Indsigelse mod kontooverførsler, der blev foretaget i forbindelse med telefonisk henvendelse om tyveri fra netbank. Indsigelse om at overførslerne var uautoriserede uanset om klageren selv oprettede dem og indtastede NemID oplysninger.
| Sagsnummer: | 494 /2020 |
| Dato: | 01-09-2021 |
| Ankenævn: | Vibeke Rønne, Inge Kramer, Jimmy Bak, Morten Bruun Pedersen, Jørgen Ravn. |
| Klageemne: |
Afvisning - bevis § 5, stk. 3, nr. 4
Betalingstjenester - ikke-vedkendte hævninger |
| Ledetekst: | Indsigelse mod kontooverførsler, der blev foretaget i forbindelse med telefonisk henvendelse om tyveri fra netbank. Indsigelse om at overførslerne var uautoriserede uanset om klageren selv oprettede dem og indtastede NemID oplysninger. |
| Indklagede: | Jyske Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod kontooverførsler, der blev foretaget i forbindelse med telefonisk henvendelse om tyveri fra netbank.
Sagens omstændigheder
Klageren var kunde i Jyske Bank, hvor hun havde haft netbank siden 2009.
Den 7. juli 2020 kontaktede klageren banken om tre kontooverførsler på 100.000 kr., 100.000 kr., og 105.000 kr. fra hendes netbank til et andet pengeinstitut. De tre transaktioner var blevet udtaget til kontrol af banken, og overførslerne var i den forbindelse blevet afvist. Banken har oplyst, at klageren meddelte, at hun var blevet kontaktet telefonisk af en mand fra politiet, som bad hende om at lave overførslerne, og at hun selv havde indtastet og godkendt betalingerne med sit NemID. Straks herefter blev klagerens netbank, nøglekort og Visa/Dankort spærret.
Banken har oplyst, at den senere på aftenen den 7. juli 2020 modtog en henvendelse fra et andet pengeinstitut om en mistænkelig overførsel fra klagerens konto. Ved bankens undersøgelse viste det sig, at der den 7. juli 2020 over ca. 1,5 time blev oprettet og godkendt ni betalingsoverførsler i klagerens netbank, herunder flere interne overførsler mellem klagerens konti.
Den 8. juli 2020 kontaktede banken klageren telefonisk for en yderligere beskrivelse af forløbet. Klageren oplyste, at hun var blevet kontaktet af en mand fra politiet, der oplyste, at nogle banditter havde overført beløb fra hendes konto. Klageren oplyste yderligere, at manden fra politiet bad hende om at gennemføre flere betalinger i netbank, hvilket hun gjorde. Manden kendte hendes nøglekortnummer. Hun vidste ikke, om hun udleverede sit cpr. nr. til manden.
Samme dag indgav klageren en tro- og loveerklæring til banken med indsigelse mod tre overførsler foretaget den 7. juli 2020 på 14.900 kr., 14.950 kr. og 160.000 kr. Klageren oplyste i erklæringen, at hun ikke på noget tidspunkt havde udlånt nøglekort og adgangskode eller udleveret sine NemID eller nøglekort oplysninger. Under punktet ”Ikke-godkendte transaktioner” havde klageren i den trykte tekst ”Jeg har ikke selv på nogen måde foretaget eller accepteret overførslen/overførslerne” skrevet en rettelse med kuglepen (understregning og angivelse af parentes): ”Jeg har (ikke selv på nogen måde foretaget eller accepteret) overførslen/overførslerne”.
Banken har fremlagt et print af sit betalingssystem (betalingslog og IP log fra netbank). Banken har oplyst, at overførslerne på 14.900 kr. og 14.950 kr. blev godkendt med NemID fra klagerens IP-adresse, og at overførslen på 160.000 kr. blev godkendt fra klagerens IP-adresse med NemID og sms-kode sendt til klagerens telefonnummer. Banken har oplyst, at brug af sms-koden var nødvendig til gennemførelse af overførslen, og at sms’en var en ekstra sikkerhedsforanstaltning. Sms’en havde følgende ordlyd:
”Koden må aldrig udleveres til andre heller ikke medarbejdere i banken.
Indtast SMS-kode [fire-cifret kode] i Netbanken for at godkende betalingen på DKK 160.000 til konto - [kontonummer] (Bestillingsnummer [ni-cifret tal]).
Er denne betaling ikke oprettet af dig, kontakt straks Jyske Bank på telefon ... Venlig hilsen Jyske Bank”
Klageren modtog efterfølgende 6.000 kr. fra det ene modtagende pengeinstitut.
Klageren indgav politianmeldelse i sagen.
