Krav om tilbageførsel af konto-til-konto-overførsler til pengeinstitutter og kortbetalinger til udenlandske firmaer med henblik på investering i bitcoin. Indsigelse om svindel. Spørgsmål om tredjemandsmisbrug. 13 måneders frist.

Sagsnummer:430/2021
Dato:16-06-2022
Ankenævn:Bo Østergaard, Jesper Claus Christensen, Karin Sønderbæk, Jacob Ruben Hansen, Kim Korup Eriksen.
Klageemne:Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - fjernsalgstransaktioner
Netbank - øvrige spørgsmål
Ledetekst:Krav om tilbageførsel af konto-til-konto-overførsler til pengeinstitutter og kortbetalinger til udenlandske firmaer med henblik på investering i bitcoin. Indsigelse om svindel. Spørgsmål om tredjemandsmisbrug. 13 måneders frist.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Denne sag vedrører krav om tilbageførsel af konto-til-konto-overførsler til pengeinstitutter og kortbetalinger til udenlandske firmaer med henblik på investering i bitcoin. Indsigelse om svindel.

Sagens omstændigheder

Klageren var kunde i Danske Bank, hvor hun havde nogle konti, hvortil der var knyttet betalingskort.

Den 2. marts 2020 gjorde klageren over for banken indsigelse mod en kort­transaktion den 28. februar 2020 på 250 EUR, svarende til 1.896,52 kroner. Betalingsmodtageren var et udenlandsk firma, A. Klageren anførte blandt andet, at transaktionen vedrørte bitcoin svindel, og at hun havde brugt sin lovbestemte fortrydelsesret og annulleret handlen. Banken har fremlagt en udskrift og har oplyst, at den viser, at transaktionen blev gennemført med 3D-Secure.

Ved mail af 9. marts 2020 afviste banken indsigelsen og henviste klageren til at kontakte firma A.

Den 25. november 2020 gjorde klageren over for banken indsigelse mod en korttransaktion samme dag på 500 EUR, svarende til 3.780,60 kroner. Betalingsmodtageren var et udenlandsk firma, B. Klageren anførte, at hun ikke havde foretaget transaktionen.

Den 26. november 2020 gjorde klageren over for banken indsigelse mod to korttransaktioner den 24. november 2020 på hver 4.500 kroner. Betalingsmodtageren var et udenlandsk firma, C. Klageren anførte, at hun ikke havde foretaget transaktionerne.

Banken har fremlagt udskrifter og har oplyst, at de viser, at transaktionerne den 24. og 25. november 2020, i alt 12.780,60 kroner (3.780,60+4.500+4.500=12.780,60) blev gennemført med 3D-Secure og autoriseret med NemID fra en IP-adresse, som var klagerens næstmest brugte. Transaktionen til firma B blev accepteret ved en besked i NemID-appen. Transaktionerne til firma C blev autoriseret via en Mac-enhed, svarende til en af de ”user agents”, som klageren oftest brugte.

Under sagen i Ankenævnet har banken fremlagt mailkorrespondance mellem parterne i perioden 27. november 2020 - 13. januar 2021. Den 13. januar 2021 skrev banken følgende til klageren:

”…

Vi har gennemgået dine sager, og på baggrund af nedenstående oplysninger, fastholder vi vores afvisninger:

  • Vi gør dig opmærksom på at du er udsat for svindel den 29.09.2020, da du forsøger at overføre 33.000 kr. til [firma C] via din netbank. Vi stopper overførslen og pengene kommer tilbage til din konto. Du accepterer, men siger, at du vil finde en anden bank der vil lade dig lave disse overførsler.
  • Du har oplyst, at du er blevet kontaktet af en person som ville hjælpe dig med køb af bitcoins, cryptovaluta, investering m.m. og du gav personen fjernadgang til din ipad.
  • Du vælger den 24.11.2020 og 25.11.2020 at gennemføre 3 betalinger på tre forskellige kort, velvidende om at du tidligere er gjort opmærksom på svindel.
  • Alle 3 beløb er overført via en betalingsformidler, og servicen udført. Du skal derfor kontakte [firma B og firma C] og gøre indsigelse hos dem.

