ARN 2018-13498

En konsument blev utsatt för ett bedrägeri genom att han, på uppmaning av en bedragare, använde sitt Mobila BankID utfärdat av S-banken och möjliggjorde för bedragaren att beställa ett nytt Mobilt BankID från S-banken och föra över pengar från konsumentens konto i D-banken. Trots att en annan bank hade utfärdat det Mobila BankID som användes för att göra den obehöriga transaktionen är det villkoren mellan konsumenten och D-banken som gäller vid bedömningen av om konsumenten har agerat oaktsamt enligt reglerna om obehöriga transaktioner i betaltjänstlagen.

En konsument blev utsatt för ett bedrägeri genom att han, på uppmaning av en bedragare, använde sitt Mobila BankID utfärdat av S-banken och möjliggjorde för bedragaren att beställa ett nytt Mobilt BankID från S-banken och föra över pengar från konsumentens konto i D-banken. Trots att en annan bank hade utfärdat det Mobila BankID som användes för att göra den obehöriga transaktionen är det villkoren mellan konsumenten och D-banken som gäller vid bedömningen av om konsumenten har agerat oaktsamt enligt reglerna om obehöriga transaktioner i betaltjänstlagen.

Beslut 2019-05-13; 2018-13498

QZ begärde ersättning med 94 000 kr för obehöriga transaktioner.

I sin anmälan till nämnden uppgav QZ följande. Den 8 maj 2018 blev han uppringd av en person som utgav sig för att vara från polisen. Personen sökte egentligen hans fru och eftersom hon inte var hemma ombads QZ att identifiera sig med sitt Mobila BankID för att personen skulle kunna skicka några dokument till frun rörande hennes företag. När personen ringde igen lite senare var frun fortfarande inte var hemma och personen ville boka en tid med henne till veckan därpå. Personen bad QZ att legitimera sig med BankID, vilket han gjorde. Efter samtalet kontrollerade QZ sina bankkonton och upptäckte att bedragarna hade skapat ett nytt Mobilt BankID och överfört 94 000 kr från QZ:s konto i D-banken.

D-banken motsatte sig kravet.

I sitt svar till nämnden uppgav D-banken följande.

Av BankID-loggen framgår att QZ identifierade sig två gånger gentemot S-banken och att det namn som syntes i BankID-appen vid identifieringen var ”S-banken”. Genom detta möjliggjorde QZ för bedragaren att beställa ett nytt Mobilt BankID från S-banken. Med det nya Mobila BankID:t identifierade sig bedragaren mot D-banken och förde med hjälp av Swish över 94 000 kr från QZ:s konto i D-banken.

Vid bedömningen av om kunden varit grov oaktsam eller särskilt klandervärd i sin hantering av betalningsinstrumentet vid obehöriga transaktioner, saknar det enligt bankens uppfattning betydelse vilken bank som utfärdat det Mobila BankID som används. Av villkoren för Mobilt BankID framgår att Mobilt BankID är att betrakta som en värdehandling och ska förvaras och hanteras på ett betryggande sätt. Innehavaren är skyldig att följa de villkor som följer med avtalet om Mobilt BankID, exempelvis att inte avslöja koden för annan.

QZ har dels brustit i att skydda sitt BankID, dels agerat på ett likgiltigt sätt. Banken anser därför att skulle vara stötande om banken skulle stå för beloppet. QZ har agerat särskilt klandervärt i betaltjänstlagens mening och får bära ansvaret för de reklamerade transaktionerna. I vart fall har han genom sitt beteende inte hanterat sitt BankID och dess kod enligt villkoren och lagen och ska därför anses ha agerat grovt oaktsamt och ska därför svara för 12 000 kr.

2018-13498

2019-05-13

026

Allmänna reklamationsnämnden, i utökad sammansättning, gjorde följande bedömning.

Betaltjänstlagen

Från och med den 1 maj 2018 finns bestämmelser om obehöriga transaktioner i lagen (2010:751) om betaltjänster (betaltjänstlagen). Lagen gäller för avtal som har ingåtts från och med den 1 maj 2018. De villkor för banktjänsterna som var tillämpliga vid tiden för de nu aktuella transaktionerna började gälla den 1 maj 2018. Avtalet om banktjänster ska därför anses ha ingåtts det datumet. Reglerna om obehöriga transaktioner i betaltjänstlagen är därmed tillämpliga.

En betaltjänstanvändare är skyldig att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet och vid vetskap om att betalningsinstrumentet kommit bort eller obehörigen använts snarast anmäla detta till betaltjänstleverantören och i övrigt följa de villkor som enligt avtalet gäller för användning av betalningsinstrumentet (5 kap. 6 §). Om obehöriga transaktioner från en kontohavares konto har kunnat genomföras till följd av att en skyldighet enligt 5 kap. 6 § åsidosatts genom grov oaktsamhet, ansvarar kontohavaren för hela beloppet. Är kontohavaren konsument är ansvaret begränsat till högst 12 000 kr. Har kontohavaren handlat särskilt klandervärt, ansvarar hen dock för hela beloppet (5 a kap. 3 §).

