Hemförsäkring täcker inte IBAN-uppgifter lämnade i chatt
En tysk domstol har beslutat att en hemförsäkrings cyberförsäkring inte gäller när IBAN-uppgifter lämnas ut i en chatt. Fallet belyser vikten av tydliga försäkringsvillkor.
Tingsrätten i Bernau, Tyskland, har slagit fast att en hemförsäkring inte behöver täcka en förlust som uppstår när en person lämnar ut sina bankkontonummer (IBAN) och kreditkortsuppgifter i en chatt. Beslutet meddelades i ett fall där en säljare lurades att avslöja sina uppgifter på en falsk webbplats.
I det aktuella fallet sålde en kvinna barnvagnar via plattformen Vinted. En person som utgav sig för att vara köpare kontaktade henne och uppgav att betalningen redan var genomförd. Kvinnan fick därefter en länk till ett chattforum, där en person som påstod sig vara från plattformens kundtjänst bad henne att ange sitt IBAN-nummer och sina kreditkortsuppgifter. Följande blev hon ombedd att godkänna en transaktion i sin bankapp, vilket resulterade i att nästan 2000 euro drogs från hennes konto.
Kvinnan hävdade att hennes hemförsäkring, som inkluderar ett tilläggsskydd för cyberrisker och nätfiskeattacker, borde täcka förlusten. Tingsrätten avslog dock hennes anspråk. Domstolen menade att situationen inte motsvarade ett försäkrat nätfiskefall enligt försäkringsvillkoren. Domarna noterade att IBAN-nummer och kreditkortsuppgifter inte betraktas som "konfidentiella åtkomstuppgifter" på samma sätt som lösenord, PIN-koder eller TAN-koder, eftersom de regelbundet delas i samband med betalningstransaktioner.
Vidare konstaterade domstolen att skadan inte orsakades av obehörig åtkomst till hennes nätbanksuppgifter. Avgörande var istället att kvinnan själv bekräftade betalningen i sin bankapp, och domstolen ansåg att hon borde ha insett att hon initierade en betalning till en tredje part. Domstolen lämnade öppen frågan om bedrägeri via ett chattforum överhuvudtaget skulle falla under försäkringens definition, då formuleringen specifikt hänvisade till falska e-postmeddelanden.
Fallet understryker hur försäkringsvillkor för cyberbrott kan vara snävt formulerade. Ofta täcker de endast situationer där angripare får tillgång till inloggningsuppgifter genom falska e-postmeddelanden. Liknande fall har förekommit tidigare i Tyskland, där försäkringsbolag har vägrat ersättning på grund av tekniska detaljer i villkoren, som exempelvis skillnaden mellan nätfiske via e-post och SMS.