NJA 2022 s. 522
En konsument lämnade till följd av ett bedrägeri ut koden till sitt BankID och svarskoder från sin bankdosa. Agerandet möjliggjorde flera transaktioner från konsumentens konto. Omständigheterna har ansetts vara sådana att konsumentens handlande var grovt oaktsamt men inte särskilt klandervärt. Banken ska därför i allt väsentligt återställa kontot till den ställning det hade haft om transaktionerna inte hade ge-nomförts.
Stockholms tingsrätt
M.T. förde vid Stockholms tingsrätt den talan mot Länsförsäkringar Bank Aktiebolag som framgår av tingsrättens dom.
Domskäl
Tingsrätten (tingsfiskalen Dante Olason Hallberg) anförde följande i dom den 3 juli 2020.
BAKGRUND
M.T. hade sina besparingar på ett konto hos Länsförsäkringar Bank Aktiebolag (Länsförsäkringar). Torsdagen den 2 augusti 2018 blev M.T. uppringd av en person som uppgav sig vara en banktjänsteman från Skandinaviska Enskilda Bankens (SEB:s) säkerhetsavdelning (bedragaren). Under dagen var M.T. i kontakt med bedragaren per telefon vid två tillfällen. Vid ett av telefonsamtalen fick M.T., vid inloggning med sitt BankID, upp signerings-texten ”Jag legitimerar mig hos: Länsförsäkringar”. Bedragaren förmådde M.T. att skapa ett nytt BankID med vilket bedragaren samma dag lyckades överföra ett sammanlagt belopp om 150 000 kr från M.T:s konto hos Länsförsäkringar. Dagen efter, den 3 augusti 2018, lyckades bedragaren överföra ytterligare 247 000 kr. Det sammanlagda beloppet för de obehöriga transaktionerna från konton i Länsförsäkringar uppgår till 397 000 kr.
Den 6 augusti 2018 spärrade M.T. banktjänsterna och polisanmälde bedrägerierna.
M.T. har tidigare framställt samma krav på ersättning mot Länsförsäkringar i en anmälan till Allmänna reklamationsnämnden (ARN), Änr 2018-10987. ARN meddelade i sitt beslut den 12 juni 2019 att nämnden avslog M.T:s krav. ARN menade bl.a. att det inte förelåg en pressad situation som skulle kunna ursäkta M.T:s agerande. Enligt ARN var M.T:s agerande särskilt klandervärt.
YRKANDEN OCH INSTÄLLNING
M.T. har yrkat att tingsrätten ska förplikta Länsförsäkringar att till honom betala 385 000 kr, jämte ränta enligt 6 § räntelagen från dagen för delgivning av stämning, dvs. den 5 november 2019, till dess betalning sker.
Länsförsäkringar har bestridit M.T:s yrkanden i sin helhet. Det yrkade beloppet samt sättet att beräkna ränta vitsordas.
GRUNDER
M.T. har som grund för sin talan anfört följande. Obehöriga transaktioner om sammanlagt 397 000 kr har gjorts från M.T:s konto hos Länsförsäkringar. M.T. är konsument och har genom grov oaktsamhet åsidosatt sin skyldighet att skydda sina personliga behörighetsfunktioner men han har inte handlat särskilt klandervärt. M.T. har bl.a. legitimerat sig med sitt BankID och följt instruktioner från bedragaren men har inte lämnat ut några koder till bedragaren den 2 augusti 2018.
Eftersom M.T. inte har handlat särskilt klandervärt ansvarar han inte för hela beloppet utan endast för ett belopp upp till 12 000 kr.
Länsförsäkringar har som grund för sin talan anfört följande. Det är riktigt att pengarna obehörigen har tagits ut från M.T:s konto hos Länsförsäkringar. M.T. har dock inte bara handlat grovt oaktsamt utan också särskilt klandervärt.
Det särskilt klandervärda agerandet utgörs av vad som förekommit under två telefonsamtal mellan M.T. och bedragaren den 2 augusti 2018. M.T. har då legitimerat sig med BankID och därefter följt bedragarens instruktioner genom att bl.a. lämna ut koder som han fått från sin säkerhetsdosa. Vid det första samtalet har M.T. legitimerat sig med sitt BankID. Vid det andra samtalet har M.T. följt ett flertal instruktioner från bedragaren. M.T. har angett sin fyrsiffriga kod i sin personliga säkerhetsdosa och tryckt siffran 2 på uppdrag av bedragaren. Därefter har M.T. i sin dosa angett två fyrsiffriga koder som bedragaren har kunnat utläsa från inloggningssidan. M.T. har sedan muntligen lämnat ut en sexsiffrig kod som synts i säkerhetsdosan. På uppdrag av bedragaren har M.T. därefter angett siffran 3, sitt personnummer och en sexsiffrig kod som bedragaren uppgett. Slutligen har han muntligen lämnat över den svarskod som han har fått från säkerhetsdosan så att bedragaren har kunnat ange den i dialogrutan på internetbanksidan.
Eftersom M.T. har handlat särskilt klandervärt ska han ansvara för hela beloppet. Om M.T. inte anses ha handlat särskilt klandervärt vitsordas i och för sig att han har rätt till det yrkade beloppet.
UTVECKLING AV TALAN
M.T.
