Medierapporteringen vittnar nästan dagligen om hur människor utsätts för bedrägerier per telefon och på andra sätt. Men vem är det som står för risken om ett bedrägeri sker, det vill säga, vem drabbas ekonomiskt? I det här fallet går JP Infonets expert Gastón Fernández Palma igenom en aktuell dom från Högsta domstolen där en person utsattes för ett bedrägeri och där banken slutligen fick stå för förlusten.
Att lämna ut sina bank-id-koder till en bedragare är inte ”särskilt klandervärt handlande”
Högsta domstolen 2022-06-21, mål nr T 4623-21 ”Bank-id-bedrägeriet”
Möjligheterna att genomföra finansiella transaktioner på distans har genom teknikens landvinningar ökat markant. Det är numera vanligt att via internet exempelvis överföra pengar från ett bankkonto till ett annat samt att ansöka om och beviljas ett lån, det vill säga utan att behöva besöka en bank personligen. Det är dock tyvärr inte bara möjligheterna utan även riskerna som har ökat.
BAKGRUND
Personen A var kund hos bland annat bankerna B och C. Torsdagen den 2 augusti 2018 blev A uppringd av personen D som uppgav att han ringde från banken C:s säkerhetsavdelning. D uppgav att A inte hade besvarat ett brev från C i vilket C krävde skriftligt samtycke från A för personuppgiftsbehandling enligt GDPR. D sa att för att A inte skulle strykas som C:s bankkund behövde A senast dagen efter gå till ett bankkontor och godkänna att C fick behandla A:s personuppgifter. A hade på grund av arbetsskäl inte tid att besöka banken senast dagen efter. D erbjöd sig då att lösa situationen per telefon om A kunde legitimera sig, vilket skedde genom bank-id. När A försökte legitimera sig dök banken B:s namn upp varpå D sa att detta var på grund av att det var banken B som hade utfärdat det aktuella bank-id:t. I och med att A saknade sin säkerhetsdosa kunde han dock inte legitimera sig varpå A och D kom överens om att höras på kvällen.
På kvällen ringde D till A och uppgav att A på grund av säkerhetsskäl behövde förnya sitt bank-id. D instruerade A hur han skulle skapa ett nytt bank-id, vilket även inkluderade utlämnande av koder från bankdosan till D. Bank-id kom dock att skapas på en enhet som D hade tillgång till. Med hjälp av det nya bank-id:t genomförde D två Swish-överföringar om totalt 150 000 kronor. Den 3 augusti överfördes ytterligare 247 00 kronor från A:s konto hos banken B. Samtliga överföringar gjordes utan A:s vetskap eller godkännande. Måndagen den 6 augusti upptäckte A de obehöriga uttagen genom att han fick en upplysning om att en kreditupplysning hade gjorts avseende honom. Han spärrade omedelbart kontona samt polisanmälde bedrägeriet. Det visade sig att D, utöver ovan nämnda summor, hade lyckats ta ut 35 000 kronor från A:s konto hos banken C samt hade ansökt om en kredit hos banken E.
A har därefter krävt att banken B ska ersätta honom med 385 000 kronor.
RÄTTSREGLER
De regler som är aktuella att beakta finns i lagen om betaltjänster (LBT). Av 5 a kap. 1–3 §§ och 5 kap. 6 § LBT framgår i huvudsak att om det har genomförts en obehörig transaktion från en kontohavares konto ska hans eller hennes betaltjänstleverantör (exempelvis en bank) stå för förlusten. Detta gäller dock inte om en obehörig transaktion exempelvis har kunnat ske på grund av att en kund genom grov oaktsamhet inte har skyddat de personliga behörighetsfunktioner (till exempel en kod) som är knutna till ett betalningsinstrument såsom ett bankkort. I sådana fall ansvarar en konsument för högst ett belopp om 12 000 kronor. Om konsumenten har handlat särskilt klandervärt ansvarar han eller hon dock för hela beloppet.
I denna del kan det även noteras att med obehörig transaktion avses en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot samt att personlig behörighetsfunktion innebär en personligt anpassad funktion som betaltjänstleverantören tillhandahåller betaltjänstanvändaren för autentiseringsändamål.
FÖRARBETEN
Den huvudsakliga frågan i målet är om A, som är en konsument, har agerat grovt oaktsamt och särskilt klandervärt. Detta regleras i 5 a kap. 3 § LBT. Frågan reglerades dock tidigare i 6 § lagen (2010:738) om obehöriga transaktioner med betalningsinstrument och förarbetena till denna bestämmelse är aktuella än i dag.
