ARN 2015-07403

Det är banken som ska bevisa att kontohavaren handlat grovt oaktsamt och i strid mot de allmänna villkoren när det gäller obehöriga transaktioner där lösenordet till Verified by Visa har använts. Det är rimligt att banken får bära konsekvensen av det svåra bevisläget i de fall där det inte finns någon anledning att ifrågasätta kontohavarens uppgifter.

KM begärde att banken skulle avstå från betalningskravet om 12 000 kr mot honom. KM upptäckte att hans kreditkort var spärrat och att obehöriga transaktioner skett på hans konto trots att han hade kvar kortet, aldrig lämnat ut sina koder eller haft koderna nedskrivna någonstans. Han har använt sitt kort på det sätt som banken beskrivit i sina allmänna villkor och är därför inte betalningsskyldig för de obehöriga transaktionerna. Hans dator har både brandvägg och de senaste virusprogrammen. De betalplatser han använt på nätet är godkända av VISA och det kan inte vara grovt oaktsamt att lämna ut de uppgifter som VISA begär för att han ska få handla med kortet. Bankens och VISA:s verifieringssätt är inte tillräcklig säkert och banken borde ändra sitt verifieringssystem från statiskt till dynamiskt. Det är banken som ska bevisa att han varit grovt oaktsam med sina kortuppgifter.

Banken motsatte sig kravet. Transaktionerna har genomförts via internet med korrekta kortuppgifter och korrekt Verified by VISA-lösenord utan misslyckade försök eller byte av egenvalt lösenord. Detta innebär att den eller de som genomfört transaktionerna har haft tillgång till såväl kortuppgifterna som anmälarens egenvalda Verified by Visa-lösenord och att de reklamerade transaktionerna inte hade kunnat genomföras utan dessa uppgifter och lösenord. Den enda förklaringen till att någon obehörig har fått reda på uppgifterna är således att KM har underlåtit att, på det sätt som föreskrivs i de allmänna villkoren, skydda dem vid användning av kortet.

Allmänna reklamationsnämnden gjorde följande bedömning

Såväl KM som banken utgår från att transaktionen är obehörig. Tvisten ska därmed bedömas enligt bestämmelserna i lagen (2010:738) om obehöriga transaktioner med betalningsmedel. Med lagen genomförs Betaltjänstdirektivet (2007/64/EG). Enligt regelverket har betaltjänstleverantören bevisbördan i två avseenden: att kontohavaren brustit när det gäller föreskriven hanteringen av kontouppgifterna men också att registreringen av transaktionen är korrekt.

Enligt lagen är en kontohavare skyldig att skydda sin personliga kod. Kontohavaren är vidare skyldig att snarast anmäla till banken om betalningsinstrumentet kommit bort eller använts obehörigen. Slutligen är kontohavaren skyldig att följa villkoren i kontoavtalet (4 §).

I KM:s avtal med banken anges bl.a. att kortet är personligt och inte får lämnas till eller användas av någon annan. Kontohavaren ska skydda kortet och, där risken för stöld är stor, hålla kortet under kontinuerlig uppsikt. Utöver lagens bestämmelser med avseende på den personliga koden anges det i villkoren att koden inte får avslöjas för någon och att kontohavaren ska skydda den vid användning, så att inte utomstående kan se den. Vidare förbinder sig kortinnehavaren att inte anteckna kortkoden på kortet eller förvara anteckning om koden tillsammans med kortet eller i dess närhet. I villkoren anges också att kortet kan användas för internetbetalning om det ansluts till tjänsten Verified by Visa. För det lösenord som är kopplat till denna tjänst gäller samma avtalsvillkor som för den personliga säkerhetskoden. Bestämmelserna om betalningsansvar stämmer överens med vad som föreskrivs i lagen (5-8 §§). Det innebär att om en obehörig transaktion kunnat genomföras till följd att kontohavaren inte skyddat den personliga koden, svarar han eller hon för beloppet upp till 1 200 kr. Har en obehörig transaktion kunnat genomföras genom att de i lagen eller avtalet uppställda villkoren

2015-07403

2016-05-23

022

inte har iakttagis och detta beror på grov oaktsamet, så som detta begrepp definierats, svarar en konsument för beloppet upp till 12 000 kr. Har konsumenten handlat särskilt klandervärt svarar han eller hon för hela beloppet.

Enligt förarbetena till lagen är det i princip betaltjänstleverantören som ska bevisa att kontohavaren har brutit mot en förpliktelse som följer av lagen eller avtalet och om detta skett genom grov oaktsamhet eller handlandet varit särskilt klandervärt. Samtidigt kan det ställas vissa krav på kontohavaren att bidra till utredningen, t.ex. genom att ange var och när betalningsinstrumentet senast användes. I praktiken får kontohavarens uppgifter många gånger läggas till grund för bedömningen. Beroende på omständigheterna kan kontohavaren dock behöva redovisa något som ger stöd åt hans eller hennes uppgifter (se prop. 2009/10:122 s. 27-28).