M.T. hade bankkonton hos Länsförsäkringar och andra banker, bland andra SEB. På kontot hos Länsförsäk-ringar hade han sina livsbesparingar.
Närmare om det första telefonsamtalet
Torsdagen den 2 augusti 2018 befann sig M.T. på sitt arbete då han blev uppringd av en person som sa sig heta Andreas Wennergrund Elchian (bedragaren). Bedragaren uppgav att han ringde från SEB:s säkerhetsavdelning och att anledningen till samtalet var att M.T. inte hade besvarat ett brev avseende GDPR som SEB för en tid sedan hade skickat ut. Bedragaren uppgav att M.T. var tvungen att gå till ett bankkontor för att godkänna SEB:s hantering av M.T:s personuppgifter. Enligt bedragaren riskerade M.T. annars att strykas som kund i banken. Samtalet kom en torsdag och bedragaren uppgav att M.T. hade veckan ut på sig att ordna godkännandet. M.T. hade mycket på arbetet och upplevde att han inte hade möjlighet att med så kort varsel bege sig till ett bankkontor och lösa situationen. M.T. befann sig därför i en pressad situation. M.T. blev stressad och frågade om det fanns någon annan möjlighet att ordna situationen. Bedragaren erbjöd M.T. att försöka lösa situationen över telefon under förutsättning att M.T. kunde legitimera sig. M.T. legitimerade sig via BankID. När M.T. såg att det stod ”Länsförsäkringar” vid legitimering förklarade bedragaren att det stod så för att M.T:s BankID hade utfärdats och hanterades av Länsförsäkringar. M.T. var kund både hos Länsförsäkringar och SEB och reagerade därför inte på uppgiften. Det visade sig dock att han behövde sitt digipass, dvs. sin säkerhetsdosa, för att legitimera sig. Eftersom M.T. inte hade med sig säkerhetsdosan till arbetet kom bedragaren och M.T. överens om att bedragaren skulle ringa tillbaka senare på kvällen för att hjälpa M.T. M.T. lämnade vid det första telefonsamtalet inte ut några som helst uppgifter.
Närmare om det andra telefonsamtalet
På kvällen den 2 augusti 2018 befann sig M.T. hemma, med tillgång till sin säkerhetsdosa. Bedragaren ringde upp från samma nummer och lämnade trovärdiga uppgifter om M.T:s förhållanden. Bedragaren uppgav att M.T:s nuvarande BankID var osäkert och behövde förnyas samt instruerade M.T. i hur han skulle hantera sin säkerhetsdosa för att skapa ett nytt BankID. M.T. tryckte in siffror på sin säkerhetsdosa men lämnade inte ut några koder till bedragaren. M.T. förleddes att skapa ett BankID på en enhet som fanns hos bedragaren, utanför M.T:s kontroll. M.T. var inte medveten om vad som skedde och hade inte godkänt det. Han fick en SMS-bekräftelse avseende att ett nytt BankID hade skapats men reagerade inte på detta eftersom han trodde att han hade förnyat sitt eget BankID.
Närmare om de obehöriga transaktionerna och upptäckten
Med hjälp av det BankID som bedragaren lyckades skapa på en egen enhet utanför M.T:s kontroll, vetskap eller godkännande genomförde bedragaren två Swish-överföringar om totalt 150 000 kr. Den 3 augusti 2020 över-fördes också ytterligare 247 000 kr från M.T:s konto hos Länsförsäkringar. Samtliga betalningar gjordes utan M.T:s vetskap eller godkännande.
Måndagen den 6 augusti 2020 upptäckte M.T. de obehöriga uttagen genom att han fick en upplysning om att en kreditupplysning hade tagits på honom. M.T. reagerade omedelbart genom att spärra sina konton och polisanmäla bedrägeriet. Det visade sig att bedragaren, utöver överföringarna från Länsförsäkringar, hade lyckats ta ut 35 000 kr från M.T:s konto hos SEB och ansökt om en kredit på 250 000 kr hos Santander Bank. Krediten lyckades emellertid M.T. stoppa. SEB har återbetalat uttaget till M.T., med ett avdrag om 12 000 kr. Länsförsäkringar har inte återbetalat något belopp.
Bedragaren var skicklig och det rörde sig om ett välplanerat upplägg och en skicklig manipulation. Den enda uppgiften som M.T. lämnade ut till bedragaren var en kod som M.T. fick via SMS under söndagen den 5 augusti 2018. Då hade de i målet aktuella överföringarna redan genomförts. M.T. misstänkte inte någon gång under samtalen att det kunde vara fråga om ett bedrägeri. Bedragaren hade uppgifter om M.T:s personliga förhållanden samt om hur banker och transaktioner fungerar. Bedragaren agerade lugnt, sansat och inte stressat under samtalen och det var inget som framstod som märkligt. Bedragaren talade god svenska men övergick vid det andra samtalet till att tala persiska, M.T:s modersmål.
M.T. har inte någon närmare kännedom kring hur BankID fungerar utan förlitade sig på de, som han upplevde det, professionella instruktioner som bedragaren gav honom. M.T. använder BankID till vardagligt bruk, exempelvis för att betala räkningar.