Av förarbetena framgår inledningsvis att vid bestämmelsens införande anförde regeringen att det inte fanns skäl att ha ett lägre konsumentskydd för transaktioner via internet- och telefonbank än för transaktioner med andra betalningsinstrument. Det påtalades att med hänsyn till risken för stora förluster fanns det för konsumenterna generellt sett ett större behov av en takregel vid obehöriga transaktioner över internet än vid andra obehöriga transaktioner. Enligt regeringens mening borde därför inte konsumenter – ens vid grov oaktsamhet – stå hela risken för en betydande förlust (se prop. 2009/10:220 s. 18).
Av förarbetena framgår vidare att grov oaktsamhet framför allt handlar om situationer där kontohavaren varit obetänksam på ett sätt som inte kan ursäktas. För att en kontohavare genom grov oaktsamhet ska anses ha brutit mot en förpliktelse (såsom att exempelvis skydda sin kod) ska det vara fråga om ett markant avsteg från aktsamhetsnormen. Bestämmelsen tar enligt förarbetena sikte på fall då kontohavaren kan anses ha varit obetänksam i en sådan grad att han eller hon inte är ursäktad. För att avgöra om kontohavaren orsakat transaktionen genom grov oaktsamhet får en samlad bedömning göras utifrån den miljö och situation kontohavaren befunnit sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Det måste naturligtvis beaktas om kontohavaren är konsument. Personliga omständigheter kan ha betydelse för bedömningen, till exempel kontohavarens ålder. Det är i princip betaltjänstleverantören som ska visa att kontohavaren av grov oaktsamhet har brutit mot en förpliktelse som följer av lagen och att detta lett till den obehöriga transaktionen (se prop. 2009/10:220 s. 27 f.).
Avseende om en konsument har handlat särskilt klandervärt och detta har lett till att en obehörig transaktion har kunnat genomföras riktar denna bestämmelse in sig på situationer då kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behövde stå för någon del av beloppet. Det ska närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. När lagen talar om särskilt klandervärt avses alltså kvalificerade former av grov oaktsamhet (se prop. 2009/10:220 s. 29).
TINGSRÄTTENS DOM
Av tingsrättens dom i nu aktuellt fall framgår bland annat följande. Rätten ansåg att konsumenten A i huvudsak hade lämnat en trovärdig berättelse och utgick därför från denna vid sin bedömning. Domstolen konstaterade att A hade utsatts för ett bedrägeri samt att A (bland annat enligt egna uppgifter) hade agerat grovt oaktsamt. Frågan var dock om han hade agerat särskilt klandervärt. Det som enligt rätten talade emot att A skulle anses ha handlat särskilt klandervärt var att han hade utsatts för ett mycket förslaget bedrägeri. Situationen hade även inledningsvis framstått som relativt pressad då det uppgavs att han riskerade att bli struken som kund. Enligt rätten fanns det inget som tydde på att A förstod att hans användning av bankdosan och utlämnande av koder från denna riskerade att få negativa konsekvenser i den aktuella situationen. Han kunde således inte genom sitt handlande anses ha varit likgiltig till risken att obehöriga transaktioner skulle genomföras. Utifrån de krav på särskilt klandervärt handlande som ställs upp i lagstiftningen ansågs det heller inte stötande att banken fick stå för en del av det belopp som överfördes från A:s konto. Banken fick därför återbetala 397 000 kronor minus 12 000 kronor (som är den självrisk en konsument måste stå för vid grov oaktsamhet).
HOVRÄTTENS DOM
Hovrätten kom till motsatt slutsats och ogillade A:s talan. Som skäl för sin inställning angav hovrätten att A genom att vid upprepade tillfällen använda sitt mobila bank-id och lämna ut koder hade åsidosatt sina skyldigheter. Dessa följer av såväl lagen om betaltjänster som de allmänna villkoren, som enligt avtalet gällde för användning av det mobila bank-id:t. Hovrätten konstaterade att A själv hade vitsordat att han hade agerat grovt oaktsamt. Det som medförde att hovrätten fann att han även hade agerat särskilt klandervärt var följande. Enligt rätten fick det anses vara allmänt känt att bankkunder inte ska lämna ut koder och lösenord eller i övrigt ge andra personer tillgång till sina internetbanker. Rätten ansåg att A inte kunde anses ha befunnit sig i en särskilt pressad eller utsatt situation vid det första samtalet. Redan genom att ha legitimerat sig med sina personliga koder på uppmaning av en okänd person fick han därför anses ha tagit en risk som utgjorde en kvalificerad form av oaktsamhet. Inför det andra samtalet vidtog A heller inga egentliga åtgärder för att förvissa sig om att den person han talade med ringde från banken eller att uppgifterna som lämnades var riktiga. Han kunde exempelvis ha motringt banken, ställt kontrollfrågor eller på annat sätt ha sökt efter information. A ansågs därför ha varit likgiltig inför de risker som hans handlande innebar.