…”

Den 16. september 2021 gjorde klageren over for banken indsigelse mod 14 transaktioner i perioden 27. marts - 8. december 2020, svarende til i alt 807.304,85 kroner. Heraf var en transaktion på 101.798 kroner en konto-til-konto-overførsel til pengeinstituttet D, og to transaktioner på henholdsvis 50.050 kroner og 20.050 kroner var konto-til-konto-overførsler til pengeinstituttet E. De resterende 11 transaktioner var ni korttransaktioner svarende til i alt 620.342,81 kroner til firma A og to korttransaktioner svarende til i alt 15.100,04 kroner til firma B. Klageren anførte, at hun ikke havde foretaget transaktionerne, at hun havde anmeldt sagen til politiet, og at hun tidligere havde gjort indsigelse, men mødt modstand i banken. Klageren anførte endvidere blandt andet.

”…

Som jeg tidligere har oplyst, har mine kort ikke været væk fra mig og heller ikke mit Nem-ID – MEN ikke desto mindre kan jeg se i det indblik jeg fik sammen med min rådgiver i DB, at kortene er brugt i forskellige hæveautomater i udlandet og i butikker. Jeg forstår ikke, hvorfor dette ikke blev undersøgt, da jeg indgav indsigelse de første gange, men bare fik det svar, at de ikke troede på, at jeg ikke havde givet kortoplysninger videre.

Der er lavet falske kort i mit navn, og jeg aner ikke hvordan sådan noget går til – og heller ikke hvordan transaktionerne er godkendt med mit NEM id.

Jeg har ikke på noget tidspunkt oplyst kortnr., udløbsdato og år samt sikkerhedskode. Jeg har ikke på noget tidspunkt selv godkendt de transaktioner med NEM ID. ...”

Banken har fremlagt udskrifter og har oplyst, at de viser, at alle korttransaktionerne blev gennemført med 3D-Secure. De to transaktioner til firma B blev autoriseret med klagerens telefonnummer med SMS-kode. Autorisationerne skete fra en IP-adresse, der var klagerens ottende mest brugte, og via en Mac-enhed, svarende til en af de ”user agents”, som klageren oftest brugte.

Banken har oplyst, at konto-til-konto transaktionerne ikke blev udtaget til kontrol af banken, fordi der ikke var noget, der tydede på, at klageren ikke selv foretog dem. Det fremgår af bankens systemer, at transaktionerne blev udført fra en af de browsere og IP-adresser, som klageren oftest anvendte. Banken behandlede derfor konto-til-konto-indsigelserne som et ønske om tilbageførelse frem for egentligt tredjemandsmisbrug.

Ved mail af 23. september 2021 til klageren anførte banken blandt andet:

”…

Vi har tidligere undersøgt omstændighederne omkring disse transaktioner.

Der er ikke tale om et kopieret/falske kort brugt i udlandet. Hævningerne er ikke foretaget i udenlandske automater og butikker.
Der er tale om internet transaktioner, gennemført med brug af dit Nem Id og med brug af sms/password, sendt til dit mobil nr.

Forretningskoden er den samme som en automat (ATM) men det betyder ikke at der er tale om fysiske hæveautomater.

Vi fastholder vores afvisning, og henviser til at du afventer politiets efterforskning af sagen, og gør dit krav gældende af den vej.

…”

Ved mail til banken samme dag svarede klageren:

”I har ikke prøvet at få pengene retur
Jeg har IKKE GODKENDT MED NEM ID
Hvis I fastholder jeres påstand har I ikke undersøgt sagen grundigt nok”

Den 14. oktober 2021 anførte banken følgende i en mail til klageren:

”…

Efter anmodning har vi forsøgt at få dine betalinger retur fra modtager
Det drejer sig om;

101.798,00 kr. fra 08.12.2020
50.050,00 kr. fra 31.08.2020
20.050,00 kr. fra 12.08.2020

Det har desværre ikke været muligt for os at få beløbet retur fra modtagerbanken.

…”

Klageren har under sagen i Ankenævnet fremlagt et dokument, som, klageren har oplyst, er udarbejdet af en finansiel konsulent/rådgiver. Af dokumentet fremgår blandt andet:

”…

I, [klageren], was defrauded into sending my money from your bank account (Danske bank of Denmark) to a service of exchange cryptocurrency account ([fima F og firma B], next, - exchangers) and later on a fraudulent company. Since I have already been in contact with exchangers and having received an unsatisfactory response from them, having realized that these companies engaged in money laundering and fraudulent activities, and is also limited and described by many countries as undesirable and dangerous, I want to start the process of returning money according to such explanation below and such legislation (listed below).

