ARN 2019-08258

Fråga om transaktioner som anmälaren själv godkänt/signerat med sitt betalningsinstrument (t.ex. mobila bank-id eller bankdosa) är behöriga eller obehöriga. Nämnden kom fram till att sådana transaktioner är behöriga och att reglerna om obehöriga transaktioner i betaltjänstlagen därför inte är tillämpliga.

Fråga om transaktioner som anmälaren själv godkänt/signerat med sitt betalningsinstrument (t.ex. mobila bank-id eller bankdosa) är behöriga eller obehöriga. Nämnden kom fram till att sådana transaktioner är behöriga och att reglerna om obehöriga transaktioner i betaltjänstlagen därför inte är tillämpliga.

Beslut 2020-05-12; 2019-08258

MJ begärde ersättning från banken för obehöriga transaktioner med i första hand 117 700 kr

och i andra hand 110 000 kr.

I sin anmälan till nämnden uppgav MJ följande. Den 10 oktober 2018 blev hon uppringd av en person som sa att han hette Martin Johansson och ringde från Elgiganten. Martin uppgav att någon hade beställt varor i hennes namn till ett värde av 19 700 kr. Redan när personen presenterade sig hade denne vetskap om hennes konton i banken och kontoställningen på dessa. Martin lyckades övertala henne att swisha 19 700 kr som skulle gå till ett fryst konto i banken så att man skulle kunna utreda vad som hänt. Samtalet kopplades sedan över till en Jörgen Kruth, som skulle jobba på bedrägerienheten på banken, och dennes chef Mikael Jansson.

Efter kontroll av sina konton upptäckte hon att det hade gjorts ytterligare en swishbetalning på 110 000 kr från ett annat konto som inte var kopplat till Swish. Kl. 17.15 ringde en man som kallade sig Mats Åkerlund och skulle vara kollega till Martin Johansson. Han frågade hur hon mådde men hon avslutade samtalet omgående.

Hon loggade enbart in på sitt bank-id en gång då hon gjorde betalningen. Det är oklart hur ytterligare en swishbetalning kunnat göras. Bedragarna hade på något sätt hackat sig in i bankens system eftersom de hade vetskap om hennes konton hos banken och hennes kontoställning. När hon frågade om detta övertygades hon om att Elgiganten och banken hade ett nära samarbete och därefter kopplades hon till de två personerna på banken. Det är inte rimligt att en konsument förväntas ha nödvändiga kunskaper om systemuppbyggnad av Swish och internetbank för att bedöma hur man ska agera. Hon har inte varit likgiltig inför risken för obehöriga transaktioner; hon har inte ens förstått att det förelåg en sådan risk i sitt stressade och uppjagade tillstånd.

Under hela telefonsamtalet befann hon sig i ett synnerligen utsatt läge. Bedragarnas framgångsrika taktik att byta personer bakom telefonen förvirrade henne till den grad att hon till slut kände sig ”tvingad” att utföra de handlingar bedragarna framhöll var nödvändiga. Bedragarna var skickligt övertygande och framhöll hela tiden nödvändigheten av att överföra pengar till ett fryst konto på banken för att skydda hennes pengar. Hon har inte medvetet eller med vilja medverkat till penningtransaktioner.

Eftersom hon inte har samtyckt till transaktionerna är det enligt lagens mening en obehörig transaktion. Hon har som konsument inte handlat grovt oaktsamt eller särskilt klandervärt. Hon vill att banken ersätter henne för de obehöriga transaktionerna med avdrag för 12 000 kr eller i vart fall för den stora transaktionen.

2019-08258

2020-05-19

048

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. Banken anser i första hand att MJ inte har gjort antagligt att transaktionerna är obehöriga. Av bankens utredning framgår att de reklamerade transaktionerna signerats av MJ. Eftersom hon själv genomförde transaktionerna var de inte obehöriga.

En transaktion är enligt 1 kap. 4 § betaltjänstlagen obehörig om den genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot. Det finns inget subjektivt rekvisit för definitionen av vad som är en obehörig transaktion. Eftersom MJ själv genomförde transaktionerna enligt ovan anser banken att de inte var obehöriga i lagens mening. Någon rätt till ersättning på den grunden föreligger därmed inte, vare sig enligt lag eller avtal, varför MJ:s krav bestrids.

Nämnden har tidigare uttalat att det inte är tillräckligt att kontohavares mobila bank-id används för att en transaktion ska anses behörig, utan att det dessutom krävs att transaktionen har skett med kontohavarens samtycke. För det fall man medvetet för över pengar till en annan persons konto kan man dock anses ha samtyckt till transaktionen, även om man inte har för avsikt att ge bort sina egna pengar till bedragaren, samt svävar i villfarelse om de faktiska förhållandena. Vid såväl inloggning som signering av olika åtgärder med mobilt bank-id framgår tydligt på displayen vad man legitimerar sig emot alternativt signerar. Det åligger användaren att ta del av denna information. Banken gör därmed gällande att anmälaren inte kan anses ha varit annat än medveten om att hon har fört över pengar till annan persons konto.

