Dom i sag om bankens hæftelse for påståede uautoriserede overførsler via NemID til udenlandsk investeringsselskab

Sagen, der blev anlagt den 3. september 2020, omhandler spørgsmålet om, hvorvidt Jyske Bank A/S hæfter for to overførsler på i alt 446.299,36 kr. fra Sagsøgerens konto til en udenlandsk virksomhed, EVG Trading Limited. Sagsøgeren påstod, at overførslerne var uautoriserede, mens Jyske Bank A/S påstod frifindelse, idet de mente, at Sagsøgeren selv havde foretaget overførslerne.

Sagens Baggrund

Sagsøgeren havde i 2017 og 2018 to konti hos Jyske Bank A/S. Den 6. marts 2018 blev der overført henholdsvis 9.800 euro og 50.000 euro fra den ene konto til EVG Trading Limited. Sagsøgeren hævdede, at Jyske Bank A/S var ansvarlig for hendes tab i forbindelse med disse overførsler.

Det fremgik af kontoudtog, at der i perioden fra den 3. december 2017 til den 6. marts 2018 var overført i alt 237.777,39 kr. ad 11 gange fra Sagsøgerens konti til Greenfields Capital eller relaterede investeringsselskaber. Kort før de omtvistede overførsler den 6. marts 2018 blev der desuden overført 1.000 euro (7.562,55 kr.) to gange fra Greenfields Capital til Sagsøgerens konti.

Logdetaljer viste, at overførslerne den 8. og 18. januar 2018, den 28. februar 2018 samt de to omtvistede overførsler den 6. marts 2018 blev foretaget fra samme computer med samme styresystem, browser og IP-adresse. Den første omtvistede overførsel den 6. marts 2018 kl. 16.23.31 blev godkendt med 2-faktor godkendelse, mens den anden kl. 16.30.05 blev godkendt med 1-faktor godkendelse.

Mailkorrespondance mellem Sagsøgeren og Greenfields Capital fra december 2017 til marts 2018 viste, at Sagsøgeren investerede i bitcoins. Den 5. februar 2018 modtog hun betingelser for at hæve beløb. Den 9. marts 2018 udtrykte Sagsøgeren mistillid til Greenfields Capital, da de oplyste, at de ikke kunne kontakte hendes sagsbehandler. Hun forsøgte at overføre 4.000 euro, men 62.000 euro blev overført. Den 28. marts 2018 meddelte Greenfields Capital, at udbetaling ikke var mulig på grund af tab.

Sagsøgeren kontaktede Jyske Bank A/S den 27. marts 2018, hvorefter hendes NemID, netbank og Visadankort blev spærret. Hun afgav en tro- og loveerklæring den 29. marts 2018, hvori hun oplyste, at ca. 10.000 euro og 50.000 euro uretmæssigt var hævet fra hendes konto den 6. marts 2018, og at hun ikke selv havde foretaget eller accepteret overførslerne.

Jyske Bank A/S vejledte Sagsøgeren den 3. april 2018 om at rense sine enheder og undgå yderligere kommunikation med Greenfields Capital. Sagsøgeren anmeldte sagen til politiet den 4. april 2018. Den 12. april 2018 afviste Jyske Bank A/S godtgørelse, da det var uklart, om overførslerne var uautoriserede. Sagen blev efterfølgende afvist af Det finansielle ankenævn den 18. december 2019, da den krævede yderligere bevisførelse.

Parternes Påstande og Synspunkter

Sagsøgerens Påstande

Sagsøgeren påstod principalt, at Jyske Bank A/S skulle betale 446.299,36 kr. med procesrente fra den 7. marts 2018. Subsidiært påstod hun 445.924,36 kr. og mere subsidiært 438.299,36 kr. med procesrente fra samme dato.

Sagsøgeren gjorde gældende, at Jyske Bank A/S ikke havde indrettet sit kundeautentifikations- og screeningssystem tilstrækkeligt sikkert. Hun henviste til Betalingsloven § 100, stk. 7 og Betalingsloven § 100, stk. 1 som grundlag for bankens hæftelse. Hun bestred at have autoriseret transaktionerne eller anvendt sine personlige sikkerhedsforanstaltninger uansvarligt. Sagsøgeren mente, at Jyske Bank A/S havde bevisbyrden for, at hun selv skulle hæfte for tabet, og at denne bevisbyrde ikke var løftet. Hun afviste også, at hendes tro- og loveerklæring var afgivet for sent i henhold til Betalingsloven § 97.

Jyske Bank A/S' Påstande

Jyske Bank A/S påstod frifindelse, subsidiært betaling af et mindre beløb. Banken gjorde principalt gældende, at Sagsøgeren selv havde foretaget de to omtvistede overførsler og dermed selv hæftede for det fulde beløb i henhold til Betalingsloven § 82 og modsætningsvis Betalingsloven § 100. Banken anførte, at Sagsøgerens forklaring om ikke at have videregivet NemID-oplysninger medførte, at overførslerne ikke kunne være foretaget af andre end Sagsøgeren selv.