Reglerna i 5 a kap. 3 § om kontohavarens ansvar vid grov oaktsamhet och särskilt klandervärt handlande motsvarar de numera upphävda reglerna i 6 § lagen om obehöriga transaktioner med betalningsinstrument. Enligt förarbetena till den lagen tar bestämmelserna om grov oaktsamhet sikte på situationer då kontohavaren har varit obetänksam på ett sätt som inte kan ursäktas. Vid bedömningen ska särskild hänsyn tas till arten av de personliga säkerhetsanordningar som hör till betalningsinstrumentet och till de omständigheter under vilka det förlorades, stals eller missbrukades. En samlad bedömning får göras utifrån den miljö eller situation kontohavaren befunnit sig i samt hens möjligheter att skydda sig mot en obehörig transaktion. Det måste också tas hänsyn till om kontohavaren är en konsument. Personliga omständigheter kan ha betydelse för bedömningen, t.ex. kontohavarens ålder (se prop. 2009/10:122 s. 17 och 27 f.).

Om kontohavaren varit grovt oaktsam, ska ställning tas till om hen kan anses ha handlat särskilt klandervärt. Enligt nämnda förarbeten kan så vara fallet om kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behöver stå för någon del av den obehöriga transaktionen. Det ska närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. Som exempel nämns att kontohavaren – trots villkoren – lämnar kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang, eller att kontohavaren lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid (se prop. 2009/10:122 s. 29).

Avtalsvillkoren

På uppmaning av bedragaren använde QZ sitt Mobila BankID utfärdat av S-banken och möjliggjorde för bedragaren att beställa ett nytt Mobilt BankID från S-banken. Med användning av det nya Mobila BankID:t identifierade sig bedragaren mot D-banken och swishade över pengar från QZ:s konto i banken. Nämnden konstaterar att det, oavsett vilken bank som har utfärdat säkerhetslösningen, är villkoren mellan QZ och D-banken som gäller vid bedömningen av om QZ har agerat oaktsamt.

Av D-bankens generella villkor framgår att ett betalningsinstrument är ett personligt instrument eller personlig rutin som enligt avtal används för att initiera en betalningsorder, t.ex. kontokort, internetbanken, Swish, BankID, Mobilt BankID eller säkerhetsdosa. Till ett betalningsinstrument kan vara kopplat personliga behörighetsfunktioner, t.ex. personlig kod. Ett Mobilt BankID är ett elektroniskt identitetskort på en mobil enhet bestående av en BankID säkerhetsapp och ett elektroniskt certifikat utfärdat av banken eller av annan behörig utfärdare. Vidare framgår det att kunden ska vidta alla nödvändiga åtgärder för att skydda sig mot att betalningsinstrumentet och de personliga behörighetsfunktionerna används obehörigt. Betalningsinstrumentet och de personliga behörighetsfunktionerna ska hanteras på samma sätt som kontanter och andra värdehandlingar och ska förvaras på ett betryggande sätt så att någon annan inte får tillfälle att använda dem. Villkoren ansluter i övrigt till reglerna om obehöriga transaktioner i lagen om betaltjänster.

Nämndens bedömning

Nämnden konstaterar att QZ blev uppringd av en okänd person som sa att han ringde från polisen. Mannen sökte emellertid inte QZ, utan dennes hustru. Det fanns således inte något skäl för QZ att identifiera sig mot polisen, eftersom det var hustrun som söktes. Nämnden konstaterar också att det inte fanns något påstått pågående bedrägeri som QZ behövde skynda sig att avbryta eller att QZ i övrigt befann sig i en så pressad situation att det skulle kunna ursäkta hans agerande. Även om bedragaren ringde från ett ”spoofat” nummer och QZ försökte motringa till polisen, anser nämnden att QZ borde ha uppmärksammat att han signerade eller legitimerade sig mot S-banken och inte mot polisen. QZ har alltså, i strid med D-bankens villkor, inte skyddat sig mot att det Mobila BankID:t använts obehörigt. Detta ledde till att bedragaren kunde ladda ner ett nytt Mobilt BankID hos S-banken, som i sin tur användes för att göra swishbetalningen om 94 000 kr från QZ:s konto i D-banken.

Några omständigheter som skulle kunna ursäkta agerandet har inte framkommit. Nämnden anser vid en sammantagen bedömning av omständigheterna att QZ:s agerande har varit särskilt klandervärt. Hans krav ska därför avslås.