Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagsnummer:635/2023
Dato:25-09-2024
Ankenævn:Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen, Klaus Tougaard Kristensen, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne:Netbank - øvrige spørgsmål
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst:Krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.
Indklagede:Lån & Spar Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om tilbageførsel af netbankoverførsler, der blev foretaget i forbindelse med bedrageriske telefonopkald.

Sagens omstændigheder

Klagerne H og M var kunder i Lån & Spar Bank, hvor de havde indlånskonti, betalingskort og netbankadgang.

Klagerne, der er i sagen repræsenteret af et familiemedlem, har oplyst, at der fra den 29. maj 2023 kl. 16.08 til den 30. maj 2023 kl. 00.27 blev overført i alt 277.334 DKK fra M’s opsparingskonto -749 og lønkonto -706 i banken til tredjemands konti og i alt 343.536 DKK fra H’s opsparingskonto -730 og lønkonto -668 i banken til tredjemands konti:

 

Dato

Kl.

Fra M’s konti

Beløb, DKK

29-05-23

16.08

-749

70.480

29-05-23

16.25

-749

70.560

29-05-23

18.26

-749

35.669

29-05-23

21.28

-706

50.225

29-05-23

21.33

-749

50.400

I alt

 

 

277.334

 

Dato

Kl.

Fra H’s konti

Beløb, DKK

29-05-23

17.49

-730

50.550

29-05-23

18.07

-730

70.776

29-05-23

21.17

-668

60.750

29-05-23

22.55

-668

24.970

29-05-23

22.57

-730

70.990

29-05-23

23.20

-668

30.000

30-05-23

00.27

-668

35.500

I alt

 

 

343.536

Af en kontoudskrift fremgår endvidere, at der blev bogført en overførsel på 70.121 DKK på H’s konto -730 den 30. maj 2023. Der blev således foretaget i alt 13 overførsler på i alt 690.991 DKK fra klagernes konti i banken til tredjemands konti i perioden.

Banken har oplyst, at overførslerne blev gennemført ved, at H/klagerne loggede på netbank, indtastede overførselsoplysninger og benyttede deres personlige sikkerhedsforanstaltninger. Overførslerne blev desuden godkendt ved indtastning af SMS-engangskoder sendt til klagernes telefonnummer. Banken har fremlagt en udskrift fra sit system vedrørende 13 fremsendelser af engangskoder i perioden fra den 29. maj 2023 kl. 16.51 til den 30. maj 2023 kl. 00.26 samt en log vedrørende fremsendelse af SMS’er i forbindelse med overførslerne fra H’s konti og har oplyst, at indholdet af SMS-beskederne eksempelvis var:

”Her er din personlige engangskode, hvis du er ved at overføre 35.500,00 DKK: [talkode] Udlever ALDRIG koden til nogen. Er du ikke i gang med at overføre penge, så kontakt straks banken på 33782000 og spær dit MitID.”

Klagerne har oplyst, at de den 29. maj 2023 blev kontaktet telefonisk af en person, P1, der udgav sig for at være fra politiet, og som oplyste sags-, telefon- og politinummer. P1 oplyste, at der var ved at blive taget 78.000 DKK fra M’s konto i banken, og at det straks skulle stoppes. Beløbet svarede præcist til indeståendet på M’s lønkonto i banken. Derefter blev H kontaktet af en person, P2, der udgav sig for at være fra banken, og som bad H overføre penge fra sine og M’s konti til forskellige sikkerhedsdepoter, så pengene ikke blev hacket. Til sidst talte H med en tredje person, P3, som hun oplyste sine og M’s kortoplysninger til. H blev ringet op flere gange, og i alt strakte samtalerne sig over ca. ti timer.

