ARN 2022-02184

Obehöriga transaktioner. En konsument, som i samband med ett bedrägeri inte har skyddat sitt kontokort och sin personliga kod, anses ha agerat grovt oaktsamt (men inte särskilt klandervärt) och ska därför stå för endast en del av förlusten.

Beslut 2022-11-09; 2022-02184

BO begärde ersättning med 15 000 kr.

I sin anmälan till nämnden uppgav hon följande. Hon blev kontaktad av en person som uppgav att han ringde från bankens säkerhetstjänst. Han lät mycket trovärdig och uppgav att någon höll på att få tillgång till hennes konto och ta ut hennes pengar. Han bad henne lämna ut sina kortuppgifter och koder för att lösa problemet, vilket hon sa att hon inte ville. Hon är 90 år gammal och var vid tillfället också sjuk med feber. Hon sa flera gånger att hon inte orkade prata längre och att han skulle ringa hennes dotter i stället. Han bad att få dotterns nummer och uppgav att han skulle ringa dottern, men att hon själv inte fick ringa dottern under tiden eftersom samtalet då kunde komma att brytas.

Samtalet pågick länge. Hon blev orolig och stressad och var mot slutet helt utmattad och orkade inte längre stå emot. Det kom en person och ringde på dörren. Enligt personen i telefonen skulle en kollega komma och hämta korten för att hjälpa henne med hoten. Annars riskerade hon att förlora 120 000 kr. Hon lämnade ifrån sig kortet. Hon kontaktade därefter direkt sin dotter och bad henne spärra kortet, vilket hon gjorde omgående. Sju minuter innan kortet spärrades hade någon hunnit ta ut 7 500 kr vid två tillfällen. Hon begär att få tillbaka det belopp som hon har förlorat.

Banken motsatte sig kravet.

I sitt svar till nämnden uppgav banken följande. BO har genom att lämna ut sitt kort och PIN-kod agerat i strid mot lagen om betaltjänster och kontovillkoren samt möjliggjort för bedragarna att genomföra de reklamerade transaktionerna. BO måste även ha förstått att hon genom sitt agerande gjorde det möjligt för de okända personerna att använda hennes kort och PIN-kod för att genomföra köp.

BO vidtog därtill inga åtgärder för att kontrollera att de okända personerna verkligen agerade för bankens räkning. Det framgår även av BO:s uppgifter att hon inledningsvis inte ville lämna ut sina kortuppgifter och sin PIN-kod, vilket banken uppfattar som att hon var misstänksam och förstod att något inte stämde.

Banken anser sammantaget att BO har agerat grovt oaktsamt och särskilt klandervärt i lagens mening, och att hon därför är betalningsansvarig för de reklamerade transaktionerna utan någon beloppsbegränsning. För det fall nämnden skulle komma fram till att BO inte har agerat särskilt klandervärt anser banken i andra hand att BO:s agerande enligt ovan har varit grovt oaktsamt, varför hon ska ansvara för de obehöriga transaktionerna till ett belopp om 12 000 kronor.

Allmänna reklamationsnämnden gjorde följande bedömning.

Allmänt om regleringen

I lagen (2010:751) om betaltjänster finns regler om obehöriga transaktioner (se 5 a kap.). Huvudregeln är att kontohavarens betaltjänstleverantör (banken) ska återställa kontot till den ställning som det skulle ha haft om den obehöriga transaktionen inte hade genomförts. Som utgångspunkt ska konsumenten alltså inte svara för någon del. Från denna regel finns emellertid vissa undantag.

2022-02184

2022-11-09

020

Undantagen hänger samman med att användaren är skyldig att skydda sina personliga behörighetsfunktioner, t.ex. koder, som är knutna till ett betalningsinstrument, t.ex. ett kreditkort, ett BankID eller en bankdosa. Kontohavaren är även skyldig att snarast anmäla till betaltjänstleverantören när kontohavaren känner till att betalningsinstrumentet har kommit bort eller obehörigen använts och att i övrigt följa de villkor som gäller för användning av betalningsinstrumentet enligt avtalet.

Kontohavaren ansvarar för hela beloppet, om han eller hon har agerat särskilt klandervärt. Ifall kontohavaren i stället har agerat grovt oaktsamt är ansvaret begränsat till 12 000 kr, om innehavaren är en konsument. Om kontohavaren varken har agerat särskilt klandervärt eller grovt oaktsamt, är ansvaret begränsat till 400 kr under förutsättning att de obehöriga transaktionerna har kunnat genomföras till följd av att kontohavaren inte har skyddat sin personliga behörighetsfunktion.

Som framgår är dessa regler tillämpliga när det handlar om transaktioner som är obehöriga i lagens mening. För att så ska anses vara fallet krävs att transaktionen har genomförts utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot. Så kan fallet vara när kontohavaren förmås att genomföra en transaktion utan att förstå innebörden av detta.

