 30. august 2018 - søndag den 2. september 2018 blev der foretaget yderligere tre overførsler mellem klagerens konti. I samme periode blev der ifølge en opgørelse, som banken har udarbejdet, med klagerens kort foretaget 19 betalingstransaktioner vedrørende køb i fysiske butikker i Danmark for i alt 81.246,70 kr. og ti betalingstransaktioner vedrørende køb via internettet for i alt 51.988,63 kr., i alt 133.235,33 kr.

Visa-/dankortet blev søndag den 2. september 2018 kl. 12.15 spærret af Nets på grund af formodet misbrug. Samme dag kl. 17.36 blev Mastercardet spærret af klageren.

Kl. 02.19 natten til mandag den 3. september 2018 sendte klageren følgende e-mail til banken:

”…

Emne: Møde mandag d. 03/09 kl 10

Hej […],

Jeg har været udsat for phishing de seneste dage. Jeg har spærret alle kort og NemID, men der er hævet en del penge på min kontoer og der ligger uekspederede køb af Bitcoin, som jeg ikke har bestilt.

Jeg har muligvis også været udsat for identitetstyveri.

Min papfar og jeg kommer på besøg i banken mandag kl 10 med henblik på at få afklaret overstående. Indtil da vil jeg bede dig afvise alle henvendelser herunder køb af Bitcoin.

Hvis du har spørgsmål inden da er du velkommen til at kontakte mig på telefonen.

…”

Ved bankens åbningstid den 3. september 2018 blev der afholdt et møde mellem parterne.

Banken har oplyst, at den ved en mail til klageren den 4. september 2018 kl. 15.23 bekræftede modtagelsen af klagerens indsigelser og opfordrede hende til at sende en kopi af anmeldelse samt politirapport. 3D-Secure betalingerne vil blive misbrugsrapporteret men kunne ikke godtgøres, idet klageren selv havde godkendt betalingerne via SMS på telefon. E-mailen er ikke fremlagt i sagen.

Samme dag, den 4. september 2018 blev der tilbageført 26.000 kr. af en betalingstransaktion på 30.000 kr. vedrørende et køb i en fysisk butik i Danmark og én betalingstransaktion på 10.606,32 kr. vedrørende et køb via internettet. Banken har herefter opgjort klagerens tab til 96.629,01 kr. (133.235,33 kr. - 26.000 kr. - 10.606,32 kr. = 96.629,01 kr.).

Ligeledes den 4. september 2018 anmeldte klageren sagen til politiet. I anmeldelsen anførte klageren blandt andet:

”…

Jeg er blevet franarret personlige oplysninger, som efterfølgende er blevet brugt til at bedrage mig for 192.738,58 kr. Bedrageriet er foregået på to måder.

Generelt

Jeg blev torsdag, den 30. august 2018 kontaktet telefonisk af en engelsktalende person fra telefonnummer […] og dernæst nummer […], der oplyste at komme fra Microsoft. Jeg fik oplyst, at der var konstateret hackerangreb på min computer, og man behøvede en række personlige oplysninger for at stoppe hackerangrebet. Oplysningerne vedrørte pas og kørekort, samt koder til bank og e-mailkonto.

Bedrageri 1 – 82.026,70 kr.

Jeg blev oplyst om, at man ville lægge en fælde for hackerne, og til det skulle de bruge gavekort til iTune. Jeg har jf. bilag 1 hævet 82.026,70 kr. til køb af disse gavekort, hvor jeg efterfølgende har sendt billeder af koderne til […]@mail.com. Dette er sket fra torsdag, den 30. august 2018 til søndag, den 2. september 2018.

Nogle af billederne har de slettet fra min e-mailkonto, men jeg vedlægger som bilag 2 en rekonstruktion af et af billederne med koder. Hvis alle ønskes fremsendt, har jeg resten liggende.

Jeg har via Apple fået spærret gavekort for 2.500 kr., mens de resterende forventes at være hævet. Jeg kan ikke gennemskue, hvordan gavekortene er hævet og om hævningerne har sat elektroniske spor.

Der er ligeledes foretaget overførsler mellem mine konti, som jeg ikke har foretaget, jf. ligeledes bilag 3.

Bedrageri 2 – 110.708,88 kr.

Der er blevet købt bitcoins fra min bankkonto. Beløbet er pt. opgjort til 110.708,88 kr., jf. bilag 3.

Jf. samme bilag er betalinger for 28.070,00 kr. efterfølgende slettet af betalingsformidleren, efter at vi har rettet henvendelse til dem.

Af de resterende 82.638,88 kr. er der 03-09-2018 hævet 2 beløb af 3.368,34 kr., og jeg har fået sms-beskeder om, at der er hævninger for yderligere 75.902,20 kr. på vej i perioden frem til 3. oktober 2018.

