ARN 2019-11253

Fråga om transaktioner som anmälaren själv godkänt/signerat med sitt betalningsinstrument (t.ex. mobila bank-id eller bankdosa) är behöriga eller obehöriga. Nämnden kom fram till att sådana transaktioner är behöriga och att reglerna om obehöriga transaktioner i betaltjänstlagen därför inte är tillämpliga.

Beslut 2020-05-12; 2019-11253

LMH begärde att banken skulle betala 145 000 kr till henne.

I sin anmälan till nämnden uppgav LMH följande. Fredagen den 7 juni 2019 blev hon uppringd av en bedragare vilket ledde till att hon blev av med 145 000 kr. En månad innan hade hon fått ett meddelande i sin internetbank. Det stod att hon var tvungen att verifiera sina kontaktuppgifter gällande bank-id:t och om hon inte gjorde det så skulle hennes bank-id inte fungera längre. Eftersom hon var skeptisk gjorde hon inte det till en början, men efter ett tag så bekräftade hon sina uppgifter och tänkte inte mer på det.

Den aktuella dagen blev hon uppringd på hemtelefonen vid 14.00-tiden av en man som ringde från ett mobilnummer. Mannen uppgav att han ringde angående hennes bank-id och att banken inte hade fått in verifieringen. Hon kopplade samtalet till den tidigare verifieringen som hon gjort för att bank-id:t skulle fortsätta fungera. Vid den här tidpunkten kunde hon inte logga in i banken med bank-id:t. Mannen sa att han skulle hjälpa henne att bekräfta verifieringen så att bank-id:t åter skulle fungera. Medan hon talade med mannen så kunde hon logga in en gång i bank-id:t där det stod att hon verifierade sig mot banken. Strax därefter skickades en kod som sms till henne från banken som hon knappade in i bank-id:t. Under hela processen trodde hon verkligen att mannen hjälpte henne då det hela kändes trovärdigt. Kort efter att hon knappade in koden och verifierade sig gentemot banken i bank-id:t sa mannen att de var klara men att hennes bank-id inte skulle fungera på någon timme då den skulle omprogrammeras och hon skulle åter kunna använda den.

Vid 16.00-tiden ringde mannen igen och frågade om hennes pappa var hemma. Hennes pappa hade också för ca en månad sedan fått hem brev från banken gällande verifieringen av kontaktuppgifter. Hon blev misstänksam och fick en känsla av att det var något som inte stämde och gjorde inte som mannen sa. Direkt efter samtalet försökte hon ringa till bankens kundtjänst vid upprepade tillfällen; kl. 16.22, kl. 16.37, kl. 16.38 och 16.40 men samtalen bröts varje gång och först kl.16.44 kom hon fram. Hon berättade då att hon troligtvis blivit utsatt för bedrägeri, men fick lugnande besked av personen i kundtjänst. Hon frågade också om hon kunde frysa eller låsa sitt konto men kundtjänsten sa att det inte behövdes och att eftersom bank-id:t var spärrat kunde ingen komma åt hennes pengar. Hon kände sig då lugn.

Mot kvällen kändes det fortfarande inte helt bra och hon bestämde sig för att ringa kundtjänst igen. När hon till sist kom fram fick hon sina misstankar bekräftade då hon fick veta att hennes konto var länsat.

2019-11253

2020-05-19

020

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. Av LMH:s uppgifter framgår att hon blivit utsatt för bedrägeri och banken anser att den aktuella transaktionen ska bedömas som obehörig. Av utredningen framgår att LMH vid 14-tiden den 7 juni 2019 blev uppringd av en man som uppgav att hon var tvungen att verifiera sina kontaktuppgifter för att hennes bank-id skulle fungera. Medan LMH talade med mannen, loggade hon in med sitt bank-id. Strax därefter skickade banken ett sms med en kod till LMH som hon knappade in i sitt bank-id. Av bankens loggar framgår följande avseende den aktuella dagen:

1. Kl. 14.01 LMH legitimerade sig med sitt mobila bank-id mot banken och inloggning skedde då av bedragaren som därigenom fick tillgång till LMH:s konto och digitala tjänster.

2. Kl. 14.01 Bedragaren ansöker om nytt mobilt bank-id.

3. Kl. 14.21 Bedragaren lägger upp en överföring på 145 000 kr från LMH:s konto till en annan persons konto och LMH godkände denna överföring genom signering med sitt befintliga mobila bank-id.

