| Sagsnummer: | 141/2022 |
| Dato: | 23-02-2023 |
| Ankenævn: | Henrik Waaben, Karin Sønderbæk, George Wenning, Jacob Ruben Hansen og Anna Marie Schou Ringive |
| Klageemne: | Netbank - øvrige spørgsmål Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod kontooverførsler, som klagerne ikke kan vedkende sig. |
| Indklagede: | Danske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod kontooverførsler, som klagerne ikke kan vedkende sig.
Sagens omstændigheder
Klagerne, M og H, var kunder i Danske Bank. H havde konto -248 i banken, og klagerne havde fælleskontiene -644 og -598. M havde netbankadgang.
Den 27. januar 2022 blev der med M’s NemID foretaget følgende fire kontooverførsler på i alt 182.000 kr. fra klagernes konti til tredjemands konti, som klagerne ikke kan vedkende sig:
|
Tidspunkt |
Afsenderkonto |
Modtagerkonto |
Beløb (DKK) |
|
Kl. 18:36 |
-644 (fælleskonto) |
-306 |
46.000 |
|
Kl. 18:42 |
-644 (fælleskonto) |
-057 |
44.000 |
|
Kl. 18:46 |
-598 (fælleskonto) |
-034 |
49.000 |
|
Kl. 18:49 |
-248 (H’s konto) |
-624 |
43.000 |
Banken har fremlagt et uddrag af M’s NemID-log. Af loggen fremgår bl.a. følgende aktivitet den 27. januar 2022:
|
NemID |
Niveau |
Hændelse |
Tidspunkt |
Kilde |
|
x448 |
Vigtig |
Nøglekort, [x632], er spærret med effekt fra 27-01-2022 21:13:41 |
27-01-2022 21:13:41 |
Bank backend services |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering |
27-01-2022 19:05:45 |
x177 |
|
x448 |
Trace |
Nøgle til nøglenummer [x011] er accepteret |
27-01-2022 19:05:45 |
x177 |
|
x448 |
Trace |
Nøglenummer [x011] udstedt |
27-01-2022 19:04:44 |
x177 |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 1-faktor login eller signering |
27-01-2022 18:49:42 |
x177 |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 1-faktor login eller signering |
27-01-2022 18:46:30 |
x177 |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 1-faktor login eller signering |
27-01-2022 18:42:57 |
x177 |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 1-faktor login eller signering |
27-01-2022 18:36:24 |
x177 |
|
x448 |
Trace |
Bruger autentificeret succesfuldt ifm. 2-faktor login eller signering |
27-01-2022 18:22:10 |
x177 |
|
x448 |
Trace |
Nøgle til nøglenummer [x589] er accepteret |
27-01-2022 18:11:10 |
x177 |
|
x448 |
Trace |
Nøglenummer [x589] udstedt |
27-01-2022 18:21:16 |
x177 |
Banken har med henvisning til loggen anført, at de fire overførsler blev gennemført via netbank fra M’s IP-adresse x117 og godkendt med M’s personlige NemID x448 og NemID-nøglekort x632.
Banken har oplyst, at der fra IP-adresse x117 blev logget på M’s netbank den 27. januar 2022 kl. 18:22, hvilket var 14 minutter inden den første af de omtvistede overførsler blev gennemført kl. 18:36. Banken har endvidere oplyst, at login på M’s netbank skete med M’s brugernavn og personlige kode til NemID samt indtastning af nøgle fra M’s nøglekort, hvilket er benævnt som to-faktorlogin i NemID-loggen. Hver af de fire overførsler blev godkendt med M’s brugernavn og personlige kode, hvilket er benævnt en-faktorlogin i loggen.
Banken har med henvisning til NemID-loggen endvidere oplyst, at IP-adressen x117 også blev anvendt før og efter de omtvistede betalinger, således den 25. januar 2022 og den 8. februar 2022.
Banken spærrede NemID-nøglekortet den 27. januar 2022 kl. 21:13, efter klagerne havde henvendt sig til banken.
