ARN 2021-19593

Obehöriga transaktioner. En konsument, som i samband med ett bedrägeri inte har skyddat sitt kontokort och sin personliga kod, anses ha agerat grovt oaktsamt (men inte särskilt klandervärt) och ska därför stå för endast en del av förlusten.

Beslut 2022-11-09; 2021-19593

BW begärde ersättning med i första hand 14 770 kr och i andra hand 10 000 kr.

I sin anmälan till nämnden uppgav han följande. Han blev först uppringd av en person från ett företag den 12 oktober 2021 som frågade om han ville låna ut pengar. Han svarade nej och lade på luren. Han förstod att det var något skumt. Därefter mottog han ett telefonsamtal från en person som påstod sig ringa från banken och som sa att han precis hade blivit utsatt för ett bedrägeri. Personen sa också att banken var tvungen att spärra hans konto och att banken skulle komma hem till honom och hämta hans bankkort och kod. Han är 92 år och trodde att det var banken som hade ringt.

Senare kom bedragarna och hämtade bankkort och kod. Därefter åkte de till en bankomat och tömde hans bankkonto. Han gjorde en polisanmälan och en kortreklamation till banken. Hans kort spärrades dagen därpå.

Han begär i första hand att banken ersätter honom med hela beloppet som han har förlorat, dvs. 14 770 kr. I andra hand begär han ersättning med 10 000 kr.

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. De aktuella transaktionerna genomfördes med kortets chip samt med angivande av korrekt PIN-kod. BW har därtill medgett att han själv lämnade ut kortet och PIN-koden till de okända personerna som kom hem till honom.

Genom att lämna ut sitt kort och PIN-kod har BW agerat i strid mot kontovillkoren och möjliggjort för bedragarna att genomföra de reklamerade transaktionerna. BW måste även ha förstått att han genom sitt agerande gjorde det möjligt för de okända personerna att använda hans kort och PIN-kod för att genomföra köp. BW vidtog därtill inga åtgärder för att kontrollera att de okända personerna verkligen agerade för bankens räkning. BW har därmed agerat grovt oaktsamt och särskilt klandervärt i lagens mening, och är därför betalningsansvarig för de reklamerade transaktionerna utan någon beloppsbegränsning. För det fall nämnden skulle komma fram till att BW inte har agerat särskilt klandervärt gör banken gällande att hans agerande har varit grovt oaktsamt, och att han därför ska ansvara för de obehöriga transaktionerna till ett belopp om 12 000 kr.

Allmänna reklamationsnämnden gjorde följande bedömning.

Allmänt om regleringen

I lagen (2010:751) om betaltjänster finns regler om obehöriga transaktioner (se 5 a kap.). Huvudregeln är att kontohavarens betaltjänstleverantör (banken) ska återställa kontot till den ställning som det skulle ha haft om den obehöriga transaktionen inte hade genomförts. Som utgångspunkt ska konsumenten alltså inte svara för någon del. Från denna regel finns emellertid vissa undantag. Undantagen hänger samman med att användaren är skyldig att skydda sina personliga behörighetsfunktioner, t.ex. koder, som är knutna till ett betalningsinstrument, t.ex. ett kreditkort, ett BankID eller en bankdosa. Kontohavaren är även skyldig att snarast anmäla till betaltjänstleverantören när

2021-19593

2022-11-09

018

kontohavaren känner till att betalningsinstrumentet har kommit bort eller obehörigen använts och att i övrigt följa de villkor som gäller för användning av betalningsinstrumentet enligt avtalet.

Kontohavaren ansvarar för hela beloppet, om han eller hon har agerat särskilt klandervärt. Ifall kontohavaren i stället har agerat grovt oaktsamt är ansvaret begränsat till 12 000 kr, om innehavaren är en konsument. Om kontohavaren varken har agerat särskilt klandervärt eller grovt oaktsamt, är ansvaret begränsat till 400 kr under förutsättning att de obehöriga transaktionerna har kunnat genomföras till följd av att kontohavaren inte har skyddat sin personliga behörighetsfunktion.

Som framgår är dessa regler tillämpliga när det handlar om transaktioner som är obehöriga i lagens mening. För att så ska anses vara fallet krävs att transaktionen har genomförts utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot. Så kan fallet vara när kontohavaren förmås att genomföra en transaktion utan att förstå innebörden av detta.

