ARN 2019-19154

Fråga om en transaktion är behörig eller obehörig när anmälaren lämnat ut koder till en bedragare som i sin tur använt koderna för att godkänna/signera transaktionen. Nämnden kom fram till att anmälaren visserligen möjliggjort transaktionen genom att lämna ut koderna men eftersom själva transaktionen utförts av någon annan var den obehörig i den mening som avses med reglerna om obehöriga transaktioner i betaltjänstlagen .

Beslut 2020-05-12; 2019-19154

AH begärde att banken skulle betala 218 000 kr till honom.

I sin anmälan till nämnden uppgav AH följande. Under sommaren 2019 blev han kontaktad av en person, ”Hans”, som sa sig ringa från 3 Säkerhetstjänst. Hans uppgav att denne sett att han hade väldigt många mobilabonnemang, vilket stämde. Hans sade sig kunna hjälpa till att sanera bland abonnemangen. Detta gjordes och Hans hjälpte även till med några andra administrativa saker. Under perioden hade han flera kontakter med Hans.

Den 19 augusti 2019 blev han uppringd av en person som presenterade sig som ”Jonas” och som refererade till Hans. Han fick uppfattningen att Jonas ringde från 3 Säkerhet. Jonas kände till att det hade gjorts åtgärder för att ta bort abonnemang och uppgav att skulle ha fått 9 000 kr tillbaka på sitt konto från abonnemangen som avslutats. Jonas ville säkerställa att pengarna hade gått in på hans konto och han ombads därför gå in på kontot och kontrollera detta under tiden Jonas väntade kvar i telefonen. Han var lite osäker på hur han skulle göra detta och Jonas skulle hjälpa honom med detta. Enligt Jonas skulle han använda sitt mobila bank-id för att komma åt kontot, med det fungerade inte och han försökte två gånger men det gick inte att komma in. Jonas sa då att han skulle använda bankdosan istället, vilket han gjorde. Han fick trycka någon gång till på bankdosan innan det var klart och det skulle framgå om pengarna hade gått in.

De avslutade samtalet och medan han fortfarande hade banksidan uppe med kontot upptäckte han efter en stund att pengar försvann från kontot, först 176 800 kr och strax därpå 41 200 kr. Han ringde genast upp Jonas som sa att det inte var någon fara och att de behövde tömma kontot för att kunna skydda kontot mot intrång. Pengarna skulle sättas tillbaka inom tre bankdagar. Han kände tilltro till Jonas och eftersom han arbetade på samma företag som Hans så trodde han på det han sa.

När tre bankdagar hade gått och inga pengar hade kommit in, förstod han att något inte stod rätt till och han kontaktade banken och polisen. Han vet inte hur Jonas kom åt att ta ut pengarna från kontot. Det var inget som berördes under samtalet och han gav aldrig något frivilligt medgivande till dessa båda uttag.

¹ I detta fall motsvarande regler i den numera upphävda lagen (2010:738) om obehöriga transaktioner med betalningsinstrument.

2019-19154

2020-05-19

021

Pengarna överfördes till ett konto på en annan bank. Eftersom han haft så bra kontakt med Hans på 3 Säkerhet så låg det till grund för den nya kontakt som Jonas tog. Han hade inga skäl att tro att användningen av bankdosans koder skulle hamna i orätta händer.

Banken menar att han har varit särskilt klandervärd i hänseende till villkoren Säkerhetsdosa – privat och villkor internetbanken – privat. För att komma åt de uppgifter som efterfrågades var han tvungen att använda både internet och bankdosa. Varför det mobila bank-id:t inte fungerade vet han inte, men han tror att det reagerade på något så att det avfärdade transaktionerna. Det verkar vara olika säkerhetsnivåer på mobilt bank-id och på säkerhetsdosan och som kund önskar han givetvis att det var samma skyddsnivå på båda.

Banken borde ha stoppat överföringarna eller återtagit medlen från kontot på den andra banken eftersom han meddelat banken att han inte lämnat medgivande till att dessa båda överföringar gjordes. Han har inte agerat särskilt klandervärt och det är han som utsatts för ett bedrägeri. Han vill att banken ersätter honom med det belopp som har dragits från hans konto utan hans medgivande; 176 800 kr + 41 200 kr = 218 000 kr.

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. AH har blivit uppringd av en för honom okänd person och har vid ett flertal tillfällen lämnat ut koder från sin säkerhetdosa. Det framgår av bankens dataloggar att AH via verifieringskod från sin säkerhetsdosa släppt in den okända personen som ringde i sin internetbank. Därefter har bl.a. de två engångsöverföringarna om 176 000 kr och 41 200 kr godkänts med säkerhetsdosan. Sammanfattningsvis har vid sex tillfällen unik svarskod – som genererats från säkerhetsdosan – angivits, någon som förutsatt att anmälaren lämnat ut koderna till uppringaren.