M.T. accepterar att han agerade grovt oaktsamt och att han åsidosatt sina skyldigheter men inte att han agerade särskilt klandervärt. M.T. är konsument och har ingen insikt i och kan inte styra över säkerhetssystemet. Han hade inte insyn i vilka konsekvenser det kunde få att vara tillmötesgående på det sätt som han var. Hans agerade var därför inte särskilt klandervärt.
Länsförsäkringar
Allmänt om BankID
Pengar som finns innestående på en användares internetbank kan disponeras genom exempelvis internetöver-föringar och Swish-betalningar. Dessa signeras med hjälp av mobilt BankID. BankID är en e-legitimation som kan användas för att styrka en persons identitet på internet. BankID är den i särklass största e-legitimationen som utfärdas av tolv banker i samarbete. Användaren måste själv ladda ner applikationen till sin telefon, surfplatta eller dator och hämta e-legitimationen från sin internetbank. En mobiltelefon med mobilt BankID fungerar som en fristående säkerhetsdosa då någon behöver legitimera sig på internet. Legitimeringen med mobilen kan således ske även då någon surfar på en dator.
Ett nytt mobilt BankID kan skapas via användarens internetbank. Eftersom BankID är en personlig e-legitimation, jämförbar med pass och körkort, måste det hanteras på ett säkert sätt. För att skydda kunder från bedrägerier där BankID skapas i användarens namn, finns bestämmelser i betaltjänstlagen och bankernas allmänna villkor om att exempelvis koder till den personliga säkerhetsdosan inte får lämnas ut. Det är alltså viktigt att användaren aldrig lämnar ut koder från sin säkerhetsdosa.
M.T. innehade ett mobilt BankID som var utfärdat av SEB. Även den säkerhetsdosa som användes och det nya BankID som skapades av bedragaren hade utfärdats av SEB. Inloggningen på kontot hos Länsförsäkringar, skapandet av en ny Swish-anslutning, höjningen av beloppsgränsen för Swish samt signering av de reklamerade transaktionerna utfördes med M.T:s nya BankID. Vid varje tillfälle verifierade Länsförsäkringar giltigheten av BankID:t med godkänt resultat.
Närmare om telefonsamtalen och M.T:s agerande
Den 2 augusti 2020 hade M.T. kontakt med bedragaren per telefon vid två tillfällen. Det första samtalet skedde omkring kl. 15, då M.T. enligt egna uppgifter befann sig på sitt arbete. Bedragaren uppgav att han jobbade på SEB:s säkerhetsavdelning och att han hörde av sig eftersom M.T. inte hade besvarat ett brev om GDPR. Vid det första samtalet var M.T. villig att gå bedragaren till mötes men hade inte sin säkerhetsdosa med sig vilket han förklarade för bedragaren. Bedragaren föreslog att M.T. skulle använda sitt BankID i stället varefter M.T. legi-timerade sig med BankID mot Länsförsäkringar.
Legitimeringen innebar alltså att M.T. legitimerade sig mot Länsförsäkringar och inte att BankID:t var utfärdat av Länsförsäkringar vilket bedragaren uppgav. Trots att M.T. inte hade något BankID som utfärdats av Länsförsäkringar bedömde han vid tillfället att bedragarens förklaring var rimlig.
När bedragaren hade loggat in på M.T:s internetbank hos Länsförsäkringar försökte denne beställa ett nytt BankID hos Länsförsäkringar. Signering med M.T:s personliga säkerhetsdosa för utfärdande av nytt BankID begärdes fyra gånger mellan kl. 15.07 och 15.09 den 2 augusti 2018. Utan information från säkerhetsdosan kunde beställningen dock inte slutföras. M.T. har tidigare uppgett att han fattade vissa misstankar, varför han loggade in på internetbanken efter samtalet. Några obehöriga transaktioner hade då inte utförts.
Trots de tidigare misstankarna genomförde M.T. ett andra telefonsamtal med bedragaren strax efter kl. 19 den 2 augusti 2018. Bedragaren loggade då in på M.T:s internetbank hos SEB och skapade ett nytt BankID. De åtgärder som under det andra telefonsamtalet genomfördes för skapandet av ett nytt BankID kan sammanfattas i följande tre steg.
Bedragaren angav M.T:s personnummer på internetbankens inloggningssida och M.T. angav sin fyrsiffriga kod i sin personliga säkerhetsdosa. Bedragaren instruerade därefter M.T. att ange siffran 2. Bedragaren kunde sedan utläsa två fyrsiffriga koder från bankens inloggningssida som M.T. knappade in på säkerhetsdosan. Därefter angav M.T. muntligen en sexsiffrig kod som han kunde utläsa från sin bankdosa. Bedragaren kunde därigenom logga in på M.T:s personliga internetbanksida.
Väl inne på internetbanksidan startade bedragaren dialogrutan som möjliggör beställning av ett nytt BankID. För det krävdes ytterligare användning av säkerhetsdosan. Genom att M.T. angav siffran 3 på säkerhetsdosan, sitt personnummer samt en sexsiffrig kod som bedragaren överlämnade genererades ytterligare en svarskod i säkerhetsdosan. M.T. överlämnade svarskoden muntligen till bedragaren. Genom att bedragaren angav svars-koden i dialogrutan möjliggjordes uttagandet av ett nytt BankID.