Your bank structure gave me the answer on my legal request in which you noted that these are "Internet Private and Confidential transactions performed using your Easy Id and SMS / password sent to your mobile number", but the biggest problem is that I didn't receive anything, no transaction authentication, and everything that was sent was without SMS confirmation, easy Id or other transaction authentication methods. Thus, starting from the above, I want to provide you with information that either an error occurred in your system and I did not receive anything in order to confirm the transactions, or this information did not reach me, or these transactions were made without my full agreement. Also, I would notice that in I started getting warnings only at the end of all fraudulent activity, just after you pointed out to me that it could be a fraud.

Therefore, it is impossible to find complete and exhaustive facts that it was I, who did the transactions, and that you either stopped the transactions, or somehow tried to secure me in the same way as your bank started doing at the end. In accordance to the rules of banking law and banking practice, the most important thing is to provide the necessary verification procedures, mainly for the first suspicious transaction to one address. Since I was aware of this procedure only after this crime, I had no opportunity to influence and prevent it. But as far as I know at the moment, the necessary procedures to prevent fraudulent activity did not occur at the beginning, even though it was obvious that these transactions are not comparable to ordinary transactions. It is also worth to mention that it was not difficult for the bank to check a large array of transactions that were directed to a company (service representative), that are crypto exchangers, and on the other hand, here you can give a sufficient number of necessary explanations to show how erroneous those transactions were, and that I, as a client of your bank, was simply deceived. Based on all the facts, the crypto currency market, its exchange, the so-called ICO rules are unregulated in the European Economic Area. In order to conduct the official presentation of financial services, the company must be fully registered and its office must be located on the territory of the state, the population of which it provides the service.

According to Directive 2007/64/EC on payment services in the internal market (PSD) and Directive 2008/48/EC on credit agreements for consumers (CCD) form the main legal bases to request a chargeback in the cases in which the trader does not respect the consumers’ rights.

According to these rules, it is possible to try to explain my problem by the fact that the trader or the representative of services, who promised me that I, as an honest citizen, agree to engage in trading, in conclusion, was defrauded and my rights were not respected and the money was stolen. But the more important part is to compare it to who I report or suspect, that is, the service representing the exchange of crypto currencies, as no action has been taken on its part regarding the prevention of this crime. Nor has there been any reaction since the crime was committed. In doing so, it is possible to speculate that this platform also violated the rules of its privacy policy and my civil rights by failing to prevent a fraudulent crime against my funds.

But I would also like to make it clear to you that according to my inexperience and acknowledge about such part of the financial field of Denmark and European Economy Area, that I would like to know what grounds you had to send a transaction without hindrance on such a very questionable platform, which, moreover, has no basis on the territory of the European Union. Is it not prohibited to send money to companies that may indirectly or directly support and be part of or serve as intermediaries for fraudsters, terrorists, and parts of the drug trade? If your bank could have known that this act could be a fraud, and you’re using my money in the bank as if it were your own banks (according to rules of banking), why are you without informing me that it could be a fraud, whether there are any mechanisms to protect or check the recipient, or do transactions leave without any verification?

Since Denmark is a member of the European Economic Area, we have the opportunity to highlight the directives above and others, to clarify that in order to legally implement financial law. The company should be regulated and have an office on the territory of the country in which it provides financial services. Based on the facts that I have so far, I would like to expose the issue. Firstly, it is worth pointing out that these cryptocompanies are on different sides of the legal field of this issue. Disclosing this, it can be stressed that [Firma F] is a company that is registered in the UK. And [Firma B] is a company that is registered in Denmark.

So, according to my transaction history, I did the transactions just after the UK left the European Union. And according to the Directive of the European Union Parliament, 2014/65/UE of 15 May 2014 concerning the markets of financial instruments, a company that provides financial services in the territory without proper registration at least in one of the states of the European Union is not allowed to provide financial services to citizens of EU member states. Consequently, the activity and interaction of the bank in sending money to the crypto exchange [firma F] is not legalized and therefore, these transactions must be challenged. On the other hand, the crypto currency exchanger [firma B], which is part of the Danish financial environment, is obliged to provide its customers with all services under European Union law, Danish financial law and Danish law. Thus, the company has provided me with services, through which I have been defrauded by fraudsters who have stolen my assets (crypto currency) under false pretences and fraudulent activities. Thus, I would like to state that the company has in no way informed me that the transactions in question might not be fraudulent, nor has it blocked them or prevented the fraud. Also, I would like to clarify the fact that Luno is not responsible for any losses resulting from such accidental or fraudulent transactions. This can only mean that the company is a vital link in the fraud, as it hides fraudsters by not preventing fraudulent transactions, by not checking its clients for the subject of fraud, and by indicating that the blame for fraudulent transactions rests with the sender of the transaction.