Ved indsigelsesblanket af 9. februar 2022 gjorde klagerne over for banken indsigelse mod de fire overførsler på i alt 182.000 kr.
Af indsigelsesblankettens tro- og loveerklæring fremgik:
”Hændelsesforløb …
Hvornår og hvordan er transaktionen opdaget? Er beløbsmodtageren kendt af afsender? Atypiske hændelser? …
Der blev ringet op af en person der sagde han hedder [navn på privatperson] fra Fyns politi afd. For IT-kriminalitet. Han bad mig om at åbne min pc, der var da fuld gang i netbanken.
Jeg fattede mistanke og ringede til Danske Bank, der spærrede alle konti.”
Af erklæringen fremgik endvidere bl.a., at det var ukendt, hvem der havde foretaget overførslerne fra kontiene, og at klagerne ikke var blevet kontaktet af nogen, der havde bedt om bekræftelse af bankoplysningerne. Endvidere fremgik, at ingen andre end klagerne havde haft adgang til NemID bruger-id, adgangskode og NemID-nøglekort.
Banken har oplyst, at M overfor banken telefonisk forklarede, at der, lige efter M havde trykket på startknappen på computeren, allerede var logget ind i M’s netbank uden M’s medvirken. M forklarede også telefonisk, at han ikke selv foretog overførslerne og ikke gav personen, der udgav sig for at være fra Fyns politi, adgang til at overtage styringen af M’s computer, ligesom han ikke havde udleveret sit NemID eller NemID-nøglekort til andre.
Den 28. januar 2022 kontaktede banken de pengeinstitutter, der havde modtaget betalingerne.
Banken tilbageførte 65.895 kr. til klagerne, som den efterfølgende fik retur fra de modtagende pengeinstitutter.
Endvidere tilbageførte banken 16.105 kr. pr. kulance. Banken har oplyst, at kulancebetalingen blev foretaget på grund af det forhold, at en mere restriktiv beløbsgrænse for netbankoverførsler i bankens systemer potentielt ville have begrænset omfanget af klagernes overførsler.
Den 6. april 2022 anmeldte banken sagen til politiet med M’s samtykke.
Under sagen har banken fremlagt ”Single Rulebook Q&A” af 24. maj 2019 fra European Banking Authority (EBA) med spørgsmål og svar vedrørende autentifikation af en betaling.
Af regelbogen fremgår:
”Question
Is it allowed to use the (authenticated) session that a user has (after logging in (with or without SCA)) as 1 of the authentication factor when performing SCA for a payment transaction?
…
Final answer
…
The Commission Delegated Regulation does not prescribe a time limit for the provision of the two authentication elements necessary for SCA while within a session. When initiating a payment, SCA may therefore be performed when one of the elements used at the time the customer accessed its payment account online (including via a mobile app) is reused in compliance with Article 4, and the other element of SCA is carried out at the time the payment is initiated, provided that the dynamic linking element required under Article 97(2) PSD2 and detailed under Article 5 of the Delegated Regulation is present and linked to that latter element.”
Parternes påstande
Den 11. april 2022 har klagerne indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal tilbageføre 165.895 kr.
Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.
Parternes argumenter
Klagerne har anført, at deres bankkonti blev hacket den 27. januar 2022. Dette skete ved, at hackerne udgav sig for at være fra Fyns politi. Det lykkedes hackerne at overføre i alt 182.000 kr. til fire forskellige konti i andre pengeinstitutter. Banken har afvist at tilbagebetale pengene, idet den kan se, at pengene er blevet overført fra deres computer og IP-adresse og ikke mener, at en tredjepart har været indblandet. Computeren blev hacket, hvilket er begrundelsen for, at IP-adressen og computeren er den samme. Der er ingen grund til, at de som pensionister skulle overføre fire store beløb til ukendte konti. Det er ikke logisk. De har været kunder i banken i 16 år og har på intet tidspunkt foretaget så store overførsler.