AH har uppgett att han efter avslutat samtal upptäckte att det skett två transaktioner om totalt 218 000 kr. Istället för att då ta kontakt med banken för att kontrollera vad som hänt ringde AH upp personen och fick då beskedet att de behöver tömma bankkontot för att kunna skydda detta från intrång samt att pengarna kommer att sättas tillbaka inom tre bankdagar. Det är först när tre bankdagar gått och pengarna fortfarande inte återförts till AH som denne förstod att något inte stod rätt till och kontaktade banken och polisen.

AH har varit utsatt för ett bedrägeri, men det är hans eget agerande som möjliggjort transaktionerna. AH har således inte hanterat sin säkerhetsdosa på ett betryggande sätt och i enlighet med avtalsvillkoren och i enlighet med lag. Banken kan inte finna några förmildrande omständigheter som kan förklara att AH inte ifrågasatte att en person från ett påstått telefonbolag skulle kunna hjälpa honom med att skydda hans konto från intrång. Därmed har AH handlat så kvalificerat grovt oaktsamt att det varit särskilt klandervärt och AH ska därför ansvara för hela det reklamerade beloppet.

Allmänna reklamationsnämnden gjorde följande bedömning.

Enligt 2 § 2 p. lagen (2010:738) om obehöriga transaktioner med betalningsinstrument är en obehörig transaktion en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda betalningsinstrumentet.²

Av utredningen, bland annat av det tekniska underlag som banken gett in, framgår det att AH lämnat ut svarskoder från sin bankdosa till en bedragare och att bedragaren i sin tur har använt dessa svarskoder för att dels logga in på AH:s internetbank, dels för att utföra

de reklamerade transaktionerna. Nämnden konstaterar att även om AH har utfört vissa moment själv och på så sätt medverkat till att de obehöriga transaktionerna har kunnat ske genom att lämna ut koderna från sin svarsdosa, är det inte han som självständigt har godkänt transaktionerna, utan det är någon annan – dvs. bedragaren – som utfört dessa i internetbanken. Eftersom de reklamerade transaktionerna således genomförts av någon annan än AH, utan hans samtycke, är transaktionerna obehöriga och lagen om obehöriga transaktioner med betalningsinstrument är därmed tillämplig i ärendet.

Enligt den lagen är en kontohavare är skyldig att skydda sin personliga kod och vid vetskap om att betalningsinstrumentet kommit bort eller använts obehörigen snarast anmäla detta till betaltjänstleverantören samt i övrigt följa de villkor som enligt kontoavtalet gäller för användning av betalningsinstrumentet (4 §). Om en obehörig transaktion kunnat genomföras på grund av att kontohavaren genom grov oaktsamhet åsidosatt sina skyldigheter enligt 4 §, ansvarar kontohavaren för beloppet. Om kontohavaren är konsument är ansvaret begränsat till 12 000 kr. Har kontohavaren handlat särskilt klandervärt ansvarar denne dock för hela beloppet (6 §).

Enligt lagens förarbeten tar bestämmelserna om grov oaktsamhet sikte på situationer då kontohavaren har varit obetänksam på ett sätt som inte kan ursäktas. Vid bedömningen ska särskild hänsyn tas till arten av de personliga säkerhetsanordningar som hör till ett betalningsinstrument och till de omständigheter under vilka det förlorades, stals eller missbrukades. En samlad bedömning får göras utifrån den miljö och situation kontohavaren befunnit sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Det måste också tas hänsyn till om kontohavaren är en konsument. Personliga omständigheter kan ha betydelse för bedömningen, t.ex. kontohavarens ålder (se prop. 2009/10:122 s. 17 och 27 f.).

Om kontohavaren varit grovt oaktsam, ska ställning tas till om hen kan anses ha handlat

särskilt klandervärt. Enligt förarbetena kan så vara fallet om kontohavaren har agerat så

klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behöver stå för någon del av den obehöriga transaktionen (se prop. 2009/2010:122 s. 29).

Av bankens villkor framgår bland annat att användaren av säkerhetsdosan ska göra allt den kan för att skydda säkerhetsdosan och koder från användning av andra och att koder bara får användas av användaren personligen och får inte ges till eller användas av annan.

² Bestämmelsen motsvarar definitionen av en obehörig transaktion enligt den nu gällande bestämmelsen i 1 kap. 4 § betaltjänstlagen. Eftersom avtalet, dvs villkoren, som gäller mellan AH och banken är daterade den 1 april 2018 gäller den numera upphävda lagen (2010:738) om obehöriga transaktioner med betalningsinstrument.

Nämnden konstaterar att en bedragare förmådde AH att vid flera tillfällen lämna ut svarskoderna från sin bankdosa. Därigenom fick bedragaren tillgång till hans internetbank och kunde föra över sammanlagt 218 000 kr från hans konto. AH:s användande av bankdosan skedde på uppmaning av en helt okänd person. Han lämnade också ut svarskoderna till en annan person i strid med avtalsvillkoren. Situationen kan inte anses ha varit särskilt pressande. Några omständigheter som skulle kunna ursäkta agerandet har inte framkommit. Nämnden anser vid en sammantagen bedömning av omständigheterna att AH:s agerande har varit inte bara grovt oaktsamt utan också särskilt klandervärt. Hans krav ska därför avslås.