Närmare om ansvarsgraderna

Om transaktionen är obehörig, ska kontohavaren själv svara för den ekonomiska förlusten under vissa förutsättningar. Det kräver bl.a. ett agerande som är grovt oaktsamt eller särskilt klandervärt. I fall av grov oaktsamhet är dock ansvaret, som tidigare framgått, begränsat till 12 000 kr om kontohavaren är konsument.

För att kontohavaren ska anses ha agerat grovt oaktsamt krävs att det är fråga om ett markant avsteg från normal aktsamhet och att agerandet därmed har varit obetänksamt i sådan grad att det inte kan ursäktas (se prop. 2009/10:122 s. 27).

Särskilt klandervärt får agerandet anses vara först vid kvalificerade former av grov oaktsamhet. Agerandet ska alltså vara allvarligare än ett markant avsteg från normal aktsamhet. Det ska närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. I lagens förarbeten sägs att det obegränsade ansvaret tar sikte på situationer där konsumenten har agerat så pass klandervärt att det skulle vara stötande att banken behövde stå för någon del av beloppet (se prop. 2009/10:122 s. 29).

Det är banken som har bevisbördan för dessa omständigheter.

Ansvarsgraden får avgöras efter en nyanserad helhetsbedömning av omständigheterna i varje enskilt fall. I situationer där kontohavaren har låtit bli att skydda sina personliga behörighetsfunktioner i samband med ett bedrägeri bör särskilt avseende fästas vid vad kontohavaren har insett eller borde ha insett i fråga om risken för att funktionerna skulle användas för de obehöriga transaktioner som har ägt rum.

Agerandet får i regel anses särskilt klandervärt i fall där kontohavaren lämnar ut sina personliga behörighetsfunktioner till någon och samtidigt dels är medveten om att det rör sig om en obehörig person, dels inser eller har anledning att misstänka att det föreligger en betydande eller närliggande risk för att handlandet kan medföra en förlust. Ett obegränsat ansvar får även anses föreligga i situationer där kontohavaren faktiskt insåg att det fanns en risk för en obehörig transaktion men ändå lät bli att skydda sina personliga behörighetsfunktioner (se rättsfallet NJA 2022 s. 522 ”BankIDbedrägeriet”).

Om något av dessa kriterier är uppfyllt, får kontohavaren nämligen normalt sett anses ha varit likgiltig till risken för de obehöriga transaktionerna och agerandet får därmed bedömas som särskilt klandervärt såvida inte tungt vägande motstående intressen föranleder att det ändå inte kan anses vara stötande att kontohavaren inte ansvarar för förlusten i dess helhet.

I fall där kontohavaren inte har varit likgiltig till risken för de obehöriga transaktionerna, t.ex. för att han eller hon inte insåg ens att det fanns en risk för en sådan transaktion, kan agerandet i allmänhet inte bedömas som särskilt klandervärt. Men om kontohavaren har haft anledning att räkna med risken för en obehörig transaktion, kan agerandet anses ha varit grovt oaktsamt.

I den situationen, dvs. vid bedömningen av om kontohavaren kan anses ha agerat grovt oaktsamt, måste man beakta vad han eller hon hade kunnat göra för att komma till insikt om hur det faktiskt förhöll sig och ta ställning till om det kan begäras att han eller hon gör detta. I det sammanhanget kan många olika faktorer få betydelse. Bland dessa ingår individuella faktorer såsom ålder, erfarenhet, fysiska egenskaper och stresstolerans. Det får även betydelse hur förslaget bedrägeriet har varit och hur pressande eller brådskande situationen har varit eller uppfattats. Här bör hänsyn tas till hur bedragaren har framstått, om personen har varit förtroendeingivande eller om det i stället har funnits förhållanden som normalt sett bör ge anledning till misstanke. Hänsyn ska även tas till karaktären av de uppgifter som lämnas ut och det sätt på vilket detta har skett.

Faktorer av det här slaget påverkar både kontohavarens möjligheter att ta reda på om det finns en risk för obehöriga transaktioner och vad som kan krävas av honom eller henne i det avseendet. Ytterst får dessa och andra liknande omständigheter vägas samman för att avgöra om kontohavaren kan klandras för att inte ha skaffat sig kunskap om hur det förhöll sig. Om så är fallet, kan agerandet anses ha varit grovt oaktsamt under förutsättning att underlåtenheten dessutom kan anses utgöra ett mycket tydligt avsteg från normal aktsamhet och inte är en följd av exempelvis ett inte särskilt allvarligt fall av obetänksamhet, slarv, oförstånd eller godtrogenhet.

Nämndens bedömning

Av utredningen i ärendet framgår att BO blev uppringd av en person som felaktigt utgav sig för att företräda hennes bank. Bedragaren berättade för henne att någon skulle ta ut hennes pengar och uppmanade henne att överlämna sina kortuppgifter och sin kod för att kunna lösa problemet, något som hon inte gick med på. Bedragaren förklarade att en kollega till honom i stället skulle komma hem till henne och hämta kortet. Det framgår att man på det sättet förmådde BO att överlämna sitt kontokort och kortets kod. Det står alltså klart att hon inte har skyddat de personliga behörighetsfunktioner som har varit knutna till hennes konto och att transaktionerna kunde genomföras till följd av denna underlåtenhet.