Banken har oplyst, at klagerne ikke indgav skriftlig indsigelse vedrørende netbankoverførslerne, men at banken lavede et referat af en samtale, hvor H beskrev hændelsesbeløbet. Banken har fremlagt udklip fra sin log med sit referat fra samtalen:  

”Kunden blev ringet op i går d. 29/05-23 … Svindler fortæller han hedder Tobias og kommer fra politiets sikkerhedsafdeling. … Han fortæller at han kan se at det ser ud som om at der er ved at blive overført 78.000 fra kundens mand’s konto – og sikkert også fra hendes egen. …

”Tobias” fortæller, at han nu vil stille hende videre til Lån & Spars sikkerhedsafdeling, så vil de kunne hjælpe hende derfra. Kunden får så en Magnus …  i røret, som er fra LSB. … Han fortæller hende, at hun skal overføre pengene til nogle sikkerhedsdepoter og begynder at give hende konto og reg nummer. Svindler siger at han vil sende hende nogle SMS’er …, som hun skal bruge til at overføre. Hun modtager dem og gennemfører transaktionerne med MitID også.

Dette står på i flere timer … Da hun har overført en del fra sine egne konti, siger svindler at hun også skal logge på sin mands konto, da de også skal have sikret hans penge.

Hun logger derfor på med sin mands MitID, og starter forfra på hans konto.

Hun bliver herefter stillet videre til en anden LSB medarbejder …, der også skal bruge hedes kortnummer- Hun udleverer derfor både hende og hendes mands kortoplysninger. Herefter slutter samtalen. …”

Banken har oplyst, at det lykkedes at få tilbageført 108.804,80 DKK af de overførte beløb.

Klagerne indgav skriftlig indsigelse til banken vedrørende fire korttransaktioner med H’s betalingskort foretaget den 29. august 2023 på i alt 2.000 EUR. I indsigelsen svarede H ja til, at hun var blevet kontaktet telefonisk og bedt om at bekræfte/oplyse sit betalingskort eller sine personlige oplysninger. Banken godtgjorde klagerne tabet vedrørende korttransaktionerne med fradrag af 8.000 DKK.

Klagerne har fremlagt en lægeerklæring af 7. juni 2023, hvori det er anført, at H gennem de seneste måneder havde været gennem en meget stressende periode med en akut belastningsreaktion grundet M’s tiltagende demens og M’s hoftebrud. Den 20. juni 2023 blev en fremtidsfuldmagt fra M til H sat i værk.

Klagerne har endvidere fremlagt posteringsoversigter for deres konti i perioden fra den 1. januar 2018 til den 1. juni 2023.

Parternes påstande

Den 17. oktober 2023 har klagerne indbragt sagen for Ankenævnet med påstand om, at Lån & Spar Bank skal godtgøre dem det tabte beløb i forbindelse med svindlen, fratrukket en selvrisiko på 8.000 DKK.

Lån & Spar Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klagerne har blandt andet anført, der var tale om helt usædvanlige transaktioner, som banken burde have stoppet. Der blev i løbet af mindre end 12 timer overført samlet 690.991 DKK fra fire forskellige konti, som aldrig havde haft lignende aktivitet, hverken i frekvens eller størrelse. Alligevel var der ingen sikkerhedssystemer, der hejste et rødt flag, der forhindrede svindlere i at stjæle penge fra udsatte ældre.

Sagen rejser en række spørgsmål: Hvor er sikkerhedssystemerne? Hvorfor var der ingen røde flag, der blev hejst hos banken? Eller hos de modtagende pengeinstitutter.

Hvorfor har banken ikke IT-sikkerhedstjek på konti, hvor beløbsstørrelsen på en bankoverførsel er 11 gange større end historiske overførsler? Eller IT-sikkerhedstjek på konti, hvor der aldrig har været en udbetaling i kontoens levetid?

De har aldrig lavet transaktioner af denne størrelse. På H’s lønkonto var de største reelle transaktioner i perioden 1. januar 2018 til den 1. juni 2023 betaling af månedlig husleje på ca. 8.000 DKK, og der var ikke nogen overførsler på over 1.000 DKK i perioden. På M’s lønkonto var det største reelle beløb 4.640 DKK i perioden 1. januar 2018 til den 1. juni 2023. Det overførte beløb fra svindlen er dermed næsten 11 gange større, end hvad der var overført de sidste fem år og fem måneder på denne konto. Der har aldrig været en overførsel fra deres to opsparingskonti, der blev oprettet i juni 2021.

Banken har henvist til ordlyden i SMS-beskederne. H har ikke forbrudt sig overfor den nævnte tekst. Hun var netop i gang med at overføre 35.500 DKK H udleverede ikke koden til andre. Hun handlede i god tro hele vejen af frygt for at miste sine og M’s penge.