Slutligen skickades ett SMS till M.T:s telefon med information från SEB om att ett nytt BankID hade skapats. M.T. mottog meddelandet kl. 19.22 den 2 augusti 2018.
M.T. har i polisförhör uppgett att han lämnade en svarskod till bedragaren. Genom förfarandet under tele-fonsamtalen handlade M.T. särskilt klandervärt och han ska därför svara för hela beloppet.
Närmare om de obehöriga transaktionerna
Efter det andra telefonsamtalet kunde bedragaren genomföra de aktuella betalningarna. Omkring 30 minuter efter samtalet genomfördes två Swish-betalningar; en betalning om cirka 20 000 kr gjordes kl. 19.52 och en betalning om cirka 130 000 gjordes kl. 19.57. Några timmar senare, kl. 00.38, 01.21 och 02.07 den 3 augusti 2018 genomfördes ytterligare tre betalningar, varav två om 100 000 kr och en om 47 000 kr.
UTREDNINGEN
M.T. har åberopat förhör under sanningsförsäkran med honom själv. Länsförsäkringar har åberopat vittnes-förhör med G.J. Båda parter har åberopat skriftlig bevisning.
DOMSKÄL
Utgångspunkter för bedömningen
Det är ostridigt i målet att en bedragare ringt upp M.T. och förmått honom att skapa ett nytt BankID samt att det därefter mellan den 2 och 3 augusti 2018 har genomförts obehöriga transaktioner från M.T:s konto hos Länsförsäkringar till ett totalbelopp om 397 000 kr. Det är vidare ostridigt att M.T. vid telefonsamtalen genom grov oaktsamhet har åsidosatt sin skyldighet att skydda sina personliga behörighetsfunktioner. Tingsrätten har att ta ställning till om M.T:s handlande vid telefonsamtalen även har varit särskilt klandervärt.
Det får anses ostridigt att reglerna om obehöriga transaktioner i lagen (2010:751) om betaltjänster (betaltjänstlagen) är tillämpliga mellan parterna. Av betaltjänstlagen följer bl.a. att användaren av betaltjänsten är skyldig att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet (se 5 kap. 6 § betaltjänstlagen). Om obehöriga transaktioner från en kontohavares konto har kunnat genomföras till följd av att en sådan skyldighet har åsidosatts genom grov oaktsamhet, ansvarar kontohavaren, såsom konsument, för högst 12 000 kr. Har kontohavaren handlat särskilt klandervärt, ansvarar han eller hon dock för hela beloppet. (Se 5 a kap. 3 § betaltjänstlagen.)
Enligt lagmotiven krävs ett markant avsteg från aktsamhetsnormen för att en kontohavare ska anses ha brutit mot en förpliktelse genom grov oaktsamhet. Bestämmelsen tar sikte på fall då kontohavaren kan anses ha varit obetänksam i en sådan grad att han eller hon inte är ursäktad. För att avgöra om kontohavaren har orsakat transaktionen genom grov oaktsamhet får en samlad bedömning göras utifrån den miljö och situation som kontohavaren befunnit sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Det måste givetvis beaktas om kontohavaren är konsument men även personliga omständigheter kan ha betydelse för bedömningen, t.ex. kontohavarens ålder. Det är i princip betaltjänstleverantören som ska visa att kontoha-varen av grov oaktsamhet har brutit mot en förpliktelse som följer av lagen och att detta lett till den obehöriga transaktionen. (Se prop. 2009/10:122 s. 27 f., jfr prop. 2017/18:77 s. 207.)
Vid bedömningen av om en konsuments handlande har varit särskilt klandervärt måste det beaktas att ansvaret för en obehörig transaktion i dessa fall inträder först vid grov oaktsamhet. Vad som avses är alltså kvalificerade former av grov oaktsamhet. Bestämmelsen om att en konsument ska ansvara för hela beloppet riktar in sig på situationer då kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behövde stå för någon del av beloppet. Det ska enligt lagstiftaren närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. I förarbetena anges som exempel att kontohavaren lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang. Ett annat exempel som anges är att kontohavaren lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid. (Se prop. 2009/10:122 s. 29.)
Allmänna reklamationsnämnden (ARN) har vid ett flertal tillfällen tagit ställning till om kontohavares handlande har varit särskilt klandervärt då koder har lämnats ut till obehöriga. I utökad sammansättning har ARN konstaterat att det inte finns någon möjlighet för konsumenterna att styra över bankernas säkerhetslösningar. Nämnden har därutöver bl.a. beaktat bedrägeriets förslagenhet, om bedragaren haft mycket specifik kunskap om kontohavarens situation, om svarskoder lämnats ut vid upprepade tillfällen samt kontohavarens ålder och förutsättningar att förstå konsekvenserna av handlandet. (Se ARN 2017-07814, 2017-13660, 2018-10285 och 2018-12130. Jfr även bl.a. ARN 2018-07633, 2018-07811, 2018-12006, 2018-13498 och 2018-14848.)