Thereby referring to the fact that the client of this company will not be helped in case of fraud, that this company is not against fraudulent activity, and is not aimed at making its site safer. All the statements in their Terms of Use look very suspicious. It clearly states that the client is in no way protected from anything. The likely fraudulent influences are mentioned. It is clear from this agreement that even if this company is regulated, the activity on this website can be considered suspicious. Firstly, it is noted that crypto currency is not regulated by anyone and it is stated that the client can invest the money they are willing to lose. Thus, it is the most direct assumption that all the transactions that are sent there from the bank may be just to make it easier for fraudsters to launder these funds. And according to this information, the fact that the bank has sent my funds to this company is a very risky move, and that I have not received a single warning about these transactions, nor a single explanation that they might be fraudulent transactions. Only the most recent transactions have been stopped.

Based on the concept of what money laundering is, namely, the transfer of money emission from the shadow, informal economy to the official economy in order to be able to use these funds openly and publicly. It is on this basis that I declare that this company is an important part of the fraudulent system, part of the "legal" money laundering system.

Concerning my lack of knowledge of the financial environment and the pressure of the fraudsters, I have not had the opportunity to fully examine the companies I have used. All that remains to add, that they provide services to an illegal and unregulated ICO, thereby removing this money issue from the financial field of the state and ceasing to be taxed. Moreover, it can be used in fraudulent schemes, purposes, and dangerous organizations.

According to the practice of the ECtHR of 22 January 2013 in the C-283/11 Sky Österreich GmbH v Österreichischer Rundfunk case, the cryptocurrency can be defined as property (or in the opinion of the ECB the object of exchange), the investigative, the company that stole my currency, and [firma B og firma F], that did not oppose this crime, are guilty of a crime against my property. According to the Denmark Criminal Code Order No. 909 of September 27, 2005, as amended by Act Nos. 1389 and 1400 of December 21, 2005, people that defrauded me and crypto exchangers could be involved in my case in accordance to listed below paragraphs, - § 278 (1) “appropriates any tangible object belonging to any other person and which is in his custody”, it concerns only fraudulent company GiroFx according to my case. § 279 “Any person who, to obtain for himself or others an unlawful gain, by unlawfully bringing about, corroborating or exploiting a delusion, induces any person to do or omit to do any act which involves the loss of property for the deceived person or others affected by the act or omission, shall be guilty of fraud”, this paragraph could be a concern to fraudsters and crypto exchangers due to providing service of crypto exchanging from the side of [firma F og firma B] stealing my funds from the side of GiroFx. § 279a “Any person who, to obtain for himself or others an unlawful gain, unlawfully changes, adds or erases information or programmes for the use of electronic data processing, or who in any other manner attempts to affect the results of such data processing, shall be guilty of computer fraud”, it could be concerned to both of parts of my case, as these actions were profitable for both fraudsters and cryptocurrency exchangers.

It is also worth to mentioning that transactions with cryptocurrency carry legal consequences according to the European Court of Human Rights decision of 13 June 1979 Marckx v. Belgium, and thus we have the possibility to bring this case against Luno and Kraken and the fraudulent company.

Also in order to better investigate this case, to prevent further crimes, I have contacted the police. I enclose the case reference number [-658].

Moreover, records have been saved about MasterCard/Visa transactions for as long as they might be needed for representation evidence. Depending on the reason for the chargeback, MasterCard/Visa allows cardholders a fairly generous amount of time to file a chargeback – typically between 60 to 120 days. So, it means that I still can ask a chargeback.

Danske Bank of Denmark can also advise customers on the risks of sending money offshore or to unregulated companies or people they don’t know, and the low likelihood of the money being recovered once the customer realizes they have been scammed. If a bank suspects a customer has been the potential victim of a scam, a bank has all powers to attempt to contact them to discuss their circumstances and suggest a course of action.