Der er SMS-koder og godkendelse med MitID. Banken oplyser desuden om IP-adresse tjek, men dette er ikke nok. Antallet af borgere i Danmark, der er svindlet på præcis samme måde som dem, er eksploderet. Så når banken siger, at der rent teknisk intet var, der tydede på, at der var tale om ”unormal adfærd” eller svindel”, så burde banken ”rent teknisk” benytte nogle stærkere sikkerhedssystemer.

Der har ikke været nogen forbrugerbeskyttelse. Alle borgere er tvunget til at være en del af den omfattende digitalisering, også den generation, som ikke er født og opvokset med det. Der må derfor også følge et ekstraordinært ansvar for bankerne overfor forbrugerne, som skal kunne stole på bankerne og føle sig trygge ved de nye digitale løsninger.

De blev snydt af professionelle organiserede svindlere. H’s sindstilstand og sårbarhed gjorde hende særligt sårbar. H var presset og i ubalance, da hun talte med svindlerne som følge af M’s sygdom. M havde gennem længere tid lidt af demens. I maj 2023 var M hospitalsindlagt med et hoftebrud. Under H’s telefonsamtale med svindlerne boede M på plejecenter. Senere i juni 2023 flyttede M på plejehjem efter plejecentrets vurdering.

Lån & Spar Bank har til støtte for frifindelsespåstanden blandt andet anført, at det er ubestridt i sagen, at klagerne selv foretog, iværksatte og godkendte overførslerne. Det har ikke i sagen været bestridt – hverken telefonisk eller skriftligt – at H selv har overført – både ved at logge på egen netbank og ved at logge på M’s netbank. Klagerne afgav ikke personlige oplysninger, og transaktionerne blev ikke foretaget af en uautoriseret tredjemand.

Betalingslovens § 100 finder ikke anvendelse, idet der ikke var tale om uautoriserede transaktioner. Klagerne foretog selv transaktionerne og havde til hensigt, at de skulle finde sted. Klagerne ville overføre deres egne penge, og banken er forpligtet til at stille denne overførselstjenesten til rådighed.

Overførslerne kunne kun gennemføres, såfremt SMS-koderne blev indtastet. Der blev indtastet SMS-koder tilsendt til klagernes telefonnummer, som længe havde været registreret som værende klagernes.

Transaktionerne skete fra samme IP-adresse og samme enhed som sædvanligt, med samme log-in metoder og ved brug af SMS-koder. Der var derfor IT-teknisk ikke noget, der indikerede, at klagerne ikke havde til hensigt at ville foretage transaktionerne, eller at en svindler skulle være på spil. Havde IP-adressen været anderledes end den plejede, ville bankens IT-leverandør formentlig have lukket netbanken med indikation om svindel.

Banken har løbende gjort meget for at oplyse sine kunder om de tendenser, der ses i form af svindel, blandt andet i flere kampagner i netbanken. Banken følger anbefalingerne fra diverse brancheorganisationer, herunder Finans Danmark, forbrugerorganisationerne m.fl. I 2020 afsagde Forbrugerombudsmanden en afgørelse om, at et pengeinstitut, der havde spærret netbanken for kunder over 70 år, ikke måtte diskriminere sine kunder på grund af alder. I sensommeren 2023 nedsatte banken grænsen for straksoverførsler til 50.000 DKK i døgnet for alle privatkunder på baggrund af opfordringer fra brancheorganisationer samt Erhvervsministeriet.

Ankenævnspraksis understøtter bankens afvisning af godtgørelse til klagerne.

Lån & Spar Bank har til støtte for afvisningspåstanden anført, at behandling af klagen forudsætter en yderligere bevisførelse i form af parts- og vidneafhøringer fra klagerne og eventuelle vidner under strafansvar. Dette kan ikke ske for Ankenævnet men må i givet fald finde sted ved domstolene, hvorfor sagen bør afvises, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klagerne H og M var kunder i Lån & Spar Bank, hvor de havde indlånskonti, betalingskort og netbankadgang.

Fra den 29. maj 2023 kl. 16.08 til den 30. maj 2023 kl. 00.27 blev der foretaget i alt 13 netbankoverførsler på i alt 690.991 DKK fra klagernes konti i banken til tredjemands konti (277.334 DKK fra M’s konti og 413.657 DKK fra H’s konti).