4. Kl. 14.22 banken skickar ett sms med en flersiffrig kod till LMH.

Vid signering med mobilt bank-id av en överföring visas i displayen följande text, kompletterad med aktuella uppgifter (antalet uppdrag, totalbelopp, kontonummer på avsändarkontot, kontonummer på mottagarkontot, datum och belopp):

Jag skriver under hos:

Banken

Text att skriva under:

Jag godkänner de här uppdragen

Antalet uppdrag: x

Totalbelopp: xx kr

Från konto: xxx [Här anges avsändarkontonummer]

Mottagare, datum, belopp

Xxx [här anges mottagarkontonummer], 2019-xx-xx, xxx SEK

När en kund har ansökt om ett nytt mobilt bank-id och vill använda detta i banken för första gången, måste kunden verifiera användandet genom någon av följande tre metoder; Bank-id på kort, digipass eller engångskod via sms. LMH har själv uppgett att hon mottagit ett sms

från banken med en flersiffrig engångskod. Hon har själv fyllt i koden på sin internetbank i banken. I det aktuella fallet har hon angett fel kod, vilket medfört att bedragaren inte kunnat skapa ett nytt mobilt bank-id.

Av de allmänna avtalsvillkoren som gäller vid den aktuella tidpunkten framgår att mobilt bank-id är att betrakta som en s.k. säkerhetslösning. Vidare framgår det att kunden ska sätta sig in i säkerhetslösningens funktioner och hur användningen av säkerhetslösningen knyter vidtagna åtgärder till kunden. Vidare framgår det att kunden ska vidta alla rimliga åtgärder för att skydda säkerhetslösningen och se till att den inte används obehörigt, att säkerhetslösningen endast får användas av kunden personligen, samt att säkerhetslösningen ska förvaras på ett betryggande sätt och hanteras på samma säkra sätt som kontanter och andra värdehandlingar.

Genom att använda sitt mobila bank-id på det sätt som LMH har gjort, vilket medfört att en obehörig person har fått tillgång till hennes internetbank och att en obehörig transaktion i form av en överföring har kunnat genomföras, har hon åsidosatt sina ovan angivna skyldigheter enligt avtalsvillkoren avseende användningen av mobilt bank-id.

Banken anser att LMH:s agerande har varit särskilt klandervärt när hon genom sitt agerande har möjliggjort den obehöriga transaktionen på sätt som anges ovan. Situationen har inte varit sådan att det har funnits anledning för LMH att överhuvudtaget använda sitt mobila bank-id. Personen som uppmanade LMH att använda sitt mobila bank-id var helt okänd för henne och hon gjorde inga kontroller av att personen verkligen ringde från banken. Vidare har LMH själv signerat transaktionen genom sitt mobila bank-id, trots att texten i displayen tydligt har angivit att det är fråga om en överföring om 145 000 kr. Med hänsyn till dessa förhållanden skulle det vara stötande om banken skulle behöva stå för någon del av beloppet. Det bör även framhållas att bedrägerier av denna typ var i media mycket välkända vid den aktuella tidpunkten. Banken varnar även sina användare för denna typ av bedrägerier både vid inloggning i internetbanken och via bankens mobilapp.

Banken vitsordar att LMH varit i kontakt med Telefonbanken i banken vid 16.40-tiden den aktuella dagen. Eftersom överföringen skedde kl. 14.21, saknar emellertid telefonsamtalet betydelse för prövningen av ansvaret för den obehöriga transaktionen.

I andra hand anser banken att LMH får anses ha agerat grovt oaktsamt och att hon därför själv ska svara för ett belopp om 12 000 kr.

Allmänna reklamationsnämnden gjorde följande bedömning.

Av utredningen i ärendet framgår att LMH råkat ut för ett bedrägeri där hon lurats att själv signera den reklamerade transaktionen med sitt mobila bank-id.

Den första frågan nämnden har att ta ställning till är om den transaktion som har genomförts är att betrakta som obehörig. Banken har i sitt svar till nämnden utgått från att transaktionen är obehörig och att reglerna om obehöriga transaktioner därmed är tillämpliga. Nämnden

konstaterar dock att bedömningen av vilken lag som är tillämplig är en rättslig fråga som nämnden måste bedöma oavsett parternas uppfattning om detta.¹

Reglerna om obehöriga transaktioner återfinns i lag (2010:751) om betaltjänster (betaltjänstlagen). Enligt 1 kap. 4 § betaltjänstlagen är en obehörig transaktion en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot.