…”

Banken har oplyst, at klageren ikke har haft nogle transaktioner til firma F fra sine konti i Danske Bank. Klageren har sandsynligvis overført penge til firma F fra eksempelvis sin konto hos firma C.

Parternes påstande

Den 7. oktober 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre transaktioner på i alt 822.017,97 kroner. 

Danske Bank har nedlagt påstand om principalt frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at hun og hendes ægtefælle blev udsat for svindel på nettet i forhold til køb af nogle bitcoin. De opdagede det og fik spærret alle deres kort og NemID.

Hun har anmeldt sagen til politiet. Hun er blevet afhørt og er vidende om, at politiet også har talt med banken.

Efterfølgende blev svindlerne ved med at hæve på deres kort, og banken fastholdt, at det var hende og ægtefællen, der havde godkendt via tofaktor. Dette er ikke sandt. Ingen af dem, der var i kontakt med hende og ægtefællen, har haft deres kort og heller ikke NemID. Hun og ægtefællen har heller ikke på noget tidspunkt oplyst kortnummer, udløbsdato og år samt sikkerhedskode. Alt blev spærret, så de kunne heller ikke selv have foretaget transaktionerne.

Banken har dårligt nok gidet at høre på hende, men blot fastholdt, at det hele var hendes og ægtefællens egen skyld. Banken har tilsyneladende ikke udvist omhu i forhold til at overholde banketiske regler. Banken har ikke undersøgt sagen til bunds men kun konkluderet, at hun selv har godkendt med tofaktor, hvilket på grund af spærring af kort og NemID ikke var muligt.

Banken bør vedkende sig sit ansvar og refundere de penge, som hun og ægtefællen ikke selv har godkendt.

For lang tid siden lavede hun indsigelser, hvorefter hun talte med en noget arrogant medarbejder og efterfølgende en anden medarbejder, der kun understøttede, hvad den første medarbejder havde sagt. På daværende tidspunkt troede hun ikke, at hun og ægtefællen blev svindlet, og hun ville overføre nogle penge til “investering”. Banken meddelte, at den ikke ville medvirke til overførslen, da den mente, at det var svindel. Banken oplyste, at hun da bare kunne finde en anden bank, der ville overføre pengene, hvorefter hun sagde, at det ville hun gøre, hvilket hun imidlertid undlod.

Banken burde i forbindelse med de allerførste transaktioner have gjort hende opmærksom på, at det kunne være svindel, så banken har i starten af overførslerne ikke levet op til sit ansvar og sin pligt i forhold til dette. Noget er hendes egen skyld, men banken har ikke udvist rettidig omhu.

Danske Bank har til støtte for frifindelsespåstanden anført, at banken ikke er forpligtet til at godtgøre klageren de omtvistede transaktioner, og at banken ikke har handlet ansvarspådragende over for klageren.

Alle transaktionerne er korrekt registreret og bogført og var ikke var ramt af tekniske svigt eller fejl i øvrigt.

Klageren initierede og godkendte transaktionerne, selvom banken tidligere havde advaret herom.

1) Kortindsigelse af 2. marts 2020

Transaktionen på 250 EUR, som klageren den 2. marts 2020 gjorde indsigelse mod, blev foretaget af klageren selv. Klageren krævede godtgørelse, jævnfør betalingslovens § 112, stk. 1, nr. 3, idet hun uden held havde forsøgt at gøre brug af sin fortrydelsesret. Det må således lægges til grund, at klageren havde oprettet sig som kunde og fået en konto hos betalingsmodtageren, firma A.

Banken er ikke forpligtet til at godtgøre kunden i sådanne tilfælde, idet den bestilte ydelse allerede var blevet leveret, henset til at overførslen blev gennemført til klagerens konto hos firma A som oprindeligt ønsket og autoriseret af klageren.

Banken er ikke ansvarlig for firma A’s eventuelle misligholdelse i forholdet mellem klageren og firma A. Der er ikke registreret nogen advarsler om firma A.

Af de nævnte årsager kunne banken ikke søge charge back i henhold til Mastercards regler, ligesom banken heller ikke er forpligtet til at godtgøre klageren i henhold til betalingslovens § 112 i øvrigt.