Det lykkedes banken at få 108.804,80 DKK fra det modtagende pengeinstitut. Klagernes tab vedrørende netbankoverførslerne udgør herefter 582.186,62 DKK.

Klagerne har oplyst, at de den 29. maj 2023 blev kontaktet telefonisk af en person, P1, der udgav sig for at være fra politiet, og som oplyste, at der var ved at blive taget 78.000 DKK fra M’s konto i banken. Derefter blev H kontaktet af en anden person, der udgav sig for at være fra banken, og som bad H overføre penge fra sine og M’s konti til forskellige sikkerhedsdepoter, så pengene ikke blev hacket. Til sidst talte H med en tredje person, som hun oplyste sine og M’s kortoplysninger til.

Banken har oplyst, at overførslerne blev gennemført ved, at H/klagerne loggede på netbank, indtastede overførselsoplysninger og benyttede deres personlige sikkerhedsforanstaltninger, og at overførslerne blev desuden godkendt ved indtastning af SMS-engangskoder sendt til klagernes telefonnummer.

Der blev endvidere den 29. maj 2023 foretaget korttransaktioner, som klagerne ikke kan vedkende sig.  Banken godtgjorde klagerne tabet vedrørende korttransaktionerne med fradrag af 8.000 DKK.

Klagerne har i sagen nedlagt påstand om, at banken skal godtgøre dem det tabte beløb i forbindelse med svindlen, fratrukket en selvrisiko på 8.000 DKK. Banken har godtgjort klagerne korttransaktionerne med fradrag af 8.000 DKK, og sagen angår derefter tabet i forbindelse med netbankoverførslerne.

Tre medlemmer – Helle Korsgaard Lund-Andersen, Jonas Thestrup Nielsen og Klaus Tougaard Kristensen – udtaler:

Vi finder, at det efter sagens oplysninger må lægges til grund, at klagerne selv foretog og godkendte overførslerne. Vi finder herefter, at transaktionerne blev autoriseret af klagerne, jf. herved betalingslovens § 82, og at der ikke foreligger et misbrug, som banken hæfter for, jf. betalingslovens § 100. Dette gælder, uanset at det må lægges til grund, at klagerne blev narret og presset til at foretage transaktionerne i forbindelse med bedrageriske telefonopkald.

Vi finder ikke, at banken på andet grundlag kan gøres ansvarlig for klagernes tab.

Vi stemmer derfor for, at klagerne ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:

Vi finder, at den manipulation, klagerne er blevet udsat for, er at sidestille med en situation, hvor klagerne har udleveret oplysninger, herunder MitID-oplysninger, SMS-koder mv., og hvor disse er blevet misbrugt til at gennemføre uautoriserede overførsler.

Klagerne har været udsat for organiseret svindel i forbindelse med brug af en betalingstjeneste, som forbrugere forudsættes at anvende for at kunne fungere i vores samfund. Det bør ikke have afgørende betydning, om forbrugeren selv har gennemført transaktioner, og forbrugeren bør derfor være beskyttet af samme beløbsmæssige grænse som i situationer omfattet af betalingslovens § 100, stk. 4.

I modsat fald ville der opnås en retsstilling for forbrugere, hvor en mindre betydende divergens på handlinger udført af forbrugeren har uproportionale konsekvenser for en forbrugers økonomi, når det, der grundlæggende er ens i begge situationer, netop er manipulation og organiseret svindel uden for forbrugerens kontrol, og som en forbruger netop skal være beskyttet imod som udtrykt i § 100, stk. 4, hvorfor en analogi af denne bestemmelse er relevant i nærværende sag.

Klagerne bør derfor alene hæfte med 8.000 DKK, ligesom i situationer omfattet af betalingslovens § 100, stk. 4. Vi stemmer derfor for, at banken skal godtgøre klagerne det tabte beløb i forbindelse med svindlen, fratrukket en selvrisiko på 8.000 DKK ligesom i situationer omfattet af betalingslovens § 100, stk. 4.

Vi stemmer derfor for, at klageren skal have 574.186,62 DKK tilbage.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Klagerne får ikke medhold i klagen.