Tingsrättens bedömning
Enligt tingsrätten har M.T. i huvudsak lämnat en trovärdig berättelse om vad som skedde under telefonsamtalen med bedragaren. I stora delar finns det därför skäl att utgå från hans uppgifter om händelseförloppet (jfr prop. 2009/10:122 s. 28). Genom huvudsakligen hans berättelse har inledningsvis följande framkommit. Bedragaren kontaktade M.T. per telefon den 2 augusti 2018 och uppgav att han ringde från SEB:s säkerhetsavdelning. Enligt uppringaren var skälet till kontakten att M.T. inte hade lämnat sitt skriftliga samtycke till bankens GDPR-hantering vilket banken hade skickat brev om. På fråga från M.T. om varför inte en e-postbekräftelse var tillräcklig, svarade bedragaren att banken hade gjort bedömningen att det av säkerhetsskäl krävdes skriftligt godkännande. Bedragaren uppgav att godkännandet kunde lämnas på ett bankkontor senast efterföljande dag samt att han i annat fall riskerade att bli struken som kund. M.T., som hade sina bolån i SEB, ansåg sig inte ha råd att bli struken som kund i banken och blev stressad. Han frågade därför om det var möjligt att lösa situationen på något annat sätt och fick till svar att bekräftelsen kunde lämnas genom mobilt BankID. M.T. öppnade sitt BankID på mobilen och noterade att det stod ”Länsförsäkringar” längst upp, varpå han frågade hur detta kom sig. Bedragaren svarade att BankID:t hade utfärdats av Länsförsäkringar. Eftersom M.T. hade skaffat BankID:t för länge sedan och glömt vilken bank som utfärdat det accepterade han förklaringen. M.T. fick därefter be-kräftat från bedragaren att villkoren i GDPR hade accepterats men att M.T:s BankID var gammalt och behövde förnyas. Bedragaren hänvisade honom återigen till ett bankkontor. På fråga från M.T. uppgav bedragaren, efter att ha samtalat med någon som han påstod var hans chef, att det var möjligt att beställa ett nytt BankID per telefon men att det krävde bankdosa. Bedragaren erbjöd sig att återkomma under kvällen då M.T. hade kommit hem med tillgång till bankdosan och M.T. var mycket nöjd med den föreslagna lösningen. Vid 19-tiden på kvällen ringde bedragaren tillbaka och konstaterade inledningsvis att de båda kom från Iran och började därefter prata persiska innan han erbjöd M.T. att förnya dennes BankID med hjälp av bankdosan.
När det gäller det efterföljande skedet har M.T. bekräftat att han följde bedragarens instruktioner och tryckte in siffror i sin bankdosa men har gjort gällande att han inte lämnade ut några koder till bedragaren vid detta tillfälle. M.T:s uppgifter får i denna del anses motstridiga i förhållande till vad som antecknats i samband med hans polisförhör efter händelsen och med tanke på att närmare två år har förflutit sedan telefonsamtalet är det inte uteslutet att M.T. minns fel i detta avseende. G.J. från SEB:s säkerhetsavdelning har också på ett trovärdigt sätt förklarat att det vid denna tidpunkt inte var möjligt att skapa ett nytt BankID utan att vid upprepade tillfällen ange svarskoder från bankdosan i webbläsaren. M.T:s uppgifter är därmed i denna del motbevisade och tings-rätten utgår i stället från att M.T. vid detta tillfälle lämnade ut två koder från sin personliga säkerhetsdosa till bedragaren.
När det gäller frågan om M.T:s agerande har varit särskilt klandervärt gör tingsrätten följande överväganden. Det står inledningsvis klart att M.T. bl.a. har lämnat ut koder som han erhållit genom sin personliga säkerhetsdosa i strid med sina skyldigheter som betaltjänstanvändare (se 5 kap. 6 § första stycket 1 betaltjänstlagen). Det har visserligen inte funnits någon möjlighet för M.T. som konsument att styra över bankens säkerhetslösningar. Koderna har emellertid lämnats ut till en för M.T. okänd person. Han har därigenom varit obetänksam i sådan grad att han inte kan anses ursäktad. M.T. har alltså agerat grovt oaktsamt.
Vidare visar utredningen att M.T. har blivit utsatt för ett mycket förslaget bedrägeri. Han trodde att han pratade med bankens säkerhetsavdelning och situationen framstod inledningsvis som relativt pressad. Detta då han hade mycket på arbetet och enligt uppringaren riskerade att ”bli struken” som kund i banken. M.T. har av allt att döma ställt flera relevanta frågor och fått svar som i vart fall för honom framstått som fullt acceptabla. Genom att bl.a. tala med M.T. på hans modersmål lyckades bedragaren också skapa ett särskilt förtroende. Även om M.T. inte själv tog initiativ till telefonsamtalen förleddes han till att själv föreslå flera lösningar som gav bedragaren möjlighet att skapa ett nytt BankID och i förlängningen genomföra de obehöriga transaktionerna. M.T. förefaller visserligen ha viss erfarenhet av datasäkerhet genom sitt arbete. Det finns emellertid ingenting som tyder på att han förstod att hans användning av bankdosan och utlämnandet av koderna riskerade att få negativa konse-kvenser i den aktuella situationen. Tvärtom var han tacksam över den goda kontakten och servicen och bokade in ytterligare ett telefonmöte med bedragaren några dagar senare. M.T. kan inte genom sitt handlande anses ha varit likgiltig till risken att obehöriga transaktioner skulle genomföras. Utifrån de krav på särskilt klandervärt handlande som uppställs genom lagen, kan det inte heller anses stötande att Länsförsäkringar får stå för en del av det belopp som överförts från M.T:s konto.