Om en kortinnehavare tar ut pengar, mot sin vilja, kanske under hot eller annan påtryckning av en obehörig person, eller efter vilseledande, skulle transaktionen inte vara obehörig i betaltjänstlagens mening, enligt bankens uppfattning. Att kortinnehavaren skulle kunna vara berättigad ersättning av en eventuell gärningsman till följd av brott är en annan sak. På motsvarande sätt bör det fungera vid en kontotransaktion som signeras med bank-id.

Mot bakgrund av vad som nu har anförts anser banken att anmälaren inte har gjort antagligt att transaktionerna varit obehöriga. Någon skyldighet för banken att återställa kontot föreligger därmed inte. Inte heller har anmälaren rätt till ersättning av banken på annan grund, vare sig enligt lag eller avtal, varför anmälarens krav bestrids.

Om nämnden skulle finna att transaktionerna är obehöriga bestrids kravet i andra hand på den grunden att MJ inte har hanterat sitt bank-id på ett betryggande sätt i enlighet med vad hon varit skyldig att göra enligt villkoren. Genom att hon använt sitt bank-id på uppmaning av den person hon talat med per telefon den aktuella dagen, har villkoren åsidosatts på ett sätt som är särskilt klandervärt i betaltjänstlagens mening.

Ett bank-id består av två certifikat (två rader) ett för inloggning (authentication) och ett för signering (signature). Vid såväl inloggning som signering av olika åtgärder med mobilt bankid framgår tydligt på displayen vad man legitimerar sig mot alternativt signerar. Det åligger MJ att ta del av denna information. Av bankens utredning framgår att MJ med sitt bank-id bl.a. har loggat in på banken samt signerat höjning av swishlimiten och swishbetalningar om

19 700 kr respektive 110 000 kr till okänd mottagare. Det är alltså fråga om flera åtgärder, vilka dessutom har vidtagits efter att MJ blivit kontaktad av en okänd person per telefon, utan att hon kontrollerat identiteten på uppringaren/uppringarna. Detta inrymmer en likgiltighet inför risken för obehöriga transaktioner.

Det framstår som så märkligt att bedragare vid ett bedrägeriförsök mot Elgiganten skulle kunna bereda sig tillgång till MJ:s konto i banken, att MJ skulle behöva flytta pengarna till ett s.k. fryst konto, dessutom i annan okänd kontohavares namn, och att Elgiganten skulle koppla MJ vidare till hennes bank, i stället för att endast stoppa beställningen då det stod klart att någon annan än anmälaren hade gjort beställningen i hennes namn. Var och en av dessa omständigheter i sig, och framförallt omständigheterna sammantaget, borde ha föranlett MJ att avsluta samtalet eller under alla förhållanden vidta kontroll- eller i vart fall försiktighetsåtgärder.

De obehöriga transaktionerna har kunnat genomföras till följd av att anmälarens skyldighet enligt betaltjänstlagen att följa de villkor som enligt avtalet gäller för användning av betalningsinstrumentet har åsidosatts på ett sätt som är att anse som inte bara grovt oaktsamt utan också särskilt klandervärt i lagens mening. MJ ska därför stå för hela beloppet, eller under alla förhållanden 12 000 kr.

Allmänna reklamationsnämnden gjorde följande bedömning.

Av utredningen i ärendet framgår att MJ råkat ut för ett bedrägeri och att hon blivit av med totalt 129 700 kr. MJ har uppgett att hon lurats att själv signera en swishbetalning om 19 700 kr med sitt mobila bank-id under förespeglingen att pengarna skulle gå till ett fryst konto så att banken skulle kunna utreda vad som hänt. Utöver den transaktionen har det även skett en swishbetalning om 110 000 kr från hennes konto som MJ nekar till att ha gjort. Den första frågan nämnden har att ta ställning till är om de transaktioner som har genomförts är att betrakta som obehöriga.

Reglerna om obehöriga transaktioner återfinns i lag (2010:751) om betaltjänster (betaltjänstlagen). Enligt 1 kap. 4 § betaltjänstlagen är en obehörig transaktion en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot.