Det är även utrett att bedragarna genomförde transaktionerna utan att BO hade samtyckt till detta. Det rör sig alltså om obehöriga transaktioner.

Frågan är härefter om BO:s underlåtenhet att skydda kontokortet och koden har varit särskilt klandervärd eller grovt oaktsam.

Det framgår som sagt att BO vägrade lämna ut sina kortuppgifter till den person som ringde upp henne. Detta talar för att hon insåg att det fanns en viss risk för obehöriga transaktioner. Trots detta överlämnade hon kontokortet och koden till en person som uppenbarligen agerade i samförstånd med uppringaren. Det får därmed anses utrett att hon även uppfattade att det fanns en risk för att hon lämnade över kontokortet till en obehörig person, även om det inte är visat att hon faktiskt förstod att så verkligen var fallet. Samtidigt framgår det av utredningen att BO vid det aktuella tillfället var 90 år gammal, sjuk i covid-19 och hade feber. Det framgår även att samtalet pågick länge och att hon var

utmattad, orolig och stressad. Dessa förhållanden, liksom den omständigheten att en av bedragarna kom hem till henne för att förmå henne att lämna över kortet och koden, något som ytterligare måste antas ha försvårat för henne att stå emot, måste vägas in vid bedömningen av hennes handlande. Med beaktande av dessa omständigheter kan det inte anses visat att BO, när hon överlämnade kortet och koden, var likgiltig inför risken för de obehöriga transaktioner som sedan ägde rum. Tvärtom kontaktade hon direkt efter händelsen sin dotter för att få hjälp med att spärra kortet. Vid en sammantagen bedömning anser nämnden att BO inte kan anses ha agerat särskilt klandervärt. Hon ansvarar således inte för hela förlusten.

Frågan blir då om BO:s agerande ska bedömas som grovt oaktsamt.

Det får normalt anses förenat med tydliga risker att överlämna kontokort och kod till någon annan och således utan möjlighet att kontrollera hur kortet används eller sprids. Därför får det i regel krävas att man ifrågasätter behovet av att överlämna sitt kontokort på det sätt som har skett och att man gör vad man kan för att kontrollera vem man överlämnar kortet till i en situation som denna. Detta gäller även om man har uppfattat förhållandena som pressande och oavsett om det har saknats särskilda skäl för att ifrågasätta bedragarens uppgifter.

Genom att överlämna kontokortet och koden får BO på ett mycket tydligt sätt anses ha avvikit från den aktsamhet som kan krävas av henne. Även med beaktande av de ovan redovisade omständigheterna, dvs. hennes höga ålder, hennes sjukdom samt att hon var utmattad, orolig och stressad liksom situationen i övrigt, måste dock avvikelsen anses vara så pass allvarlig att BO, trots sin belägenhet, får anses ha försummat skyldigheten att skydda sin personliga behörighetsfunktion genom grov oaktsamhet.

BO:s ansvar är alltså begränsat till 12 000 kr. Med avdrag för detta belopp ska därför banken rekommenderas att ersätta den förlust som de obehöriga transaktionerna har orsakat henne.

Skiljaktig mening

Två ledamöter är skiljaktiga i fråga om motiveringen till nämndens beslut och anförde följande.

I detta fall rör det sig om ett utlämnade av både betalningsinstrument (kontokort) och personliga behörighetsfunktioner (kortets PIN-kod).

Det framgår av bankens villkor att kortet är personligt och inte får lämnas ut eller användas av någon annan samt att kunden är skyldig att inte avslöja den personliga koden till kortet för någon.

Att lämna ut både kontokort och kod till en okänd person visar i allmänhet på en likgiltighet inför risken för obehöriga transaktioner. Ett begränsat ansvar för konsumenten i dessa situationer kan därför endast komma ifråga under mycket särskilda omständigheter, dvs. rena undantagsfall.

Det bedrägeri som BO utsattes för kan inte anses vara förslaget. Påståendet att en representant från banken skulle komma hem till BO och hämta hennes kontokort och tillhörande kod för hindra att någon skulle ta ut pengar från hennes konto är tvärtom så udda att BO måste ha förstått att det var fråga om ett bedrägeri.

Hon vägrade dessutom först att lämna ut kortet och koden, vilket talar för att hon insett att det fanns en risk för en obehörig transaktion.

Det har dock framkommit i ärendet att BO, som vid tidpunkten för bedrägeriet var 90 år gammal, var sjuk i covid-19. Hon hade feber och var utmattad, orolig och stressad. Hon får därmed antas ha haft begränsade möjligheter att göra en adekvat bedömning av den situation hon befann sig i och konsekvenserna av sitt agerande. Det kan därför inte anses bevisat att BO, när hon överlämnade kortet och koden, var likgiltig inför risken för de obehöriga transaktioner som sedan ägde rum. Hennes agerande är därför inte att anse som särskilt klandervärt.

Vi är ense med majoriteten att BO:s agerande ska bedömas som grovt oaktsamt.