HÖGSTA DOMSTOLEN
Högsta domstolen ändrar domen och kommer till samma domslut som tingsrätten. Skälen för detta är i huvudsak följande. Enligt HD ska en konsument anses ha agerat särskilt klandervärt om denne (förutom vid bedrägerier) med avsikt har överlämnat sina personliga behörighetsfunktioner, till exempel inloggningsuppgifter till bank-id, till en obehörig person och då insett eller haft anledning att misstänka att det förelegat en betydande eller närliggande risk för att hans eller hennes handlande kunnat medföra en förlust. Ett annat exempel är om konsumenten var medveten om, det vill säga faktiskt insåg, att det fanns en risk för en obehörig transaktion men ändå agerade på ett sätt som innebär ett brott mot 5 kap. 6 § LBT. Vid denna bedömning får det särskild betydelse till vem han eller hon uppfattade att den personliga behörighetsfunktionen lämnades ut. Den bedömning som görs av om en konsument har agerat särskilt klandervärt ska i princip göras objektiverat, det vill säga utifrån hur en konsument av motsvarande slag i samma situation typiskt sett skulle ha agerat. Här kan olika faktorer behöva beaktas såsom den miljö och situation som konsumenten befann sig i, hans eller hennes ålder och erfarenhet, hur förslaget bedrägeriet har varit samt vad konsumenten har eller borde ha förstått beträffande de uppgifter som lämnades till bedragaren och de möjliga konsekvenserna av att de lämnades ut.
Rätten pekar i skälen på att dataskyddsförordningen trädde i kraft i maj 2018 och att detta var något som i betydande omfattning aktualiserade kontakter mellan företag och konsumenter. Domstolen redogör även för det förslagna bedrägeriet som drabbade A. Enligt domstolen uppvisade han en betydande vårdslöshet genom att vid det andra samtalet lämna ut koderna från bankdosan. Högsta domstolen anser dock att det inte har bevisats att han i samband med de båda samtalen avsiktligen lämnade ut koderna till en obehörig person. Det kan heller inte anses bevisat att A agerade som han gjorde med insikt om att det fanns en risk för de obehöriga transaktionerna som kom att utföras. Det rör sig därför inte om ett särskilt klandervärt handlande.
SLUTSATSER
Domen är intressant då Högsta domstolen för första gången (mig veterligt) tolkar vad som kan anses vara ett särskilt klandervärt beteende. Den innehåller även andra intressanta aspekter som är värda att notera.
BEVISNING
Det första som är iögonfallande är frågorna avseende bevisningen. Som framgår av domen och förarbetena är det betaltjänstleverantören som har bevisbördan för att konsumenten har handlat särskilt klandervärt. Redan detta kan leda till problem för exempelvis banker som har att visa att konsumenten har agerat bedrägligt, att han eller hon med avsikt har överlämnat sina personliga behörighetsfunktioner till en obehörig person och då insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlande kunde medföra en förlust eller att konsumenten var medveten om, det vill säga faktiskt insåg, att det fanns en risk för en obehörig transaktion men ändå agerade på ett sätt som innebär ett brott mot 5 kap. 6 § LBT.
Detta leder mig till följande slutsatser i denna del. För att visa att det föreligger ett bedrägeri kommer det att behövas en brottmålsdom alternativt en bevisning av samma styrka som krävs för en fällande brottmålsdom. Med hänsyn till att banker inte är och heller inte ska vara lämpade för att bedriva brottsutredningar kommer denna utväg (om inte en brottmålsdom föreligger) i princip att vara stängd. Ytterligare en möjlig konsekvens av denna aspekt är att banker kommer att behöva polisanmäla individer vilket är negativt för samtliga inblandade.