Sammanfattningsvis är det inte visat att M.T. har handlat särskilt klandervärt. Länsförsäkringar är därför skyldigt att återställa M.T:s konto till den ställning som det skulle ha haft om transaktionerna inte hade ge-nomförts med avdrag för 12 000 kr på grund av att M.T. har åsidosatt sina skyldigheter genom grov oaktsamhet (jfr 5 a kap. 1 och 3 §§ betaltjänstlagen).
DOMSLUT
Tingsrätten förpliktade Länsförsäkringar Bank Aktiebolag att till M.T. betala 385 000 kr, jämte ränta enligt 6 § räntelagen på beloppet – – –.
Svea hovrätt
Länsförsäkringar Bank Aktiebolag överklagade i Svea hovrätt och yrkade att hovrätten skulle ogilla M.T:s talan.
M.T. motsatte sig att tingsrättens dom ändrades.
Domskäl
Hovrätten (hovrättslagmannen Per Carlson och hovrättsrådet Kerstin Norman samt tf. hovrättsassessorn Mirjam Gordan, referent) anförde följande i dom den 23 juni 2021.
PARTERNAS TALAN OCH UTREDNINGEN I HOVRÄTTEN
Parterna har åberopat samma grunder och utvecklat sin talan på i huvudsak samma sätt som vid tingsrätten, dock med följande förtydliganden.
Länsförsäkringar har förtydligat att M.T:s underlåtenhet att skydda sina personliga behörighetsfunktioner skett i strid med såväl betaltjänstlagen som bankens allmänna villkor för Mobilt BankID, särskilt punkterna 7.3–7.4, som är ostridiga. Vidare har bolaget förtydligat att de faktiska omständigheterna i händelseförloppet som redo-visats under rubriken ”Närmare om telefonsamtalen och M.T:s agerande” i tingsrättens dom (se s. 8 och 9) åberopas till stöd för påståendet att M.T. har agerat särskilt klandervärt i lagens mening. Vad gäller tiden mellan samtalen påstås dock inte att det inträffade något av betydelse under den tiden.
M.T. har bekräftat att bankens allmänna villkor ostridigt gäller mellan parterna och följer vad som redan framgår av lagen. Han ifrågasätter därför inte heller att han, utöver det som följer av betaltjänstlagen, även enligt villkoren haft en skyldighet att skydda sina personliga behörighetsfunktioner och att han agerat grovt oaktsamt även i förhållande till villkoren i detta avseende.
Hovrätten har avgjort målet utan huvudförhandling. Hovrätten har tagit del av samma bevisning som tings-rätten.
HOVRÄTTENS DOMSKÄL
Målet rör en prövning av en konsuments ansvar för obehöriga transaktioner som utförts av en bedragare. Frågan i målet är om M.T. ska anses ha agerat så klandervärt i förhållande till Länsförsäkringar att han fullt ut ska ansvara för de obehöriga transaktionerna.
Rättsliga utgångspunkter
Ansvaret för obehöriga transaktioner av det slag som är aktuella i målet regleras i lagen (2010:751) om betal-tjänster (betaltjänstlagen). I fråga om innehållet i de tillämpliga bestämmelserna och tillhörande förarbetsutta-landen hänvisas till tingsrättens redogörelse – – –. Hovrätten gör därefter följande tillägg.
Genomförandet av första och andra betaltjänstdirektivet
Till grund för det nuvarande svenska regelverket om betaltjänster ligger första och andra betaltjänstdirektivet. EU-direktiven har genomförts i svensk rätt genom lagen om obehöriga transaktioner med betalningsinstrument (2010:738) och betaltjänstlagen. Vid genomförandet av det andra betaltjänstdirektivet upphävdes lagen om obehöriga transaktioner med betalningsinstrument och reglerna om obehöriga transaktioner överfördes till bet-altjänstlagen (se prop. 2017/18:77 s. 194). EU-direktiven syftar bl.a. till att göra betalningar enklare och säkrare samt säkerställa ett starkt konsumentskydd vid användning av betaltjänster inom EU. Direktiven reglerar bl.a. kontohavares rättigheter och skyldigheter vid användning av betalningsinstrument samt dennes betalningsansvar vid obehöriga transaktioner. Som utgångspunkt är banken skyldig att återställa saldot på kontot efter en obehörig transaktion och kontohavaren är bara ansvarig för ett mycket begränsat belopp – även om denne åsidosatt de villkor som gällt för tjänsten – såvida inte denne har handlat bedrägligt eller visat grov vårdslöshet (se artikel 61 i första och artikel 74 i andra betaltjänstdirektivet). Vidare medger direktiven att medlemsstaterna inför mer långtgående skydd för kontohavare som varken handlat bedrägligt eller avsiktligen, varvid särskild hänsyn ska tas till arten av de personliga säkerhetsbehörighetsuppgifterna och till de särskilda omständigheter under vilka betalningsinstrumentet förlorats, stulits eller missbrukats (se artikel 61 i första och artikel 74 i andra betaltjänst-direktivet).
