ARN 2019-14354

Fråga om transaktioner som anmälaren själv godkänt/signerat med sitt betalningsinstrument (t.ex. mobila bank-id eller bankdosa) är behöriga eller obehöriga. Nämnden kom fram till att sådana transaktioner är behöriga och att reglerna om obehöriga transaktioner i betaltjänstlagen därför inte är tillämpliga.

Beslut 2020-05-12; 2019-14354

BE begärde att banken skulle betala 33 757 kr till henne.

I sin anmälan till nämnden uppgav BE följande. Den 5 juni 2019 blev hon uppringd av en man som uppgav sig ringa från banken. Mannen refererade till ett brev som hon skulle ha fått om att hon måste förnya sitt mobila bank-id eftersom det höll på att gå ut. Bank-id:t skulle gå ut redan på fredagen och mannen ville boka en tid på banken för att hon skulle komma in och ordna detta. Det var slut på tider och mannen erbjöd henne att i stället ordna detta på telefon. Efter att ”säkerhetsavdelningen” godkänt detta, bad mannen henne att identifiera sig med sitt mobila bank-id, vilket hon gjorde. Mannen ställde därefter några säkerhetsfrågor till henne om hur mycket hon handlat för senast på Systembolaget och vilket belopp hon swishat till en viss person. Hon fick sedan logga in på sin internetbank med bank-id:t och där ändra sin tillfälliga beloppsgräns på Swish till 60 000 kr. Därefter skulle hon gå in på sin Swish-app och förnya bank-id:t för att sedan swisha koder via appen till två olika handläggare på banken. Hon följde mannens instruktioner. Hon tyckte att det kändes lite märkligt, men mannen påtalade att hon ju identifierat sig med bank-id för banken.

Mannen uppgav ett namn till ”handläggaren” på banken och uppmanade att hon i meddelandefältet skulle skriva ”Banken Bank-id 16321”. Hon fick också fylla i ett mobilnummer och bekräfta att ”handläggarens” namn stämde. På ett liknande sätt fick hon instruktioner att fylla i koden ”17436” till en annan handläggare. När hon skulle utföra det sista steget misslyckades det och det stod ”Tekniskt fel, kontakta din bank”. Hon började känna att något inte stämde och när hon gick in på sin bankapp såg hon att pengar dragits från hennes kort. Hon lade på luren och kontaktade banken och fick veta att hennes bank-id inte alls höll på att gå ut. Hon förstod då att hon råkat ut för ett bedrägeri.

Senare på kvällen vid 19-tiden ringde en orolig mamma som frågade om hon varit på centralstation och köpt en vara. Hon berättade att hon inte gjort det, men blivit lurad på pengar. Kvinnan berättade att hennes son varit på väg till handbollsträningen när några män kommit fram och tvingade honom att ta ut pengar. Kvinnan hade sett att det var BE som fört över dessa pengar till hennes son. Hon berättade för kvinnan att hon inte hade med detta att göra, och att hon hade blivit lurad.

Banken har i sitt svaromål anfört att hon inte har haft för avsikt att ge bort sina egna pengar till annan person och/eller svävat i villfarelse om de faktiska förhållandena men att hon förstått att hon genom Swish överförde sammanlagt 33 757 kronor till andra personers konton och att hon varit medveten om detta. Det stämmer inte. Hon har inte varit medveten om eller förstått vad hon har gått med på, även om banken anser att hon borde ha varit det.

2019-14354

2020-05-19

036

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. Banken anser i första hand att transaktionerna har varit behöriga, i andra hand att BE:s agerande i samband med transaktionerna har varit särskilt klandervärt och att hon därför får svara för hela beloppet och i tredje hand att hennes agerande har varit grovt oaktsamt och att hon därför ska stå för ett belopp upp till 12 000 kr.

BE blev den 5 juni 2019 uppringd av bedragare, vilka utgav sig för att ringa från banken. Bedragarna meddelade att BE:s bank-id var på väg att gå ut och att banken försökt komma i kontakt med henne via post. Då det enligt bedragarna inte fanns några lediga tider för BE att komma in på kontoret och genomföra förnyelsen innan bank-id skulle gå ut, godkände BE att förnyelse skulle ske över telefon samt identifierade sig via mobilt bank-id. Enligt BE:s polisanmälan uppmanades BE att, som ett led i förnyelsen, skicka koder till handläggare på banken via Swish. BE överförde därefter ett sammanlagt belopp om 33 757 kronor till två personer genom två olika swishtransaktioner via sitt mobila bank-id.