Banken anfører selv, at deres beløbsgrænse burde have været mere restriktiv. Det vil sige, at banken ikke ydede dem god rådgivning i forbindelse med deres netbank. Banken har aldrig gjort dem opmærksom på, at det ville være godt at have en beløbsgrænse på overførslerne via netbank. Når de hører andre bankkunder, så ligger den typiske grænse på mellem 15.000 kr. og 50.000 kr. pr. dag. Dette er langt fra de 100.000 kr., som banken mener, er en restriktiv grænse. Banken burde tilbagebetale størstedelen af pengene, idet banken ikke har rådgivet dem korrekt, og da de på intet tidspunkt selv bad om, at der ikke skulle være en beløbsgrænse. Banken har efterfølgende nægtet at sænke grænsen for daglige pengeoverførsler på deres konti.
Banken burde ikke benytte en-faktorgodkendelse ved pengeoverførsler. Selvom EBA ikke direkte anbefaler, at banker indfører to-faktorgodkendelse, når først denne har været brugt til login, er de uforstående overfor, at Danske Bank ikke har implementeret to-faktorgodkendelse ved pengeoverførelser, som flere andre danske banker har, idet dette kan give ekstra sikkerhed i en tid, hvor mange bliver udsat for net- og banksvindel.
Den 17. februar 2022 skrev banken, at det ikke var muligt at få tilbageført pengene fra de andre pengeinstitutter, samt at banken selv godtgjorde den del af tabet, der oversteg 100.000 kr. svarende til 82.000 kr. De kan nu konstatere, at de fleste af disse penge var deres egne tilbageførte penge fra de modtagende pengeinstitutter og således ikke bankens penge. Det vil sige, at banken alene har godtgjort dem 16.105 kr.
Banken anerkender, at den havde til hensigt at godtgøre dem 82.000 kr., før banken modtog penge fra de modtagende pengeinstitutter. De forventer, at banken som minimum overfører 65.895 kr., således at den dækker 82.000 kr., som den lovede.
Danske Bank har til støtte for frifindelsespåstanden anført, at samtlige fire omtvistede overførsler er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.
M gennemførte og autoriserede selv netbankoverførslerne, jf. betalingslovens § 82, stk. 1, da overførslerne blev gennemført via M’s netbank fra M’s IP-adresse og ved brug af M’s personlige NemID inklusive kode og nøglekort. M oplyste, at han ikke videregav sine personlige koder eller nøglekort til nogen eller installerede/gav adgang til fjernadgang til sin computer. Tredjemand har ikke uberettiget anvendt M’s betalingstjeneste, selvom klagerne dog har været udsat for svindel.
Det kan ikke teknisk lade sig gøre, at M’s netbank allerede skulle ”være i gang”, da M’ tændte sin computer, hvilket heller ikke stemmer overens med NemID-loggen. Af loggen fremgår, at der blev logget på fra M’s IP-adresse og med M’s NemID ved brug af både brugernavn og kodeord samt nøgle fra nøglekort.
Det er således ikke af klagerne dokumenteret, at der skete en uberettiget anvendelse af betalingstjenesten, jf. betalingslovens § 82.
Da M selv gennemførte og godkendte kontooverførslerne og ikke udleverede NemID-nøglekoder til andre, gøres det gældende, at det forhold, at M blev svindlet til at lave kontooverførslerne, ikke medfører, at overførslerne skal anses som uautoriserede efter betalingslovens § 82, stk. 1, eller at der er tale om phishing, som banken hæfter for.
De omtvistede overførsler blev foretaget ved brug af stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30, idet M den 27. januar 2022 kl. 18:22 loggede på sin netbank med sit personlige NemID, x448, og nøglekort, x632, samt sin personlige kode, hvilket udgør to-faktorlogin. De fire overførsler blev herefter gennemført i denne login-session fra kl. 18:36 og til kl. 18:49. De omtvistede overførsler blev gennemført med stærk kundeautentifikation, hvilket understøttes af The European Banking Authority (”EBA”). Overførslerne blev gennemført med to-faktorlogin, jævnfør EBA’s fremlagte svar.
Såfremt Ankenævnet måtte finde, at banken har pligt til godtgøre klagernes kontooverførsler, gøres det gældende, at banken alene skal godtgøre klagerne yderligere 100.000 kr., idet banken allerede har godtgjort klagerne 82.000 kr.