2) Kortindsigelser i november 2020

De tre transaktioner til firma A og firma B svarende til i alt 12.780,60 kroner skete ved brug af klagerens kortoplysninger, det respektive trecifrede sikkerhedsnummer, og blev godkendt og autoriseret med anvendelse af 3D Secure med NemID, hvorfor alle transaktionerne blev gennemført med brug af stærk kundeautentifikation, jævnfør betalingsloven § 7, nr. 30. Transaktionerne blev foretaget fra den af klageren næstmest brugte IP-adresse. Transaktionerne til firma C skete med en Mac-enhed, hvilket må antages at være den iPad, som kunden har oplyst, at hun har.

Det fremgik tydeligt af NemID-bekræftelsen, at klageren var i gang med at overføre 500 EUR til firma B.

Der blev foretaget relativt få transaktioner på relativt små beløb, hvilket ikke er sædvanlig misbrugsadfærd. Firma B har på forespørgsel fra banken oplyst, at klageren selv har oprettet sig som kunde, hvormed klageren har accepteret firma B’s Terms of Use, ligesom klageren over for firma B har bekræftet, at hun selv har foretaget andre transaktioner til sin konto hos firma B.

Klageren anførte i et supplerende brev, at hun selv foretog transaktionerne. Der var således ikke tale om tredjemandsmisbrug. Hvis Ankenævnet måtte finde, at der var tale om tredjemandsmisbrug hæfter klageren uden beløbsbegrænsning, jævnfør betalingslovens § 100, stk. 5, idet klageren må have indset, at der var risiko for misbrug, navnlig henset til:

a. at klageren formentlig via beskederne, som fremstod som værende fra blandt andre Danske Bank, har godkendt transaktionerne, da hun opdaterede sine personlige oplysninger og/eller kortoplysninger,

b. at klageren lavede fjerndeling af sin iPad, hvor hendes NemID nøgleapp var installeret, med en ukendt tredjemand i forbindelse med ønske om investering,

c. at klageren tidligere havde mistet penge på sådanne investeringer,

d. at banken havde advaret om sådanne transaktioner direkte over for klageren, ligesom banken på sin hjemmeside generelt advarer herom,

e. at klageren således burde være ekstra påpasselig, herunder søge forholdene oplyst, eksempelvis ved at kontakte banken,

f. at klageren faktisk havde mulighed for at søge forholdene oplyst, idet hun ikke befandt sig i en presset situation, og

g. der var ikke registreret nogen advarsler om hverken firma B eller firma C

Af de nævnte årsager kunne banken ikke søge charge back i henhold til Mastercards og Visas regler, ligesom banken heller ikke er forpligtet til at godtgøre klageren i henhold til betalingslovens § 112.

3) Kortindsigelser af 16. september 2020

De ni korttransaktioner svarende til i alt 620.342,81 kroner til firma A skete mere end 13 måneder før indsigelsen, og indsigelsesfristen, jævnfør betalingslovens § 97, var således overskredet. Allerede af denne årsag var banken berettiget til at afvise indsigelsen vedrørende disse transaktioner.

Alle transaktionerne i indsigelsen, både kort- og konto-til-konto-transaktionerne, blev foretaget af klageren selv.

De to korttransaktioner til firma B svarende til i alt 15.100,04 kroner, hvor indsigelsesfristen ikke var overskredet, skete ved brug af klagerens kortoplysninger og det trecifrede sikkerhedsnummer og blev godkendt og autoriseret med anvendelse af 3D-Secure med anvendelse af SMS-kode sendt til klagerens telefonnummer. Autorisationerne skete fra en IP-adresse, der var klagerens ottende mest brugte, og via en Mac-enhed, svarende til en af de ”user agents”, som klageren oftest brugte. Det er ikke sædvanlig misbrugsadfærd alene at foretage så få transaktioner, ej heller at bruge så relativt små beløb, såfremt det faktisk var tredjemand, der foretog disse ikke-vedkendte transaktioner,

Klageren har over for B bekræftet, at hun selv foretog de to transaktioner, som gik ind på klagerens konto hos B, hvor hun var oprettet som kunde.

Det fremgår af klagerens supplerende brev, at hun selv foretog transaktionerne. Der er således ikke tale om tredjemandsmisbrug.

Banken er ikke ansvarlig for B’s eventuelle misligholdelse i forholdet mellem klageren og B.

Der er ikke registreret nogen advarsler om B.

Af de nævnte årsager kunne banken ikke søge charge back i henhold til Mastercards regler, ligesom banken heller ikke er forpligtet til at godtgøre klageren i henhold til betalingslovens § 112.