Banken anser i första hand att det rör sig om s.k. behöriga transaktioner för vilka en kontohavare själv ansvarar. Samtliga swishtransaktioner, som BE begärt ersättning för, har utförts av henne själv via mobilt bank-id, vilket framgår av bankens dataloggar över den aktuella dagen.

För behörighetsfunktionen som använts i ärendet (mobilt bank-id) gäller allmänna villkor, vilka kunden godkänner när tjänsten ansluts och behörighetsfunktionen lämnas till kunden. Transaktioner med kunds konton förutsätter att behörigheten kontrolleras. Behörighetskontrollen sker genom att kunden använder en viss identifieringsmetod som denne tilldelats och som är personlig och vars innehåll/koder inte får avslöjas för andra eller användas av andra. Inloggning och övriga uppdrag har skett via mobilt bank-id, som är en personlig behörighetsfunktion och en s.k. stark kundautentisering. Överföringen mellan BE:s egna konton har möjliggjorts av att hon själv gett bedragarna tillträde med den inloggning via mobilt bank-id som hon genomförde.

BE har själv genomfört två betalningar via Swish. Vid transaktioner med betaltjänsten Swish godkänns alltid betalningarna via mobilt bank-id. Vid godkännande av swishbetalningar visas tydligt vad signeringen avser, vem som är betalningsmottagare och vilket belopp som ska överföras. BE har således fått information om beloppet och till vilken mottagare pengarna ska sändas innan hon signerade med mobilt bank-id. Vidare framgår av utredningen i ärendet inte annat än att BE är en van användare av Swish för betalning, varför det inte bör råda något tvivel om att BE insåg att hon förde över pengar från sitt konto vid de båda swishtransaktionerna.

Banken konstaterar, i linje med nämndens praxis, att trots att BE inte har haft för avsikt att ge bort sina egna pengar till annan person och/eller svävat i villfarelse om de faktiska förhållandena så förstod hon att hon genom Swish överförde sammanlagt 33 757 kr till andra personers konton. Överföringarna är således sådana som BE samtyckt till och inga transaktioner som banken kan hållas ersättningsskyldig för.

För det fall nämnden anser att transaktionerna är obehöriga enligt betaltjänstlagen, anser banken i andra hand att BE:s krav ska avslås på den grunden att BE:s agerande i samband med bedrägeriet varit särskilt klandervärt, varför det skulle anses stötande om banken skulle behöva stå för någon del av transaktionerna. Bland annat har BE medvetet genom Swish fört över 33 757 kr till för henne okända personer och det har dessutom framgått i mobildisplayen att hon skickat iväg pengar till andra personer, hur mycket hon skickat iväg samt till vilka personer. Vid sådant särskilt klandervärt beteende ska kontohavaren själv stå för det förlorade beloppet. I tredje hand anser banken att bankens ersättningsskyldighet ska reduceras med 12 000 kronor då BE:s agerande varit grovt oaktsamt.

Allmänna reklamationsnämnden gjorde följande bedömning.

Av utredningen i ärendet framgår att BE råkat ut för ett bedrägeri där hon lurats att själv signera de reklamerade transaktionerna med sitt mobila bank-id. Den första frågan nämnden har att ta ställning till är om de transaktioner som har genomförts är att betrakta som obehöriga.

Reglerna om obehöriga transaktioner återfinns i lag (2010:751) om betaltjänster (betaltjänstlagen). Enligt 1 kap. 4 § betaltjänstlagen är en obehörig transaktion en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot.

Att en kontohavare blivit utsatt för ett bedrägeri innebär inte per automatik att en transaktion blir obehörig i den mening som avses enligt reglerna om obehöriga transaktioner. Nämnden har tidigare prövat frågan om en kontohavares ansvar för obehöriga transaktioner när de reklamerade transaktionerna helt eller delvis utförts av bedragaren, i de flesta fall med hjälp av ett nyskapat mobilt bank-id som anmälarna lurats att ladda ner åt bedragaren. Utgångspunkten i dessa ärenden var alltså att det var någon annan än kontohavaren själv, som självständigt eller med hjälp av kontohavaren, utfört de reklamerade transaktionerna. I dessa beslut konstaterade nämnden att kontohavarna inte samtyckt till de reklamerade transaktionerna och nämnden utgick därför ifrån att dessa var obehöriga.¹