Närmare om ansvarsgraderna

Om transaktionen är obehörig, ska kontohavaren själv svara för den ekonomiska förlusten under vissa förutsättningar. Det kräver bl.a. ett agerande som är grovt oaktsamt eller särskilt klandervärt. I fall av grov oaktsamhet är dock ansvaret, som tidigare framgått, begränsat till 12 000 kr om kontohavaren är konsument.

För att kontohavaren ska anses ha agerat grovt oaktsamt krävs att det är fråga om ett markant avsteg från normal aktsamhet och att agerandet därmed har varit obetänksamt i sådan grad att det inte kan ursäktas (se prop. 2009/10:122 s. 27).

Särskilt klandervärt får agerandet anses vara först vid kvalificerade former av grov oaktsamhet. Agerandet ska alltså vara allvarligare än ett markant avsteg från normal aktsamhet. Det ska närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. I lagens förarbeten sägs att det obegränsade ansvaret tar sikte på situationer där konsumenten har agerat så pass klandervärt att det skulle vara stötande att banken behövde stå för någon del av beloppet (se prop. 2009/10:122 s. 29).

Det är banken som har bevisbördan för dessa omständigheter.

Ansvarsgraden får avgöras efter en nyanserad helhetsbedömning av omständigheterna i varje enskilt fall. I situationer där kontohavaren har låtit bli att skydda sina personliga behörighetsfunktioner i samband med ett bedrägeri bör särskilt avseende fästas vid vad kontohavaren har insett eller borde ha insett i fråga om risken för att funktionerna skulle användas för de obehöriga transaktioner som har ägt rum.

Agerandet får i regel anses särskilt klandervärt i fall där kontohavaren lämnar ut sina personliga behörighetsfunktioner till någon och samtidigt dels är medveten om att det rör sig om en obehörig person, dels inser eller har anledning att misstänka att det föreligger en betydande eller närliggande risk för att handlandet kan medföra en förlust. Ett obegränsat ansvar får även anses föreligga i situationer där kontohavaren faktiskt insåg att det fanns en risk för en obehörig transaktion men ändå lät bli att skydda sina personliga behörighetsfunktioner (se rättsfallet NJA 2022 s. 522 ”BankIDbedrägeriet”).

Om något av dessa kriterier är uppfyllt, får kontohavaren nämligen normalt sett anses ha varit likgiltig till risken för de obehöriga transaktionerna och agerandet får därmed bedömas som särskilt klandervärt såvida inte tungt vägande motstående intressen föranleder att det ändå inte kan anses vara stötande att kontohavaren inte ansvarar för förlusten i dess helhet.

I fall där kontohavaren inte har varit likgiltig till risken för de obehöriga transaktionerna, t.ex. för att han eller hon inte insåg ens att det fanns en risk för en sådan transaktion, kan agerandet i allmänhet inte bedömas som särskilt klandervärt. Men om kontohavaren har haft anledning att räkna med risken för en obehörig transaktion, kan agerandet anses ha varit grovt oaktsamt.

I den situationen, dvs. vid bedömningen av om kontohavaren kan anses ha agerat grovt oaktsamt, måste man beakta vad han eller hon hade kunnat göra för att komma till insikt om hur det faktiskt förhöll sig och ta ställning till om det kan begäras att han eller hon gör detta. I det sammanhanget kan många olika faktorer få betydelse. Bland dessa ingår individuella faktorer såsom ålder, erfarenhet, fysiska egenskaper och stresstolerans. Det får även betydelse hur förslaget bedrägeriet har varit och hur pressande eller brådskande situationen har varit eller uppfattats. Här bör hänsyn tas till hur bedragaren har framstått, om personen har varit förtroendeingivande eller om det i stället har funnits förhållanden som normalt sett bör ge anledning till misstanke. Hänsyn ska även tas till karaktären av de uppgifter som lämnas ut och det sätt på vilket detta har skett.

Faktorer av det här slaget påverkar både kontohavarens möjligheter att ta reda på om det finns en risk för obehöriga transaktioner och vad som kan krävas av honom eller henne i det avseendet. Ytterst får dessa och andra liknande omständigheter vägas samman för att avgöra om kontohavaren kan klandras för att inte ha skaffat sig kunskap om hur det förhöll sig. Om så är fallet, kan agerandet anses ha varit grovt oaktsamt under förutsättning att underlåtenheten dessutom kan anses utgöra ett mycket tydligt avsteg från normal aktsamhet och inte är en följd av exempelvis ett inte särskilt allvarligt fall av obetänksamhet, slarv, oförstånd eller godtrogenhet.