Vid genomförandet av första betaltjänstdirektivet valde Sverige också att låta ansvaret i konsumentförhållanden vara mer begränsat än vad som krävs i direktivet. Även om kontohavaren genom grov oaktsamhet underlåtit att uppfylla sina skyldigheter ska alltså dennes ansvar begränsas till en självrisk om 12 000 kr (se prop. 2009/10:122 s. 15–18). Regeringen anförde då att det fanns ett stort samhällsekonomiskt och brottsförebyg-gande intresse av att minska kontanthanteringen till förmån för ökad kortanvändning i samhället. Vidare ansågs den ökade användningen av internetbank och andra självbetjäningstjänster över internet vara kostnadsbesparande för bankerna.
Önskemålet att uppmuntra användningen av kontokort och andra betalningsinstrument gjorde därför att re-geringen ansåg att parterna i viss mån skulle dela på risken för en obehörig transaktion – till och med i de fall då kontohavaren varit grovt oaktsam. Regeringen ansåg dock inte att det var rimligt att ansvarsbegränsningen skulle gälla om kontohavaren handlat bedrägligt eller särskilt klandervärt (jfr EU-direktivens ovan nämnda krav att kontohavare ska vara fullt ansvariga vid bedrägligt eller avsiktligt handlande). Vid genomförandet av andra betaltjänstdirektivet överfördes reglerna om ansvarsfördelning i princip oförändrade till den nu gällande betal-tjänstlagen (se prop. 2017/18:77 s. 204–207).
Begreppen grovt oaktsamt och särskilt klandervärt i betaltjänstlagen
En bestämmelse om ansvarsfördelning vid obehöriga korttransaktioner i konsumentförhållanden fanns tidigare i 34 § i 1992 års konsumentkreditlag (1992:830). En kontohavare kunde då bli obegränsat betalningsansvarig för obehöriga transaktioner, om denne bl.a. förlorat kortet genom grov oaktsamhet. Begreppet grov oaktsamhet hade i 1992 års konsumentkreditlag emellertid kommit att tillämpas med ett innehåll som i andra sammanhang närmast skulle betraktas som enkel oaktsamhet (se SOU 2005:108 s. 11). När paragrafen upphävdes och ersattes av lagen om obehöriga transaktioner med betalningsinstrument synes avsikten emellertid ha varit att begreppet grov oaktsamhet i stället skulle tillämpas på samma sätt som i andra delar av den svenska civilrätten (se prop. 2009/10:122 s. 17 och SOU 2005:108 s. 12 och 248).
Tillämpningen av begreppet grov oaktsamhet i svensk civilrätt har av HD fått en utförlig belysning i NJA 1992 s. 130. HD uttalade att det enligt vedertagen uppfattning på skadestånds- och försäkringsrättens område måste vara fråga om vårdslöshet av mycket allvarligt slag för att den ska kunna betecknas som grov. Det är då fråga om ett handlande som ligger på gränsen till uppsåtligt förfarande, dvs. som vittnar om en betydande hänsynslöshet eller nonchalans och som medför en avsevärd risk för skada. Som framgår av rättsfallet kan bedömningen inom andra områden vara strängare. HD uttalade också att det ligger i sakens natur att begreppet inte kan ges en enhetlig innebörd på alla områden där det används.
När det gäller oaktsamhetsbedömningar inom skadeståndsrätten brukar hänsyn tas till risken för skada, den sannolika skadans storlek samt möjligheterna att förekomma skadan. Ytterligare en faktor som beaktas är den handlandes möjligheter att inse risken för skada. (Se NJA 1996 s. 564 och Hellner m.fl., Skadeståndsrätt, JUNO version 10, s. 130.)
En grundläggande aktsamhetsnorm i betaltjänstlagen tar sin utgångspunkt i de skyldigheter som följer av lagen (se 5 kap. 6 §) och tillämpliga avtalsvillkor. Kontohavaren är skyldig att vara aktsam med sitt betalningsin-strument så att obehöriga inte kan komma åt det. Av artikel 69 i andra betaltjänstdirektivet framgår bl.a. att kunden ska vidta alla rimliga åtgärder för att skydda sina personliga säkerhetsbehörighetsuppgifter. Enbart ett åsidosättande av kontohavarens skyldigheter är emellertid inte tillräckligt för att det ska föreligga mer än enkel oaktsamhet, utan det krävs också att åsidosättandet i det enskilda fallet varit grovt oaktsamt (se prop. 2009/10:122 s. 28).
En sådan aktsamhetsnorm ligger också i linje med bestämmelserna i EU-direktivet där det anges att ”[m]edan begreppet vårdslöshet inbegriper ett åsidosättande av en aktsamhetsplikt, bör grov vårdslöshet emellertid betyda mer än ren vårdslöshet och omfatta ett uppträdande som uppvisar en betydande grad av oaktsamhet; till exempel att förvara de behörighetsuppgifter som används för auktorisering av en betalningstransaktion intill betal-ningsinstrumentet, i ett format som är öppet och lätt att upptäcka för tredje man” (se skäl 72 i andra betal-tjänstdirektivet).