Nämnden har också prövat situationer där kontohavaren själv godkänt en överföring till en annan persons konto men svävat i villfarelse om de faktiska omständigheterna. Nämnden har i sådana fall bedömt att även om kontohavaren aldrig haft för avsikt att ge bort sina egna pengar till en annan person och dessutom svävat i villfarelse om de faktiska förhållandena, så har kontohavaren förstått, att hen, genom att använda sitt betalningsinstrument, godkände en transaktion till en annan persons konto. Kontohavaren har alltså i en sådan situation ansetts ha samtyckt till transaktionen och transaktionen var således behörig. I dessa fall var bestämmelserna om obehöriga transaktioner därför inte tillämpliga. Nämnden verkar alltså ha fäst vikt vid kontohavarens avsikt med transaktionen; eftersom kontohavaren haft för avsikt att föra över pengar till en annan persons konto hade hen också samtyckt till överföringen.²

¹ Sammanträde i utökad sammansättning den 23 april 2018, se t.ex. Änr 2017-13660 och Änr 2017-10285. ² Sammanträde i utökad sammansättning den 18 mars 2019, se t.ex. Änr

2018-06551.

I förevarande fall har BE visserligen själv utfört transaktionen, men hennes syfte har inte varit att genomföra en överföring till en annan persons konto. Det BE avsåg att göra när hon vidtog de åtgärder som innebar att en överföring genomfördes, var i stället att uppdatera sitt mobila bank-id. Hon hade endast för avsikt att skicka koder till handläggare på banken. Den fråga som nämnden nu har att ta ställning till är därför om betalningstransaktioner som kontohavaren själv har signerat, exempelvis med mobilt bank-id eller bankdosa, kan betraktas som obehöriga. Med andra ord, spelar det någon roll vilken avsikt kontohavaren haft med transaktionen eller om kontohavaren haft bristande insikt om att sådana åtgärder som vidtagits inneburit att en transaktion kommit att genomföras vid bedömningen av huruvida kontohavaren har samtyck till transaktionen eller inte?

För att besvara den frågan måste man titta närmare på bakgrunden till reglerna om obehöriga transaktioner, innebörden av desamma samt hur de har tillämpats i rättspraxis.

Reglerna om obehöriga transaktioner återfinns i dag i betaltjänstlagen. Mellan den 1 juni 2010 och den 30 april 2018 fanns reglerna om obehöriga transaktioner i lagen (2010:738) om obehöriga transaktioner med betalningsinstrument. Lagen är fortfarande tillämplig på avtal som ingåtts före den 1 maj 2018. Lagstiftningen har sin bakgrund i två EG-direktiv – det första och andra betaltjänstdirektivet.³ Av artikel 54.2 i första betaltjänstdirektivet framgår det att ett godkännande att genomföra en betalningstransaktion lämnas i den form som avtalats mellan betalaren och dennes betaltjänstleverantör.⁴ Om samtycket lämnas på detta sätt, ska betalningstransaktionen anses som godkänd. I praktiken torde ett samtycke i den mening som avses i betaltjänstlagen lämnas när kontohavaren signerar en betalningstransaktion med sin personliga behörighetsfunktion som är avsedd för detta ändamål.

Mycket talar alltså för att betaltjänstdirektivet ska tolkas på så sätt att kontohavaren får anses samtycka till transaktionen och godkänna densamma när hen signerar denna med t.ex. sitt mobila bank-id eller bankdosa, oavsett vilken insikt eller avsikt hen har vid signeringstillfället.

I förarbetena till den svenska lagstiftningen uttalas att med obehöriga transaktioner avses en transaktion som genomförs utan att kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda betalningsinstrumentet lämnat sitt samtycke. Det avgörande för om transaktionen ska anses ha skett behörigen eller obehörigen är alltså om transaktionen har godkänts av någon som har rätt till det enligt avtalet eller inte.⁵ Vad som menas med ”samtycke” berörs inte närmare. Det sägs inte heller något i förarbetena till den svenska lagstiftningen om huruvida det krävs någon form av insikt när samtycket lämnas, dvs. vid signeringen. I författningskommentaren anges dock att det av allmänna fordringsrättsliga