Nämndens bedömning

Av utredningen i ärendet framgår att BW blev uppringd av en person som felaktigt utgav sig för att företräda hans bank. Bedragaren berättade att BW hade blivit utsatt för ett bedrägeri och förklarade att banken skulle komma hem till honom för att hämta hans kontokort och koden till detta. Det framgår att man på det sättet förmådde honom att överlämna sitt kontokort och kortets kod. Det står alltså klart att BW inte har skyddat de personliga behörighetsfunktioner som har varit knutna till hans konto och att transaktionerna kunde genomföras till följd av denna underlåtenhet.

Det är även utrett att bedragarna genomförde transaktionerna utan att BW hade samtyckt till detta. Det rör sig alltså om obehöriga transaktioner.

Frågan är härefter om BW:s underlåtenhet att skydda kontokortet och koden har varit särskilt klandervärd eller grovt oaktsam.

Utredningen visar inte annat än att BW trodde att han överlämnade kortet och koden till en företrädare för banken och att denna person var behörig att använda detta. Han har alltså inte avsiktligt överlämnat kortet och koden till en obehörig person.

Det framgår att BW lämnade ut kortet och koden för att han blev lurad att tro att han hade blivit utsatt för ett bedrägeri och att överlämnandet var nödvändigt för att skydda hans tillgångar. Det har inte kommit fram något som talar för att han då insåg att det fanns en risk för att personerna skulle genomföra de transaktioner som kom att ske. Han kan därmed inte anses ha varit likgiltig till risken för obehöriga transaktioner. Slutsatsen blir därför att han inte kan anses ha agerat särskilt klandervärt. Han ansvarar således inte för hela förlusten.

Frågan blir då om BW:s agerande ska bedömas som grovt oaktsamt.

Det får normalt anses förenat med tydliga risker att överlämna kontokort och kod till någon annan och således utan möjlighet att kontrollera hur kortet används eller sprids. Därför får det i regel krävas att man ifrågasätter behovet av att överlämna sitt kontokort på det sätt som har skett och att man gör vad man kan för att kontrollera vem man överlämnar kortet till i en situation som denna. Detta gäller även om man har uppfattat förhållandena som pressande och oavsett om det har saknats särskilda skäl att ifrågasätta bedragarens uppgifter.

Genom att överlämna kontokortet och koden får BW på ett mycket tydligt sätt anses ha avvikit från den aktsamhet som kan krävas av honom. Samtidigt måste beaktas hans höga ålder och det förhållandet att bedragarna kom hem till honom, något som kan ha begränsat hans möjligheter att avstå från att tillmötesgå deras krav. Avvikelsen är dock så pass allvarlig att BW, trots sin belägenhet, får anses genom grov oaktsamhet ha försummat skyldigheten att skydda sin personliga behörighetsfunktion.

BW:s ansvar är alltså begränsat till 12 000 kr. Med avdrag för detta belopp ska därför banken rekommenderas att ersätta den förlust (rätteligen 14 700 kr) som de obehöriga transaktionerna har orsakat honom.

Skiljaktig mening

Två ledamöter är skiljaktiga i fråga om motiveringen till nämndens beslut och anförde följande.

I detta fall rör det sig om ett utlämnade av både betalningsinstrument (kontokort) och personliga behörighetsfunktioner (kortets PIN-kod).

Det framgår av bankens villkor att kortet är personligt och inte får lämnas ut eller användas av någon annan samt att kunden är skyldig att inte avslöja den personliga koden till kortet för någon.

Att lämna ut både kontokort och kod till en okänd person visar i allmänhet på en likgiltighet inför risken för obehöriga transaktioner. Ett begränsat ansvar för konsumenten i dessa situationer kan därför endast komma ifråga under mycket särskilda omständigheter, dvs. rena undantagsfall.

Det bedrägeri som BW utsattes för kan inte anses vara förslaget. Påståendet att en representant från banken skulle komma hem till honom och hämta hans kontokort och tillhörande kod för att spärra hans konto i banken är tvärtom så udda att BW måste ha förstått att det var fråga om ett bedrägeri.

Det har dock framkommit i ärendet att BW är 92 år gammal och har en funktionsnedsättning. Han får därmed antas ha haft svårigheter att skydda sig mot det aktuella bedrägeriet. Det kan därför inte anses bevisat att BW, när han överlämnade kortet och koden, var likgiltig inför risken för de obehöriga transaktioner som sedan ägde rum. Hans agerande är därför inte att anse som särskilt klandervärt.

Vi är ense med majoriteten att BW:s agerande ska bedömas som grovt oaktsamt.