Bitcoin er købt via [C], som jeg har kontaktet 03-09-2018 mhp. at få stoppet alle transaktioner også fremtidige, lukke engagementet samt få tilbageført allerede indbetalte beløb.

De har brugt banken Western Union, som har oprettet en bedragerisag, jf. bilag 4.

[C] oplyser, at de alene vil samarbejde med politimyndigheder jf. bilag 5. Jeg beder derfor politiet være behjælpelig med at kontakte dem igen, med henblik på at få stoppet den igangværende økonomiske kriminalitet.

På møde med min bank, Fynske Bank, Odense, mandag, den 3. september 2018, har jeg fået oplyst, at de ikke kan stoppe betalingerne, og at fremgangsmåden er, at betalingerne må køre igennem, og at jeg så senere kan gøre indsigelser. Jeg er frustreret over ikke at kunne stoppe igangværende økonomisk kriminalitet, når jeg kan identificere, hvilke betalinger, der vil komme, og jeg hører gerne om politiet kan være behjælpelig med at stoppe disse ventede overførsler af penge.

Jeg ved ikke hvor jeg ellers skal henvende mig for at få stoppet igangværende økonomisk kriminalitet.

Handlinger for at stoppe/reducere skaden

Jeg har søndag, den 2. september 2018 spærret mine kreditkort og min NemID, og ændret password på min e-mail og sociale medier.

Jeg har jf. ovenfor kontaktet Apple for at få stoppet iTune gavekortene.

Jeg har fået genskabt de mails, som svindlerne har slettet på min computer. Det er mails som de har sendt i mit navn. Jeg har skrevet til alle Bitcoin-firmaerne og bedt dem stoppe betalingerne.

…”

Den 4. juli 2019 indgav klageren en klage over Fynske Bank til Ankenævnet med krav om en erstatning på 63.440,61 kr. med tillæg af renter. Beløbet udgjorde ifølge klagerens opgørelse summen af 25 transaktioner, som på klagerens kontoudskrifter var dateret den 3. september 2019 eller senere, og som ikke var tilbageført. Ni af transaktionerne, svarende til 41.414,61 kr., vedrørte køb via internettet, og de resterende 16 transaktioner, svarende til 22.206 kr., vedrørte køb i fysiske butikker.    

Parternes påstande

Klageren har nedlagt påstand om, at Fynske Bank skal betale 63.440,61 kr. med tillæg af renter.

Fynske Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.

Parternes argumenter

Klageren har anført, at banken ved at undlade at hindre, stoppe eller på anden måde modvirke gennemførsel af ventende betalinger initieret via bedrageri af tredjemand har påført hende et tab på 41.414,61 kr. Dette skete på trods af opfordringer fra hende til at handle og på trods af viden om, at de pågældende ventende betalinger var initieret via bedrageri. Banken bør derfor erstatte det tabte beløb og tilbageføre den tilhørende rentetilskrivning.

Hun blev franarret personlige oplysninger, som efterfølgende blev brugt til bedrageri for 192.735,58 kr., jf. politianmeldelsen. Hun blev således torsdag, den 30. august 2018 kontaktet telefonisk af en engelsktalende person, der oplyste at komme fra Microsoft. Personen oplyste, at der var konstateret hackerangreb på hendes computer, og at man behøvede en række personlige oplysninger for at stoppe hackerangrebet. Oplysningerne vedrørte pas og kørekort, samt koder til bank og e-mailkonto. Bedragerne brugte disse oplysninger til køb af bitcoins fra hendes konti i banken.

Der var tale om særdeles professionelle bedragere, som gennem trusler om cyber­angreb m.m. formåede hende til at udlevere oplysninger. Hun har ikke handlet groft uagtsomt.

Sent søndag, den 2. september 2018 blev hun klar over at være blevet bedraget, og spærrede derfor sine betalingskort, og orienterede banken pr. mail.

På mødet mandag den 3. september 2018 ved bankens åbningstid orienterede hun banken om hændelsesforløbet og herunder, at der forventedes konkrete og identificerede hævninger for 110.708,88 kr. som følge af bedrageriet. På samme møde blev banken bedt om at medvirke til, at disse betalinger ikke blev gennemført.

Ifølge banken kunne man ikke sådan stoppe planlagte betalinger og hævninger. Fremgangsmåden var, at betalingerne måtte køre igennem, og at hun herefter kunne gøre indsigelse.

Andre pengeinstitutter har via deres respektive sikkerhedsafdelinger oplyst over for hende, at transaktionerne kunne have været stoppet ved en henvendelse til Nets. Banken kunne således have hindret gennemførsel af betalingerne ved henvendelse til Nets. Banken var klar over, at der var tale om bedrageri, og det eneste rigtige havde derfor været at stoppe alle planlagte betalinger. Ved at undlade dette har banken ikke handlet i overensstemmelse med god skik og har samtidig medvirket til at påføre hende tab.