I samma härad ligger möjligheten att kunna bevisa att konsumenten faktiskt insåg att det fanns en risk för en obehörig transaktion. Som domen är formulerad räcker det inte att visa att konsumenten hade anledning att misstänka en risk eller att det var sannolikt att det fanns en risk. Min slutsats är att Högsta domstolen kräver att betaltjänstleverantören presenterar en stark bevisning avseende ett svårbevisat rekvisit. Konkret innebär detta att det måste bevisas att konsumenten faktiskt insåg en risk med mindre än att den enskilde själv vidgår omständigheterna. Det är dock inte klart om det räcker med att göra detta faktum sannolikt eller om det måste vara styrkt. Oavsett så innebär detta stora utmaningar för betaltjänstleverantörer.
Således återstår enbart att visa att konsumenten med avsikt har överlämnat sina personliga behörighetsfunktioner till en obehörig person och då insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlande kunde medföra en förlust. Det kan här noteras att HD:s dom delvis är oklar då det anges att ”det är emellertid inte bevisat att han i samband med de båda samtalen avsiktligen lämnade ut koderna till en obehörig person”. Detta rimmar inte helt med övriga delar av domen då det av denna framgår att A de facto lämnade ut koderna till en bedragare (en obehörig person). Det som är oklart är om det i avtalet med kunden anges till vem koderna får lämnas ut, det vill säga om sådana får lämnas ut till en anställd vid banken. Om det anges i avtalet att koderna inte får lämnas ut till någon så måste per definition utlämnandet anses ske med avsikt och då till en obehörig person. Det är heller inte tydligt om domstolen bedömer det andra ledet om att ”konsumenten insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlade kunde medföra en förlust”.
Sammanfattningsvis är domen intressant och ger en viss vägledning om hur exempelvis banker och konsumenter bör agera för att kunna säkerställa sina intressen. Konsumenter behöver veta till vem de får lämna ut koder och på vilket sätt och banker behöver förtydliga och informera sina kunder såväl i sina avtal som på andra sätt hur kontakter och interaktioner mellan banker och kunder ska ske. Vissa initiativ kring detta kan redan nu noteras då det ofta på bankers hemsidor anges att man aldrig ber om sina kunders lösenord per telefon och att kunder därför inte ska lämna ut sådana om någon ringer och uppger sig ringa från banken. Detta behöver dock även regleras i avtalen med kunderna försåvitt detta inte redan sker.
BANK-ID
Avslutningsvis kan några ord nämnas om ett uttalande som Högsta domstolen gör. I domen anger domstolen att bank-id är ett betalningsinstrument men frågan är om bank-id i sig faktiskt är ett betalningsinstrument och/eller något annat. Av uppgifter från det företag som står bakom bank-id framgår att detta är en e-legitimation som används till att styrka sin identitet på Internet. Bank-id kan förvisso användas för att delvis initiera en transaktion men det sker dock med stöd av exempelvis en applikation såsom Swish-appen. Bank-id är således snarare en personlig behörighetsfunktion som tillhandahålls för autentiseringsändamål.
En av anledningarna till att det är viktigt att göra denna distinktion är för att 5 a kap. 4 § LBT anger att kontohavaren inte ansvarar för något belopp som har belastat kontot efter det att kontohavaren har anmält till betaltjänstleverantören att betalningsinstrumentet ska spärras. Frågan är här vad som ska anmälas och till vem? Är det spärrning av interaktionen mellan konsumenten och banken eller identifikationsmöjligheten via bank-id som ska anmälas och i så fall till samtliga banker man har ett förhållande till?
Det kan förvisso noteras att enligt uppgifter från det företag som ger ut bank-id anses detta utgöra ett betalningsinstrument i LBT:s mening men frågan som uppstår då är vem som ger ut bank-id? Det kan ju exempelvis uppstå en situation när en konsument använder ett kreditkort från en bank som inte själv ger ut bank-id men som använder sig av bank-id för att initiera en transaktion vid till exempel ett köp via internet. Medlen kommer då att dras från den bank som har gett ut kreditkortet men det är kreditkortet tillsammans med bank-id som initierar eller ger upphov till transaktionen. Frågan är därför hur ansvaret regleras i dessa delar och vem konsumenten ska vända sig till vid problem.
Sammanfattningsvis ger domen viss vägledning kring hur konsumenters agerande ska bedömas men den reser också andra intressanta frågor kring bank-id. Mer följer säkert inom en förhoppningsvis inte alltför avlägsen framtid.
Gastón Fernández Palma
Compliance Officer på Cirio Advokatbyrå