Banken fremhævede flere forhold, der talte for Sagsøgerens egen medvirken:

• Sagsøgeren havde ubestridt foretaget flere lignende overførsler til samme selskab forud for de omtvistede overførsler.
• Der blev ikke gennemført yderligere overførsler efter de omtvistede, selvom der fortsat var et større beløb på kontoen, hvilket var atypisk for misbrug.
• Samme IP-adresse blev anvendt til de omtvistede overførsler som til tidligere, anerkendte overførsler.
• Sagsøgeren ventede tre uger med at kontakte Jyske Bank, hvilket var et atypisk handlemønster ved opdaget misbrug.
• Sagsøgerens mailkorrespondance med Greenfields Capital i perioden efter overførslerne indikerede, at hun selv havde foretaget dem.
• Sagsøgeren havde tidligere forklaret, at hun selv havde foretaget overførslerne, mens repræsentanter fra Greenfields Capital var med på hendes computer via TeamViewer.

Subsidiært gjorde Jyske Bank A/S gældende, at Sagsøgeren hæftede fuldt ud, da hendes indsigelse var indgivet for sent i henhold til Betalingsloven § 97. Mere subsidiært påstod banken, at Sagsøgeren hæftede fuldt ud i henhold til Betalingsloven § 100, stk. 5, da hun forsætligt havde oplyst sine NemID-oplysninger under omstændigheder, hvor hun indså eller burde have indset risikoen for misbrug. Mest subsidiært påstod banken, at Sagsøgeren hæftede for 8.000 kr. i henhold til Betalingsloven § 100, stk. 4, da hun enten forsætligt havde overgivet sikkerhedsforanstaltningen eller ved groft uforsvarlig adfærd havde muliggjort misbruget.

Jyske Bank A/S fastholdt, at de havde anvendt stærk kundeautentifikation ved overførslerne, jf. Betalingsloven § 100, stk. 7 og Betalingsloven § 128. Banken bestred Sagsøgerens påstand om, at bankens rådgivning om at rense computeren havde fjernet beviser, og henviste til Retsplejeloven § 363 vedrørende nye anbringender. Banken gjorde gældende, at Sagsøgeren havde bevisbyrden for, at der var sket uberettiget brug i henhold til Betalingsloven § 98.

Rettens Begrundelse og Resultat

Retten skulle primært tage stilling til, hvorvidt de omtvistede overførsler var foretaget af Sagsøgeren selv, hvilket ville medføre fuld hæftelse for hende i henhold til Betalingsloven § 82. Hvis overførslerne derimod blev anset for uautoriserede, skulle retten vurdere hæftelsen efter Betalingsloven § 97 og Betalingsloven § 100.

Korrekt Registrering og Bevisbyrde

Retten lagde til grund, baseret på Jyske Banks elektroniske registreringer, at betalingstransaktionerne var korrekt registreret og ikke var ramt af tekniske svigt eller andre fejl. I henhold til Betalingsloven § 98, stk. 1, har betalingstjenesteudbyderen bevisbyrden for dette. Retten bemærkede dog, at Betalingsloven § 98, stk. 2 fastslår, at selve registreringen af brugen af et betalingsinstrument ikke i sig selv er bevis for, at betaleren har godkendt transaktionen, handlet svigagtigt eller undladt at opfylde sine forpligtelser.

Anvendelse af Stærk Kundeautentifikation

Retten fandt, at der var anvendt 2-faktor godkendelse ved begge de omtvistede overførsler. Dette omfattede brug af NemID-loginoplysninger (brugernavn og kodeord) samt enten en kode fra nøglekortet (ved den første overførsel) eller en skjult sessionsnøgle (ved den anden overførsel). Dette opfyldte kravene til stærk kundeautentifikation, som defineret i Betalingsloven § 7 og reguleret af Betalingsloven § 128.

Vurdering af Sagsøgerens Forklaring og Adfærd

Retten lagde vægt på følgende forhold:

• Sagsøgeren havde, trods sin oprindelige intention om at investere 135.000 kr., foretaget 11 indbetalinger og samlet investeret ca. 212.000 kr. umiddelbart op til de omtvistede overførsler.
• Sagsøgeren erkendte at have foretaget to overførsler på 1.000 euro hver den 6. marts 2018, kort før de omtvistede overførsler. Disse blev foretaget fra samme IP-adresse og med samme tekniske oplysninger som de omtvistede overførsler.
• Sagsøgeren kontaktede først Jyske Bank den 27. marts 2018, altså tre uger efter overførslerne, og oplyste om uautoriserede overførsler.
• Vidne 1's notater fra Jyske Banks system vedrørende samtalen med Sagsøgeren understøttede, at betalingerne var sket med Sagsøgerens medvirken og samtykke.

Retten fandt, at betalingerne var sket med Sagsøgerens medvirken og samtykke. Det var herefter ikke godtgjort, at der var tale om uautoriserede overførsler. Den omstændighed, at Sagsøgeren forklarede, at hun ikke havde godkendt transaktionerne med sit NemID, at hun efterfølgende havde underskrevet en tro- og loveerklæring, og at hun formentlig var blevet manipuleret, kunne ikke føre til et andet resultat.

Afgørelse

Da hæftelsesreglerne i Betalingsloven § 100 alene finder anvendelse på uautoriserede betalinger, og retten fandt, at overførslerne var autoriserede, tog retten Jyske Banks påstand om frifindelse til følge.

Sagsøgeren blev pålagt at betale sagsomkostninger til Jyske Bank A/S på 50.000 kr. Beløbet er uden moms, da Jyske Bank A/S er momsregistreret. Sagsomkostningerne skal betales inden 14 dage og forrentes efter Renteloven § 8a.