Att en kontohavare blivit utsatt för ett bedrägeri innebär inte per automatik att en transaktion blir obehörig i den mening som avses enligt reglerna om obehöriga transaktioner. Nämnden har tidigare prövat frågan om en kontohavares ansvar för obehöriga transaktioner när de reklamerade transaktionerna helt eller delvis utförts av bedragaren, i de flesta fall med hjälp av ett nyskapat mobilt bank-id som anmälarna lurats att ladda ner åt bedragaren. Utgångspunkten i dessa ärenden var alltså att det var någon annan än kontohavaren själv, som självständigt eller med hjälp av kontohavaren, utfört de reklamerade transaktionerna. I dessa beslut konstaterade nämnden att kontohavarna inte samtyckt till de reklamerade transaktionerna och nämnden utgick därför ifrån att dessa var obehöriga.²

Nämnden har också prövat situationer där kontohavaren själv godkänt en överföring till en annan persons konto men svävat i villfarelse om de faktiska omständigheterna. Nämnden har i sådana fall bedömt att även om kontohavaren aldrig haft för avsikt att ge bort sina egna pengar till en annan person och dessutom svävat i villfarelse om de faktiska förhållandena, så har kontohavaren förstått, att hen, genom att använda sitt betalningsinstrument, godkände en transaktion till en annan persons konto. Kontohavaren har alltså i en sådan situation ansetts ha samtyckt till transaktionen och transaktionen var således behörig. I dessa fall var bestämmelserna om obehöriga transaktioner därför inte tillämpliga. Nämnden verkar alltså ha fäst vikt vid kontohavarens avsikt med transaktionen; eftersom kontohavaren haft för avsikt att föra över pengar till en annan persons konto hade hen också samtyckt till överföringen.³

I förevarande fall är det bedragaren som har lagt upp överföringen, men det är LMH som har godkänt den med sitt mobila bank-id. LMH:s syfte har emellertid inte varit att genomföra en överföring till en annan persons konto. Det LMH avsåg att göra när hon vidtog de åtgärder som innebar att en överföring genomfördes, var i stället att verifiera sina kontaktuppgifter gällande sitt bank-id. Den fråga som nämnden nu har att ta ställning till är därför om betalningstransaktioner som kontohavaren själv har signerat, exempelvis med mobilt bank-id eller bankdosa, kan betraktas som obehöriga. Med andra ord, spelar det någon roll vilken avsikt kontohavaren haft med transaktionen eller om kontohavaren haft bristande insikt om att sådana åtgärder som vidtagits inneburit att en transaktion kommit att genomföras vid bedömningen av huruvida kontohavaren har samtyck till transaktionen eller inte?

För att besvara den frågan måste man titta närmare på bakgrunden till reglerna om obehöriga transaktioner, innebörden av desamma samt hur de har tillämpats i rättspraxis.

¹ Se t.ex. nämndens beslut i Änr 2018-06551. ² Sammanträde i utökad sammansättning den 23 april 2018, se t.ex. Änr 2017-13660 och Änr 2017-10285. ³ Sammanträde i utökad sammansättning den 18 mars 2019, se t.ex. Änr

2018-06551.

Reglerna om obehöriga transaktioner återfinns i dag i betaltjänstlagen. Mellan den 1 juni 2010 och den 30 april 2018 fanns reglerna om obehöriga transaktioner i lagen (2010:738) om obehöriga transaktioner med betalningsinstrument. Lagen är fortfarande tillämplig på avtal som ingåtts före den 1 maj 2018. Lagstiftningen har sin bakgrund i två EG-direktiv – det första och andra betaltjänstdirektivet.⁴ Av artikel 54.2 i första betaltjänstdirektivet framgår det att ett godkännande att genomföra en betalningstransaktion lämnas i den form som avtalats mellan betalaren och dennes betaltjänstleverantör.⁵ Om samtycket lämnas på detta sätt, ska betalningstransaktionen anses som godkänd. I praktiken torde ett samtycke i den mening som avses i betaltjänstlagen lämnas när kontohavaren signerar en betalningstransaktion med sin personliga behörighetsfunktion som är avsedd för detta ändamål.

Mycket talar alltså för att betaltjänstdirektivet ska tolkas på så sätt att kontohavaren får anses samtycka till transaktionen och godkänna densamma när hen signerar denna med t.ex. sitt mobila bank-id eller bankdosa, oavsett vilken insikt eller avsikt hen har vid signeringstillfället.