³ Europaparlamentets och rådets direktiv (2007/64/EG) om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (Det första betaltjänstdirektivet) och Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (Det andra betaltjänstdirektivet). Genom det andra betaltjänstdirektivet upphävs det första betaltjänstdirektivet. Reglerna i det första betaltjänstdirektivet har förts över till andra betaltjänstdirektivet, se prop. 2017/18:77 s. 100. ⁴Prop. 2009/10:122 s. 9. Bestämmelsen motsvarar artikel 64.2 i det andra betaltjänstdirektivet. ⁵Prop. 2009/10:122 s. 24 jfr Ds 2008:86 s. 37.

principer följer att kontohavaren inte är betalningsansvarig för en fordran som uppkommit genom att någon obehörigen har använt hans eller hennes betalningsinstrument och att lagen reglerar när kontohavaren – trots denna utgångspunkt – helt eller delvis själv får bära ansvaret för en obehörig transaktion. Med kontohavare avses, enligt samma kommentar, den som innehar ett konto och som därför har rätt att godkänna att ett belopp belastar kontot.⁶ I förarbetena tycks man alltså, precis som i direktivet, ha utgått ifrån att transaktionen är behörig om kontohavaren själv har genomfört den.⁷

Rättspraxis på området är något knapphändig och de frågor som prövats har inte direkt handlat om ansvaret för obehöriga transaktioner. Domstolarna har dock gjort vissa uttalanden som även har bäring på den situation som är aktuell i detta ärende.

I NJA 2017 s. 1105, som rörde frågan om ansvaret för ett lån som ingåtts med en avancerad elektronisk underskrift, uttalade Högsta domstolen bl.a. att när den som är angiven som låntagare i en sådan situation gör gällande att han eller hon inte är den person som har ingått avtalet, innefattar det normalt ett påstående om en obehörig användning av de uppgifter för identifiering som krävts för att skapa låntagarens elektroniska underskrift. Obehörig användning är sådan användning som sker av någon annan än innehavaren av underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

I Göta hovrätts dom den 12 december 2019 i mål nr T 1591-19 har Högsta domstolens resonemang i NJA 2017 s. 1105 av hovrätten tolkats på så sätt att om en innehavare av en avancerad elektronisk underskrift själv har godkänt något med denna, så har användandet inte skett obehörigen. Även denna tvist rörde frågan om ansvaret för ett lån, som i detta fall signerats med bank-id. Hovrätten uttalade att en användning sker obehörigen innebär att

någon har använt den elektroniska underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda underskriften.

Även i rättspraxis har domstolarna alltså utgått ifrån att användandet aldrig kan anses ha skett obehörigen när innehavaren själv har godkänt något med sin elektroniska signatur.

Enligt nämndens mening ger varken direktiven, förarbetena eller rättspraxis stöd för att bestämmelserna om obehöriga transaktioner ska tillämpas på situationer där kontohavaren själv godkänt en transaktion med exempelvis sitt mobila bank-id. Detta oavsett om kontohavaren råkat ut för ett bedrägeri och lurats att själv godkänna en transaktion, eller om en kontohavare har en felaktig uppfattning om vad en transaktion innebär eller vad en eventuell motprestation ska innehålla, eller vad hen över huvud taget gör när hen använder sitt betalningsinstrument. Bestämmelsen i betaltjänstlagen ska i stället förstås på så sätt att en transaktion är obehörig om den utförs av någon annan än kontohavaren utan att ha haft kontohavarens samtycke till transaktionen. När kontohavaren själv godkänt transaktionen i den form som avtalats har kontohavaren också samtyckt till densamma och reglerna om obehöriga transaktioner blir därför inte tillämpliga i situationer som dessa.

⁶Prop. 2009/10:122 s. 23. Se även Lagrådets yttrande i prop. 2017/18:77 s. 672. ⁷ Jfr även Ds 2008:86, s. 5.

Detta innebär att även om BE råkat ut för ett bedrägeri och inte förstod vad hon gjorde när hon signerade de båda swishbetalningarna med sitt mobila bank-id, så är transaktionerna inte obehöriga i den mening som avses i bestämmelserna om obehöriga transaktioner i betaltjänstlagen. BE kan därför inte på den grunden rikta några krav mot banken med anledning av det inträffade. Det har inte heller framkommit någon annan grund som ger henne rätt till ersättning från banken. BE:s krav ska därför avslås.