Banken har under sagen oplyst, at den kontaktede Nets og anmodede om at få stoppet alle transaktioner, men banken har ikke dokumenteret dette.

Tabet medførte overtræk, selvom det ikke burde have været muligt at overtrække. Banken burde have stoppet transaktioner ud over kreditmaksimum. Der var endvidere en maksimumsgrænse på 10.000 kr. pr. transaktion, som ikke blev overholdt.

Transaktionerne mellem hendes konti må formodes at være sket for netop at kunne hæve/trække beløb fra de omhandlede konti. Det er ikke hende men tredjemand, der har gjort det.

Fynske Bank har til støtte for afvisningspåstanden anført, at en fastlæggelse af sagens faktum vil kræve en bevisførelse, der ikke kan finde sted i Ankenævnet.

Til støtte for frifindelsespåstanden har Fynske Bank anført, at klageren ikke har lidt et tab, som banken kan tilpligtes at erstatte.

Overførslerne mellem klagerens konti har ikke i sig selv medført tab for klageren.

Banken kunne ikke have handlet anderledes med henblik på at stoppe transaktionerne.

Klageren burde have foranlediget sine kort, Nem-ID og netbank spærret tidligere end sket.

Allerede torsdag den 30. august 2018 blev der foretaget usædvanlige transaktioner. Alligevel fortsatte klageren med adskillige køb af I-tunes kort samt køb af virtuel valuta. Først den 2. september 2018 spærrede klageren kort og Nem-ID, og først natten til den 3. september 2018 kontaktede hun banken. Som følge heraf var det ikke muligt, at stoppe transaktionerne, da disse allerede var godkendt og blot afventede clearing. Trækkene på kontiene skete på transaktionstidspunkterne.

Ved transaktionerne vedrørende køb af Bitcoins, blev der anvendt 3D-secure, og klageren anvendte selv de koder, der i den forbindelse blev sendt til hendes telefonnummer, til at godkende transaktionerne – bortset fra transaktionen på 10.606,32 kr., som blev tilbageført. Da klageren selv har modtaget 3D-securekoderne, og anvendt disse til godkendelse af transaktionerne, kan banken ikke gøres erstatningsansvarlig for disse.

Overførslerne mellem klagerens konti medførte, at der var dækning for købene på transaktionstidspunkterne.

Det oplyses, at transaktioner mellem konti ikke er udført af klager, men derimod af nogle hackere. Banken har ikke modtaget oplysninger om, hvordan dette er foregået, og er ikke på anden måde blevet adviseret om, at klagers netbank har været hacket.

De interne overførsler har ikke i sig selv har medført tab for klager. Der er derfor ikke opstået et selvstændigt erstatningsberettiget tab herved, og banken afviser kravet.

Banken kunne ikke have handlet anderledes med henblik på at stoppe transaktionerne. Banken kan hverken be- eller afkræfte det af klageren anførte om, at andre pengeinstitutter har henvist til, hvordan de ville kunne forhindre gennemførelse af betalinger, idet det er bankens opfattelse, at det ud fra de givne omstændigheder ikke har været muligt, og at alle muligheder er undersøgt, herunder kontakt til Nets.

Ankenævnets bemærkninger

Den 3. september 2018 gjorde klageren indsigelse over for Fynske Bank mod transaktioner i hendes netbank og med hendes Visa-/dankort og Mastercard.

Netbanktransaktionerne var overførsler af midler mellem klagerens konti i banken. Korttransaktionerne vedrørte køb i fysiske butikker og køb via internettet.

Ankenævnet finder, at det som anført af banken må lægges til grund, at det på indsigelsestidspunktet den 3. september 2018 ikke var muligt at tilbageføre eller annullere de af klageren anførte transaktioner, opgjort til i alt 63.440,61 kr. Ankenævnet finder herefter, at banken ikke kan pålægges et erstatningsansvar som følge af, at transaktionerne ikke blev stoppet.

Det lægges til grund, at transaktionerne med klagerens Visa-/dankort og Mastercard er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Transaktioner, der er gennemført med 3D-secure, kan således efter omstændighederne ske ved andres uberettigede anvendelse af et betalingsinstrument.

Ankenævnet finder, at klageren hæfter for de transaktioner, som hun efter det oplyste selv foretog i fysiske butikker.

Ankenævnet finder, at en afgørelse af, om de øvrige transaktioner med klagerens Visa-/dankort og Mastercard skete ved andres uberettigede anvendelse af kortene, og i så fald om klagerens hæftelse for transaktionerne er begrænset til 375 kr. eller 8.000 kr. af tabet, jf. betalingslovens § 100, stk. 3 og 4, ville forudsætte en bevisførelse, herunder i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor denne del af klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.