I et brev til banken af 24. september 2020 anførte klagerens advokat, at klageren den 7. juli 2020 var blevet kontaktet af en medarbejder fra Jyske Banks ”kriminaltekniske afdeling”. Advokaten anførte endvidere:
”… Manden oplyste, at min klient var udsat for et forsøg på tyveri via hendes netbank. Min klient blev af den autoritetstro mand bedt om at overflytte hendes indestående beløb til nye konti af sikkerhedsmæssige hensyn, mens politiet eftersøgte bagmændene.
Beløbene blev overført ved tre overførsler af henholdsvis kr. 14.000,00, kr. 14.500,00 og kr. 160.000,00. Ved overførslen af de kr. 160.00[0],00 modtog min klient en SMS, som fremstår som en troværdig SMS fra Jyske Bank … Den … nævnte SMS-kode nåede min klient imidlertid aldrig at indtaste eller oplyse manden, førend overførslen af de kr. 160.000,00 var gennemført …”
Parternes påstande
Den 11. december 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Jyske Bank skal betale 182.500 kr.
Jyske Bank har nedlagt påstand om principalt afvisning, subsidiært frifindelse.
Parternes argumenter
Klageren har blandt andet anført, at hun blev udsat for phishing og fik franarret sine oplysninger. Hun blev kontaktet af en person, P, der udgav sig for at være medarbejder i Jyske Banks ”kriminaltekniske” afdeling.
Hun var i god tro. P var tillidvækkende. Hans troværdighed blev bestyrket af, at han refererede til ansatte fra lokalafdelingen, og at han havde adgang til en række personlige oplysninger om hende. Hun var under stort pres som følge af frygt for yderligere tyverier fra hendes konti. Hun har ikke udvist grov uagtsomhed.
Der er ikke uoverensstemmelse mellem beskrivelsen i advokatens brev af 24. september 2020 og hendes mundtlige beskrivelse af hændelsesforløbet til banken den 8. juli 2020. Der er alene tale om præciseringer.
Der er sket en uberettiget anvendelse af betalingstjenesten i betalingslovens forstand. Hun blev franarret sin personlige sikkerhedsforanstaltning i forbindelse med det falske opkald. Der er tale om phishing. Der er fast retspraksis, der fastslår, at ved transaktionen, hvor betaleren er blevet franarret sine kortoplysninger, kan betaleren ikke anses for at have afgivet et gyldigt samtykke.
Hvis en betaler franarres NemID koder pr. telefon, udgør det ikke et gyldigt samtykke til gennemførelse af betalingstransaktionen, uanset om betaleren selv har indtastet sine koder efter tredjemands anvisninger, jf. Ankenævnets praksis, herunder afgørelserne nr. 207/2019 og 16/2020, hvor klageren blev tilkendt tilbageførsel af beløbet, til trods for at klageren selv havde gennemført transaktionen samt indtastet den tilsendte sms-kode.
Hun har ikke givet et gyldigt samtykke, og betalingsoverførslerne er derfor uautoriserede.
Hun nåede ikke at indtaste eller oplyse sms-koden, før overførslen af de 160.000 kr. var gennemført.
De af banken nævnte sager nr. 83/2020 og 92/2020 er ikke relevante. Sagerne omhandler klagere, som selvstændigt valgte at investere i investeringsprojekter. Der er derfor en anden og grundigere undersøgelsespligt for klagerne. Sagerne vedrører ikke ”phishing”, men derimod betalingslovens § 112 om betalingstransaktioner i forbindelse med aftaler om køb af varer eller tjenesteydelser ved fjernsalg.
Sagen er egnet til behandling i Ankenævnet. Der er ingen usikkerhed om hændelsesforløbet eller det juridiske grundlag for klagen. Hun bestrider ikke, at overførslerne blev forsøgt gennemført flere gange, eller at handlingerne er foregået i hendes eget hjem.
Jyske Bank har til støtte for afvisningspåstanden anført, at klageren er kommet med modstridende forklaringer i sin beskrivelse af hændelsesforløbet til banken den 8. juli 2020 og i advokatens brev af 24. september 2020 om, at P udgav sig for at være fra henholdsvis politiet eller banken, om formålet med de tre betalingsoverførsler, om antal betalingsoverførsler, og at sms-koden ikke blev indtastet af klageren/at klageren selv lavede overførslen. De fremlagte logs bekræfter, at klageren selv indtastede og godkendte ni overførsler med sit NemID, herunder overførslen på 160.000 kr., hvor betalingen blev frigivet ved indtastning af sms-koden. Alle indtastninger til betalingsoverførslerne blev foretaget fra klagerens netbank og IP-adresse. Da klageren fastholder ikke at have videregivet sms-koden, må klageren være den eneste, som kan have foretaget indtastning af koden til frigivelse af overførslen. Der er således ikke overensstemmelse i de af klageren oplyste faktiske forhold. Da der ikke kan foretages mundtlig vidneafhøring ved Ankenævnet til afklaring af de faktiske forhold, bør sagen afvises.