Att en kontohavare blivit utsatt för ett bedrägeri innebär inte per automatik att en transaktion blir obehörig i den mening som avses enligt reglerna om obehöriga transaktioner. Nämnden har tidigare prövat frågan om en kontohavares ansvar för obehöriga transaktioner när de reklamerade transaktionerna helt eller delvis utförts av bedragaren, i de flesta fall med hjälp av ett nyskapat mobilt bank-id som anmälarna lurats att ladda ner åt bedragaren. Utgångspunkten i dessa ärenden var alltså att det var någon annan än kontohavaren själv, som självständigt eller med hjälp av kontohavaren, utfört de reklamerade transaktionerna. I dessa beslut konstaterade nämnden att kontohavarna inte samtyckt till de reklamerade transaktionerna och nämnden utgick därför ifrån att dessa var obehöriga.1

1 Sammanträde i utökad sammansättning den 23 april 2018, se t.ex. Änr 2017-13660 och Änr 2017-10285.

Nämnden har också prövat situationer där kontohavaren själv godkänt en överföring till en annan persons konto men svävat i villfarelse om de faktiska omständigheterna. Nämnden har i sådana fall bedömt att även om kontohavaren aldrig haft för avsikt att ge bort sina egna pengar till en annan person och dessutom svävat i villfarelse om de faktiska förhållandena, så har kontohavaren förstått, att hen, genom att använda sitt betalningsinstrument, godkände en transaktion till en annan persons konto. Kontohavaren har alltså i en sådan situation ansetts ha samtyckt till transaktionen och transaktionen var således behörig. I dessa fall var bestämmelserna om obehöriga transaktioner därför inte tillämpliga. Nämnden verkar alltså ha fäst vikt vid kontohavarens avsikt med transaktionen; eftersom kontohavaren haft för avsikt att föra över pengar till en annan persons konto hade hen också samtyckt till överföringen.2

MJ har förnekat att hon överhuvudtaget har gjort transaktionen om 110 000 kr. När det gäller transaktionen om 19 700 kr har MJ visserligen själv utfört den, men hennes syfte har inte varit att genomföra en överföring till en annan persons konto, utan att skydda sina pengar genom att swisha dessa till ett ”fryst konto” på banken. Den fråga som nämnden nu har att ta ställning till är därför om betalningstransaktioner som kontohavaren själv har signerat, exempelvis med mobilt bank-id eller bankdosa, kan betraktas som obehöriga. Med andra ord, spelar det någon roll vilken avsikt kontohavaren haft med transaktionen eller om kontohavaren haft bristande insikt om att sådana åtgärder som vidtagits inneburit att en transaktion kommit att genomföras vid bedömningen av huruvida kontohavaren har samtyck till transaktionen eller inte?

För att besvara den frågan måste man titta närmare på bakgrunden till reglerna om obehöriga transaktioner, innebörden av desamma samt hur de har tillämpats i rättspraxis.

Reglerna om obehöriga transaktioner återfinns i dag i betaltjänstlagen. Mellan den 1 juni 2010 och den 30 april 2018 fanns reglerna om obehöriga transaktioner i lagen (2010:738) om obehöriga transaktioner med betalningsinstrument. Lagen är fortfarande tillämplig på avtal som ingåtts före den 1 maj 2018. Lagstiftningen har sin bakgrund i två EG-direktiv – det första och andra betaltjänstdirektivet.3 Av artikel 54.2 i första betaltjänstdirektivet framgår det att ett godkännande att genomföra en betalningstransaktion lämnas i den form som avtalats mellan betalaren och dennes betaltjänstleverantör.4 Om samtycket lämnas på detta sätt, ska betalningstransaktionen anses som godkänd. I praktiken torde ett samtycke i den mening som avses i betaltjänstlagen lämnas när kontohavaren signerar en betalningstransaktion med sin personliga behörighetsfunktion som är avsedd för detta ändamål.

Mycket talar alltså för att betaltjänstdirektivet ska tolkas på så sätt att kontohavaren får anses samtycka till transaktionen och godkänna densamma när hen signerar denna med t.ex. sitt

2 Sammanträde i utökad sammansättning den 18 mars 2019, se t.ex. Änr 2018-06551. 3 Europaparlamentets och rådets direktiv (2007/64/EG) om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (Det första betaltjänstdirektivet) och Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (Det andra betaltjänstdirektivet). Genom det andra betaltjänstdirektivet upphävs det första betaltjänstdirektivet. Reglerna i det första betaltjänstdirektivet har förts över till andra betaltjänstdirektivet, se prop. 2017/18:77 s. 100. 4Prop. 2009/10:122 s. 9. Bestämmelsen motsvarar artikel 64.2 i det andra betaltjänstdirektivet.

mobila bank-id eller bankdosa, oavsett vilken insikt eller avsikt hen har vid signeringstillfället.