I förarbetena till den svenska lagstiftningen uttalas att med obehöriga transaktioner avses en transaktion som genomförs utan att kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda betalningsinstrumentet lämnat sitt samtycke. Det avgörande för om transaktionen ska anses ha skett behörigen eller obehörigen är alltså om transaktionen har godkänts av någon som har rätt till det enligt avtalet eller inte.⁶ Vad som menas med ”samtycke” berörs inte närmare. Det sägs inte heller något i förarbetena till den svenska lagstiftningen om huruvida det krävs någon form av insikt när samtycket lämnas, dvs. vid signeringen. I författningskommentaren anges dock att det av allmänna fordringsrättsliga principer följer att kontohavaren inte är betalningsansvarig för en fordran som uppkommit genom att någon obehörigen har använt hans eller hennes betalningsinstrument och att lagen reglerar när kontohavaren – trots denna utgångspunkt – helt eller delvis själv får bära ansvaret för en obehörig transaktion. Med kontohavare avses, enligt samma kommentar, den som innehar ett konto och som därför har rätt att godkänna att ett belopp belastar kontot.⁷ I förarbetena tycks man alltså, precis som i direktivet, ha utgått ifrån att transaktionen är behörig om kontohavaren själv har genomfört den.⁸

Rättspraxis på området är något knapphändig och de frågor som prövats har inte direkt handlat om ansvaret för obehöriga transaktioner. Domstolarna har dock gjort vissa uttalanden som även har bäring på den situation som är aktuell i detta ärende.

⁴ Europaparlamentets och rådets direktiv (2007/64/EG) om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (Det första betaltjänstdirektivet) och Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (Det andra betaltjänstdirektivet). Genom det andra betaltjänstdirektivet upphävs det första betaltjänstdirektivet. Reglerna i det första betaltjänstdirektivet har förts över till andra betaltjänstdirektivet, se prop. 2017/18:77 s. 100. ⁵Prop. 2009/10:122 s. 9. Bestämmelsen motsvarar artikel 64.2 i det andra betaltjänstdirektivet. ⁶Prop. 2009/10:122 s. 24 jfr Ds 2008:86 s. 37. ⁷Prop. 2009/10:122 s. 23. Se även Lagrådets yttrande i prop. 2017/18:77 s. 672. ⁸ Jfr även Ds 2008:86, s. 5.

I NJA 2017 s. 1105, som rörde frågan om ansvaret för ett lån som ingåtts med en avancerad elektronisk underskrift, uttalade Högsta domstolen bl.a. att när den som är angiven som låntagare i en sådan situation gör gällande att han eller hon inte är den person som har ingått avtalet, innefattar det normalt ett påstående om en obehörig användning av de uppgifter för identifiering som krävts för att skapa låntagarens elektroniska underskrift. Obehörig användning är sådan användning som sker av någon annan än innehavaren av underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

I Göta hovrätts dom den 12 december 2019 i mål nr T 1591-19 har Högsta domstolens resonemang i NJA 2017 s. 1105 av hovrätten tolkats på så sätt att om en innehavare av en avancerad elektronisk underskrift själv har godkänt något med denna, så har användandet inte skett obehörigen. Även denna tvist rörde frågan om ansvaret för ett lån, som i detta fall signerats med bank-id. Hovrätten uttalade att en användning sker obehörigen innebär att

någon har använt den elektroniska underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

Även i rättspraxis har domstolarna alltså utgått ifrån att användandet aldrig kan anses ha skett obehörigen när innehavaren själv har godkänt något med sin elektroniska signatur.

Enligt nämndens mening ger varken direktiven, förarbetena eller rättspraxis stöd för att bestämmelserna om obehöriga transaktioner ska tillämpas på situationer där kontohavaren själv godkänt en transaktion med exempelvis sitt mobila bank-id. Detta oavsett om kontohavaren råkat ut för ett bedrägeri och lurats att själv godkänna en transaktion, eller om en kontohavare har en felaktig uppfattning om vad en transaktion innebär eller vad en eventuell motprestation ska innehålla, eller vad hen över huvud taget gör när hen använder sitt betalningsinstrument. Bestämmelsen i betaltjänstlagen ska i stället förstås på så sätt att en transaktion är obehörig om den utförs av någon annan än kontohavaren utan att ha haft kontohavarens samtycke till transaktionen. När kontohavaren själv godkänt transaktionen i den form som avtalats har kontohavaren också samtyckt till densamma och reglerna om obehöriga transaktioner blir därför inte tillämpliga i situationer som dessa.

Detta innebär att även om LMH råkat ut för ett bedrägeri och inte förstod vad hon gjorde när hon signerade överföringen om 145 000 kr med sitt mobila bank-id, så är transaktionen inte obehörig i den mening som avses i bestämmelserna om obehöriga transaktioner i betaltjänstlagen. LMH kan därför inte på den grunden rikta några krav mot banken med anledning av det inträffade. Det har inte heller framkommit någon annan grund som ger henne rätt till ersättning från banken. LMH:s krav ska därför avslås.