Jyske Bank har til støtte for frifindelsespåstanden blandt andet anført, at de tre transaktioner var autoriserede betalinger, der var godkendt og foretaget af klageren. I tro og loveerklæringen anførte klageren, at hun selv gennemførte overførslerne. Klageren har anvendt netbank igennem mange år. Hun er en rutineret bruger og har fuldt kendskab til alle funktioner og billeder i netbanken.
Den 7. juli 2020 loggede klageren ind i sin netbank. Banken har ved sine logs dokumenteret, at klageren i netbanken indtastede og igangsatte alle tre betalingsoverførsler. Indtastningerne blev foretaget fra samme IP-adresse, som klageren tidligere har anvendt ved brug af sin netbank og ved godkendelse af betalinger med NemID. Klageren indtastede beløb og beløbsmodtager for gennemførelse af betalingsoverførsler og godkendte overførslerne med sit NemID og nøglekode. Ved overførslen på 160.000 kr. krævede systemet indtastning en sms-kode som en yderligere sikkerhed til frigivelse af betalingsoverførslen. Sms-koden blev sendt som engangskode til klagerens mobiltelefon og blev indtastet fra klagerens IP-adresse.
Der er ikke tale om phishing. Ved phishing gennemføres en uautoriseret betalingstransaktion ved andres uberettigede anvendelse af betalingstjenesten f.eks. netbank/ved tredjemands misbrug af klagerens NemID. Der var ikke tale om ”phishing”, da klageren ikke udleverede NemID, nøglekode eller sms-kode til ”den falske politimand”, som ikke var logget på klagerens netbank.
Betalingstransaktionerne skyldtes ikke tredjemands misbrug af klagerens netbank eller NemID. Det forhold, at klageren var udsat for svindel fra kriminelle til at lave betalingsoverførsler, medfører ikke, at betalingstransaktionerne må anses som uautoriserede efter betalingsloven, jf. også Ankenævnets afgørelser nr. 83/2020 og nr. 92/2020 om investeringssvindel.
Det påhviler betaleren at bevise, at der forelå "andres uberettigede anvendelse" af betalingstjenesten, jf. betalingslovens § 82 om uautoriserede transaktioner. Klageren har ikke løftet sin bevisbyrde. Er der tale om, at betaleren selv har iværksat og godkendt en transaktion, hæfter betaleren fuldt ud og kan ikke påberåbe sig de hæftelsesbegrænsninger, der følger af betalingslovens § 100.
Ankenævnets bemærkninger
Den 7. juli 2020 blev der via netbank overført 14.900 kr., 14.950 kr. og 160.000 kr. fra klagerens konto i Jyske Bank til tredjemands konti i andre pengeinstitutter. Banken har oplyst, at overførslerne på 14.900 kr. og 14.950 kr. blev godkendt med NemID oplysninger og NemID nøglekode, og at overførslen på 160.000 kr. blev godkendt med NemID oplysninger, NemID nøglekode og sms-kode sendt til klagerens telefonnummer. Banken har oplyst, at brug af sms-koden var nødvendig til gennemførelse af overførslen på 160.000 kr., og at sms-koden var en ekstra sikkerhedsforanstaltning. Banken har endvidere oplyst, at godkendelserne skete fra klagerens IP-adresse.
Baggrunden for transaktionerne var, at klageren den samme dag blev kontaktet telefonisk af en person, P, der udgav sig for at være fra bankens kriminaltekniske afdeling. P oplyste, at klageren var udsat for et forsøg på tyveri via hendes netbank.
I forlængelse af sin indsigelse til banken oplyste klageren, at hun blev anmodet af P om at flytte sine indestående beløb til nye konti af sikkerhedsmæssige hensyn, mens politiet eftersøgte bagmændene.
Klageren modtog efterfølgende 6.000 kr. fra det ene modtagende pengeinstitut.
Det lægges til grund, at transaktionerne er korrekt registreret og bogført og ikke er ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98, stk. 1. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.
Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingsloven § 7, nr. 30.
Klageren har anført, at hun ikke nåede at indtaste eller oplyse sms-koden, før overførslen af de 160.000 kr. var gennemført.
Ankenævnet finder, at en afklaring af sagens nærmere omstændigheder, herunder en afklaring af om klageren anvendte eller videregav sms-koden, samt betydningen heraf og en afklaring af det af klageren oplyste om hændelsesforløbet i øvrigt, vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene. Ankenævnet afviser derfor sagen i medfør af § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.
Ankenævnets afgørelse
Ankenævnet kan ikke behandle klagen.
Klageren får klagegebyret tilbage.