Banken godtgjorde klagerne i alt 82.000 kr., før banken havde modtaget 65.895 kr. retur fra (nogle af) de modtagende pengeinstitutter. Banken er enig i med klagerne i, at banken endte med at bære 16.105 kr. ud af den samlede godtgørelse på 82.000 kr. Klagernes bemærkninger, om at banken skal overføre ”minimum 65.895 kr.” til klagerne, savner juridisk belæg. Banken oplyste, at banken af forretningsmæssige og ikke-juridiske grunde valgte at stille klagerne, som om klagerne havde haft en beløbsgrænse for overførsler på 100.000 kr. Banken har hermed ikke anerkendt at hæfte for noget som helst eller forpligtet sig til endelig at bære en del af klagernes tab.
Banken har ikke standardbegrænsninger på, hvor stor en del af klagernes egne midler, som klagerne kan vælge at overføre. Banken er helt grundlæggende forpligtet til at gennemføre en overførsel, når den er autoriseret af afsender. Banken kan ikke genkende, at banken skulle have nægtet at sænke grænsen for daglige pengeoverførsler. Klagerne kan selv i netbank indsætte grænser, og klagerne er velkomne til at kontakte banken for at få bistand hertil.
Danske Bank har til støtte for afvisningspåstanden anført, at sagen skal afvises, jf. § 5, stk. 3, nr. 4, i Ankenævnets vedtægter, da en yderligere en afklaring af sagens faktiske omstændigheder vil kræve yderligere bevisførelse i form af vidne- og/eller partsforklaringer samt eventuel sagkyndig bevisførelse. De faktiske omstændigheder synes uklare, idet M både har oplyst, at han ikke selv gennemførte overførslerne, men også, at han ikke gav andre adgang til at overtage styringen af sin computer eller i øvrigt har oplyst andre om sine personlige koder til netbank og NemID.
Ankenævnets bemærkninger
Klagerne, M og H, var kunder i Danske Bank. H havde konto -248 i banken, og klagerne havde fælleskontiene -644 og -598. M havde netbankadgang.
Den 27. januar 2022 blev der med M’s NemID foretaget fire kontooverførsler på i alt 182.000 kr. fra kontiene -248, -644 og -598 til tredjemands konti, som klagerne ikke kan vedkende sig. Om baggrunden for overførslerne har klagerne oplyst, at M blev kontaktet telefonisk af Fyns politi, der bad M om at åbne sin computer. Da M tændte computeren, var der allerede aktivitet i netbanken.
Banken tilbageførte 82.000 kr. til klagerne.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at M’s NemID er en personlig sikkerhedsforanstaltning, jf. betalingsloven § 7, nr. 31.
Efter betalingslovens § 100, stk. 5, hæfter betaleren uden beløbsbegrænsning for tab, der opstår som følge af andres uberettigede anvendelse af betalingstjenesten, når den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, og betalerens udbyder godtgør, at betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug.
Efter betalingslovens § 100, stk. 4, hæfter betaleren med op til 8.000 kr. af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. § 100, stk. 4, nr. 3.
Banken har anført, at kontooverførslerne på i alt 182.000 kr. til tredjemands konti blev foretaget af M, idet der fra M’s IP-adresse blev logget på M’s netbank, hvilket skete ved brug af M’s brugernavn og personlige kode til NemID samt indtastning fra M’s nøglekort. Hver transaktion blev godkendt med M’s brugernavn og personlige kode. Klagerne har bestridt at have foretaget transaktionerne og har oplyst, at klagerne ikke udleverede NemID-oplysninger til tredjemand. Klagerne har anført, at bankkontoen blev hacket, og at hackerne foretog de fire transaktioner.
Ankenævnet finder, at en afklaring af de nærmere omstændigheder, herunder om transaktionerne skete under omstændigheder, der medfører, at klagerne hæfter fuldt ud eller delvist efter betalingslovens § 100, stk. 4, eller stk. 5, forudsætter en yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.