4) Konto-til-konto overførsler

Konto-til-konto overførslerne blev foretaget og autoriseret af klageren selv. Der var ikke noget, der tydede på, at det var tredjemand, der foretog transaktionerne.

Klageren har oplyst, at hun har en konto hos pengeinstitut E, ligesom hun har bekræftet at have konti flere andre steder.

Det er ikke sædvanlig misbrugsadfærd alene at foretage så få transaktioner, ej heller overføre så relativt små beløb, såfremt tredjemand faktisk havde adgang til klagerens netbank. Der er således ikke tale om tredjemandsmisbrug.

Transaktionerne blev udført fra en af de browsere og IP-adresser, som klageren oftest anvender.

Det følger af betalingsloven § 111, stk. 1, og § 111, stk. 4, - som implementeret i bankens vilkår for henholdsvis kort og netbank - at banken som helt klart udgangspunkt ikke kan tilbagekalde en transaktion, efter instruksen om transaktionen er modtaget af banken eller efter sidste bankdag før den ønskede transaktionsdag. Det gøres således gældende, at banken ikke kunne tilbagekalde transaktionerne.

Betalingslovens § 112, stk. 1, nr. 2, finder ikke anvendelse på denne sags konto-til-konto-overførsler. Klageren har i øvrigt fået leveret den bestilte ydelse (overførslerne er gået igennem) ved at initiere og godkende overførslerne, hvorfor klagerens indsigelse vedrørende konto-til-konto-overførslerne også af denne årsag kan afvises, hvis Ankenævnet måtte finde, at § 112 finder anvendelse.

Til støtte for afvisningspåstanden har banken anført, at klagerens forklaringer har været vekslende og usammenhængende med sagens faktuelle omstændigheder. Klagerens påstand om, at hun ikke foretog transaktionerne, hænger ikke sammen med det faktiske hændelsesforløb, herunder at transaktionerne blev autoriseret med og via 3D Secure, kundens IP-adresser og iPad. En afklaring af, hvorvidt der er tale om tredjemandsmisbrug, herunder om klageren eventuelt hæfter ubegrænset eller ej, vil derfor kræve yderligere bevisførelse i form af vidne- og/eller partsafhøring, der ikke kan ske for Ankenævnet, hvorfor Ankenævnet bør afvise at behandle klagen, jævnfør vedtægternes § 5, stk. 3, nr. 4.

Ankenævnets bemærkninger

Klageren, der er kunde i Danske Bank har gjort indsigelse mod korttransaktioner og konto-til konto-overførsler svarende til i alt 822.017,97 kroner. Transaktionerne skete i perioden 28. februar 2020 - 8. december 2020.

Det må som anført af banken lægges til grund, at klagerens indsigelse mod ni korttransaktioner svarende til i alt 620.342,81 kroner til firma A skete mere end 13 måneder efter, at banken gav meddelelse om debiteringerne af de pågældende transaktioner, og indsigelsesfristen, jf. betalingslovens § 97, var således overskredet. Allerede som følge heraf får klageren ikke medhold i klagen for så vidt angår disse transaktioner.

De øvrige transaktioner var konto-til-konto-overførsler på henholdsvis 101.798 kroner, 50.050 kroner og 20.050 kroner til andre pengeinstitutter, og seks korttransaktioner svarende til i alt 29.777,16 kroner. To af disse korttransaktioner, svarende til i alt 15.100,14 kroner, og med firma B som betalingsmodtager, skete uden anvendelse af stærk kundeautentifikation. Klageren har oplyst, at hendes kort og NemID var spærret.

Ankenævnet finder, at det er uklart, om de tre konto-til-konto-overførsler og seks korttransaktioner skete med klagerens samtykke eller beror på misbrug fra tredjemand og herunder, om banken som følge af manglende stærk kundeautentifikation eller på andet grundlag, herunder hvornår klager først gjorde indsigelse, måtte hæfte helt eller delvist for disse transaktioner. Ankenævnet finder, at en afgørelse af denne del af klagen forudsætter en bevisførelse, herunder i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene.

Ankenævnet afviser derfor denne del af klagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle den del af klagen, der vedrører konto-til-konto-overførsler på henholdsvis 101.798 kroner, 50.050 kroner og 20.050 kroner til andre pengeinstitutter og seks korttransaktioner svarende til i alt 29.777,16 kroner.

Klageren får i øvrigt ikke medhold i klagen.