I förarbetena till lagen behandlas också den situationen att kontohavaren nekar till att ha godkänt transaktionen. Utgångspunkten för diskussionen är den särskilda bestämmelse i ämnet, som finns i Betaltjänstdirektivet (Artikel 59). Enligt bestämmelsen ska betaltjänstleverantören kunna styrka att transaktionen godkänts, registerats korrekt, kontoförts och inte påverkats av ett tekniskt fel eller någon annan bristfällighet. Att leverantören kan visa att kontohavaren använt ett visst betalningsinstrument är inte tillräckligt för att visa att kontohavaren försummat sina skyldigheter enligt avtalsvillkoren. Det är, konstateras det i förarbetena, leverantören – inte kontohavaren – som kan föra bevisning att transaktionen godkänts och inte påverkats av ett tekniskt fel eller likande brist. Enligt allmänna principer är det leverantören som har bevisbördan för dessa förhållanden och det har inte krävts någon lagregel för att klargöra detta (prop. 2009/10:122 s. 19).

Det är allmänt känt att säkerheten på internet är bristfällig och att det förekommer falska meddelanden och andra former av angrepp samt att internetbedrägerierna har ökat de senaste åren. För att öka säkerheten vid betalningar på internet har säkerhetslösningar införts som bygger på en global standard utvecklad av MasterCard och Visa; för Visa-kort den ovan nämnda tjänsten Verified by Visa och för MasterCard-kort tjänsten MasterCard SecureCode. Säkerhetslösningarna innebär att kontohavaren identifierar sig med ett lösenord för att bekräfta sitt kortköp på internet. I vissa fall väljer kontohavaren själv sitt lösenord, i andra fall krävs exempelvis att kontohavaren bekräftar sitt köp med en kortläsare eller BankID.

Enligt nämnden har en kontohavare rätt att förvänta sig att det tekniska system som leverantören tillhandahåller är säkert.

I de fall en obehörig transaktion godkänts med en personlig säkerhetskod, eller med en sådan i kombination med koden för Verified by Visa eller MasterCard SecureCode, är det när nog omöjligt för kontohavaren att utreda vad som hänt och ge in tekniskt underlag till stöd för sitt påstående att han eller hon inte har underlåtit att skydda koden eller varit grovt oaktsam vid hantering av koden. Även om systemet med Verified by Visa och MasterCard SecureCode generellt sett kan sägas vara säkert anser nämnden att det inte går att dra slutsatsen att kontohavaren måste ha underlåtit att skydda sin kod eller ha varit grovt oaktsam i lagens mening, enbart av den anledningen att transaktionen godkänts med koden till Verified by Visa eller MasterCard SecureCode. Det kan inte uteslutas att någon obehörig person kommit åt koden exempelvis via en kapad hemsida som kontohavaren besökt eller att kontohavaren utan egen förskyllan fått ett s.k. trojanvirus eller annan fientlig kod i sin dator och någon obehörig person därefter har kunnat läsa av lösenord m.m. Risken är större i de fall kontohavaren, enligt det system som leverantören tillhandahåller, ska använda en egenvald statisk kod för att bekräfta sitt internetköp än om koden ges dynamiskt.

I många fall torde det vara svårt för en betaltjänstleverantör att ta fram tekniskt underlag eller annan utredning som kan styrka att kontohavaren inte skyddat sin kod eller varit grovt oaktsam i lagens mening. Motsvarande torde gälla när kontohavaren förnekar transaktionen under hänvisning till tekniskt fel eller liknande brist. Som påpekas i förarbetena följer det av allmänna principer att bevisbördan i dessa fall ligger på leverantören. Kravet på bevisning måste dock anpassas till de speciella förutsättningar som här föreligger. Det är dock enligt nämnden rimligt att leverantören får bära konsekvensen av det svåra bevisläget i de fall där det inte finns någon anledning att ifrågasätta kontohavarens uppgifter men det av säkerhetsskäl eller tekniska omständigheter inte går att redovisa transaktionens förlopp.

Det är ostridigt att transaktionerna har skett genom att KM:s kortuppgifter och egenvalda lösenord till tjänsten Verified by Visa har använts. Det är emellertid, som ovan nämnts, banken som ska bevisa att KM faktiskt har handlat grovt oaktsamt och i strid mot de allmänna villkoren. KM har anfört att han inte lämnat ut sina uppgifter utan använt sitt kort på avsett sätt. I ärendet finns inga omständigheter som ger nämnden anledning att ifrågasätta KM:s uppgifter och banken har heller inte gett in någon bevisning som motsäger hans påståenden.

Sammanfattningsvis finner nämnden att banken, mot KM:s bestridande, inte visat att han varit grovt oaktsam. Banken har inte bemött KM:s påstående att en bristfällighet i de system banken tillhandahåller kan ha gjort ett obehörigt godkännande av transaktionen möjlig. Banken har endast anfört att den enda förklaringen till att någon obehörig har fått reda på uppgifterna är att anmälaren har underlåtit att på föreskrivet sätt skydda uppgifterna vid användning av kortet. Nämnden anser att detta inte är tillräckligt med hänsyn till vad som uttalats i förarbetena om en betaltjänstleverantörs bevisbörda för att transaktionen har godkänts, registrerats korrekt och inte påverkats av teknisk fel eller annan bristfällighet. Av detta följer att banken ska rekommenderas att avstå från sitt krav att KM ska betala 12 000 kr till banken.