ARN 2014-10437

Fråga om när en transaktion genomförts och om kontohavare agerat grovt oaktsamt vid obehöriga transaktioner med användande av lösenord till Verified by Visa.

Fråga om när en transaktion genomförts och om kontohavare agerat grovt oaktsamt vid obehöriga transaktioner med användande av lösenord till Verified by Visa. Beslut 2014-10437; 2015-09-21.

AM begärde att banken skulle betala 12 000 kr till henne. När hon skulle betala med sitt visakort upptäckte hon att köpet inte kunde genomföras. När hon ringde bankens kundtjänst nästföljande morgon fick hon veta att ett antal internetköp hade gjorts tre dagar tidigare. Enligt personen på kundtjänst hade köpen ännu inte gått igenom och hon bad därför att köpen skulle stoppas. Tre av köpen gick senare igenom. Banken har därefter vägrat ersätta henne för de reklamerade köpen. Hon har följt de allmänna villkoren och gjort vad som ankommer på henne som kontohavare. Att någon ändå använt hennes uppgifter måste bero på att någon kommit över dessa på ett otillbörligt sätt. Kort- och Verified by Visa- uppgifter stjäls via nätet och används för bedrägerier. Banken har agerat försumligt eftersom företaget, trots vetskap om att köpförsöken var obehöriga, låtit köpen gå igenom.

Banken motsatte sig kravet. Samtliga obehöriga transaktioner har genomförts med användande av korrekt kortnummer, giltighetstid, cvv-kod samt AM:s egenvalda personliga lösenord för Verified by Visa. Transaktionerna har genomförts utan några misslyckade försök och utan byte av lösenordet. Detta innebär att gärningsmannen haft tillgång till såväl kortuppgifterna som AM:s eget Verified by Visa-lösenord. De aktuella transaktionerna hade inte kunnat genomföras om inte AM hade brustit i att skydda såväl sina kortuppgifter som sitt lösenord för Verified by Visa. Detta strider mot de allmänna villkoren för kortet och är grovt oaktsamt. AM:s betalningsansvar uppgår därmed till 12 000 kr. Samtliga köp var redan gjorda när AM kontaktade banken och spärrade kortet. Banken har inte haft någon möjlighet att stoppa redan reserverade transaktioner.

Allmänna reklamationsnämnden gjorde följande bedömning

Parterna är överens om att de anmälda transaktionerna är obehöriga. Lagen (2010:738) om obehöriga transaktioner med betalningsinstrument är därmed tillämplig i ärendet.

Enligt 7 § ansvarar kontohavaren som huvudregel inte för något belopp som har belastat kontot efter det att han eller hon anmält till betaltjänstleverantören att betalningsinstrumentet ska spärras. Frågan i detta fall är alltså om belopp som reserverats får anses ha belastat kontot.

Nämnden konstaterar att anledningen till att ett belopp reserveras när ett köp görs är att garantera säljarens betalning gentemot inlösande bank. Samtidigt hindrar det kontohavaren från att göra ytterligare köp som överstiger kontosaldot/kreditgränsen och övertrassera kontot.

Enligt nämndens mening får lagstiftningen förstås på så sätt att när en betalning görs med kort och kod alternativt lösenordsuppgifter, anses köpet vara genomfört. Därmed har också kontot belastats i lagens mening. Av detta följer således att AM har spärrat kortet först efter det att kontot belastats och att banken av den anledningen inte är skyldig att betala tillbaka pengarna till henne.

Enligt 4 § är en kontohavare skyldig att skydda sin personliga kod, vid vetskap om att betalningsinstrumentet kommit bort eller obehörigen använts snarast anmäla det till betaltjänstleverantören, samt i övrigt följa de villkor som enligt kontoavtalet gäller för användning av betalningsinstrumentet.

Om en obehörig transaktion har kunnat genomföras på grund av att kontohavaren genom grov oaktsamhet åsidosatt sina skyldigheter enligt 4 §, ansvarar kontohavaren för beloppet enligt 6 § samma lag. Om kontohavaren är en konsument är ansvaret dock normalt begränsat till 12 000 kr.

2014-10437

2015-10-13

054

Med begreppet grov oaktsamhet menas, enligt lagförarbetena, ett markant avsteg från aktsamhetsnormen. Kontohavaren ska ha varit obetänksam i sådan grad att han eller hon inte är ursäktad. Vid bedömningen av om en kontohavare varit grovt oaktsam får en samlad bedömning göras utifrån den miljö och situation som kontohavaren befunnit sig i samt kontohavarens möjlighet att skydda sig mot en obehörig transaktion (prop. 2009/10:122 s. 27).

Transaktionerna har skett genom att kortnummer och lösenord till tjänsten Verified By Visa har använts. Lösenordet har AM själv valt och endast hon haft kännedom om. Det finns inget i ärendet som talar för att transaktionerna kunnat utföras på grund av tekniska brister i bankens säkerhetsrutiner. Det framstår vidare som högst osannolikt att transaktionerna skulle ha kunnat ske utan att AM lämnat ut kortuppgifter och lösenordet för Verified by VISA. Mot den bakgrunden anser nämnden att de obehöriga transaktionerna har kunnat ske genom att kontohavaren handlat grovt oaktsamt. AM:s krav ska därför avslås.