I förarbetena till den svenska lagstiftningen uttalas att med obehöriga transaktioner avses en transaktion som genomförs utan att kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda betalningsinstrumentet lämnat sitt samtycke. Det avgörande för om transaktionen ska anses ha skett behörigen eller obehörigen är alltså om transaktionen har godkänts av någon som har rätt till det enligt avtalet eller inte.5 Vad som menas med ”samtycke” berörs inte närmare. Det sägs inte heller något i förarbetena till den svenska lagstiftningen om huruvida det krävs någon form av insikt när samtycket lämnas, dvs. vid signeringen. I författningskommentaren anges dock att det av allmänna fordringsrättsliga principer följer att kontohavaren inte är betalningsansvarig för en fordran som uppkommit genom att någon obehörigen har använt hans eller hennes betalningsinstrument och att lagen reglerar när kontohavaren – trots denna utgångspunkt – helt eller delvis själv får bära ansvaret för en obehörig transaktion. Med kontohavare avses, enligt samma kommentar, den som innehar ett konto och som därför har rätt att godkänna att ett belopp belastar kontot.6 I förarbetena tycks man alltså, precis som i direktivet, ha utgått ifrån att transaktionen är behörig om kontohavaren själv har genomfört den.7

Rättspraxis på området är något knapphändig och de frågor som prövats har inte direkt handlat om ansvaret för obehöriga transaktioner. Domstolarna har dock gjort vissa uttalanden som även har bäring på den situation som är aktuell i detta ärende.

I NJA 2017 s. 1105, som rörde frågan om ansvaret för ett lån som ingåtts med en avancerad elektronisk underskrift, uttalade Högsta domstolen bl.a. att när den som är angiven som låntagare i en sådan situation gör gällande att han eller hon inte är den person som har ingått avtalet, innefattar det normalt ett påstående om en obehörig användning av de uppgifter för identifiering som krävts för att skapa låntagarens elektroniska underskrift. Obehörig användning är sådan användning som sker av någon annan än innehavaren av underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

I Göta hovrätts dom den 12 december 2019 i mål nr T 1591-19 har Högsta domstolens resonemang i NJA 2017 s. 1105 av hovrätten tolkats på så sätt att om en innehavare av en avancerad elektronisk underskrift själv har godkänt något med denna, så har användandet inte skett obehörigen. Även denna tvist rörde frågan om ansvaret för ett lån, som i detta fall signerats med bank-id. Hovrätten uttalade att en användning sker obehörigen innebär att

någon har använt den elektroniska underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

Även i rättspraxis har domstolarna alltså utgått ifrån att användandet aldrig kan anses ha skett obehörigen när innehavaren själv har godkänt något med sin elektroniska signatur.

5Prop. 2009/10:122 s. 24 jfr Ds 2008:86 s. 37. 6Prop. 2009/10:122 s. 23. Se även Lagrådets yttrande i prop. 2017/18:77 s. 672. 7 Jfr även Ds 2008:86, s. 5.

Enligt nämndens mening ger varken direktiven, förarbetena eller rättspraxis stöd för att bestämmelserna om obehöriga transaktioner ska tillämpas på situationer där kontohavaren själv godkänt en transaktion med exempelvis sitt mobila bank-id. Detta oavsett om kontohavaren råkat ut för ett bedrägeri och lurats att själv godkänna en transaktion, eller om en kontohavare har en felaktig uppfattning om vad en transaktion innebär eller vad en eventuell motprestation ska innehålla, eller vad hen över huvud taget gör när hen använder sitt betalningsinstrument. Bestämmelsen i betaltjänstlagen ska i stället förstås på så sätt att en transaktion är obehörig om den utförs av någon annan än kontohavaren utan att ha haft kontohavarens samtycke till transaktionen. När kontohavaren själv godkänt transaktionen i den form som avtalats har kontohavaren också samtyckt till densamma och reglerna om obehöriga transaktioner blir därför inte tillämpliga i situationer som dessa.

Detta innebär att även om MJ råkat ut för ett bedrägeri och inte förstod vad hon gjorde när hon signerade swishbetalningen om 19 700 kr med sitt mobila bank-id, så är transaktionen inte obehörig i den mening som avses i bestämmelserna om obehöriga transaktioner i betaltjänstlagen. När det gäller swishbetalningen om 110 000 kr som gjorts i anslutning till händelsen, anser nämnden att MJ, mot det tekniska underlag som banken gett in i ärendet, inte har gjort det antagligt att det är någon annan än hon själv som signerat överföringen med sitt eget mobila bank-id. Mot bakgrund av nämndens ovan förda resonemang är således inte heller den transaktionen obehörig. MJ kan därför inte på den grunden rikta några krav mot banken med anledning av det inträffade. Det har inte heller framkommit någon annan grund som ger henne rätt till ersättning från banken. MJ:s krav ska därför avslås.