I förarbetena till den svenska lagen har det uttryckts på så sätt att det för grov oaktsamhet ska vara fråga om ett markant avsteg från aktsamhetsnormen (se prop. 2009/10:122 s. 27). Förarbetsuttalandena kan dock anses delvis motsägelsefulla då de även anger att grov oaktsamhet tar sikte på fall då kontohavaren kan anses ha varit obetänksam i en sådan grad att denne inte är ursäktad (se prop. 2009/10:122 s. 27). Det senare uttalandet är, enligt hovrättens mening, snarare ett uttryck för vad som i andra sammanhang skulle bedömas som vanlig oaktsamhet.
Ett exempel som angetts i förarbetena på vad som är grovt oaktsamt i betaltjänstlagens mening är att någon förvarar en anteckning om sin kod tillsammans med sitt kontokort och förlorar dessa i en offentlig miljö (se prop. 2009/10:122 s. 28). När det gäller kontohavares hantering av sin personliga kod i andra situationer än kontokortssituationen saknas emellertid vägledande uttalanden. Vid genomförandet av andra betaltjänstdirektivet i svensk rätt gjordes inte heller någon ansats att närmare belysa hur det digitaliserade bank- och betalväsendet förhöll sig till kontohavarens aktsamhetsplikt och det ansvar som vilar på konsumenten. Bilden får anses ha komplicerats ytterligare av att konsumenters utsatthet för bedrägerier ökat i takt med att bankernas betaltjänster digitaliserats och kontantanvändningen i samhället minskat.
Beträffande innebörden av begreppet särskilt klandervärt i betaltjänstlagen uppstår enligt hovrättens mening gränsdragningsproblem i förhållande till begreppet grovt oaktsam. Uttrycket särskilt klandervärt förekommer inte i de bakomliggande EU-direktiven och är inte heller i övrigt ett vedertaget begrepp på civilrättens område. Den allmänspråkliga tolkningen av begreppet antyder att det här är fråga om ett handlande som är så grovt att det närmar sig ett uppsåtligt agerande. Vad som ligger bakom begreppet särskilt klandervärt får emellertid även tolkas i ljuset av EU-direktivens regler om ansvars- och riskfördelning samt förarbetsuttalandena i övrigt varvid bestämmelsen rimligtvis inte kan ges ett alltför snävt tillämpningsområde. Det kan för övrigt även noteras att betaltjänstdirektivet under alla förhållanden inte medger att medlemsstaterna tillåter en annan ansvarsfördelning än att kontohavaren står för hela risken vid ageranden som kan kvalificeras som bedrägliga eller avsiktliga (se artikel 74 fjärde stycket i andra betaltjänstdirektivet).
Särskilt klandervärda beteenden i betaltjänstlagen tar sikte på kvalificerat grovt oaktsamma fall där kontohavaren agerat så klandervärt i förhållande till banken att det skulle vara stötande att banken ska behöva stå för någon del av beloppet. Det ska enligt förarbetena närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig inför risken för obehöriga transaktioner (se prop. 2009/10:122 s. 29). En avgörande utgångspunkt från lagstiftarens sida synes också ha varit att det är först i situationer där konsumenten typiskt sett tagit en risk som de mest allvarliga konsekvenserna av dennes handlande är motiverad.
Inget av de exempel som ges i förarbetena – att någon lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang, eller lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid – är inriktat på sådana fall där någon uppmanas logga in på sin bank eller att lämna ut personliga behörighetsfunktioner. De ger därför inte någon direkt vägledning för bedömningen av det slag av bedrägeri som är aktuellt i detta mål. Exemplen ger dock uttryck för att det ska röra sig om en form av medvetet risktagande från kontohavarens sida.
Även om det i förarbetena sägs att kontohavaren ska ha varit närmast likgiltig, vilket för tankarna till en subjektiv bedömning, måste lagstiftarens avsikt enligt hovrätten ha varit att bedömningen – särskilt av rättvise- och rättssäkerhetsskäl – i allt väsentligt ska göras utifrån en objektiv värdering av omständigheterna i det enskilda fallet. Att en sådan objektiv bedömning görs som utgångspunkt utesluter inte att man i vissa fall bör beakta den enskildes personliga förutsättningar att inse riskerna och förstå konsekvenserna av sitt eget handlande, så som t.ex. ålder eller sjukdom (se prop. 2009/10:122 s. 27 f.).
Bedömningen i detta fall
Av grundläggande betydelse är, som ovan anförts, att kontohavaren är skyldig att vidta alla rimliga åtgärder för att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet och i övrigt följa de villkor som enligt avtalet gäller för användning av betalningsinstrumentet. Av Länsförsäkringars allmänna villkor för Mobilt BankID framgår också bl.a. att kunden är skyldig att skydda koder/lösenord samt att BankID endast får användas av kunden och att kunden ska vidta erforderliga åtgärder för att skydda sig mot att BankID används obehörigt.
Det är ostridigt mellan parterna att M.T. vid upprepade tillfällen den 2 augusti 2018 använt sitt mobila BankID på uppmaning av en för honom okänd person. I likhet med tingsrätten finner hovrätten att M.T. vid samma tillfälle måste ha lämnat ut koder från sin säkerhetsdosa till den okände personen. Det är alltså dessa ageranden som lett till att en bedragare kunnat beställa ett nytt BankID i M.T:s namn och därefter obehörigen kunnat föra över sammanlagt 397 000 kr från dennes konto i Länsförsäkringar den 2–3 augusti 2018.
Det är härigenom klarlagt att M.T., genom sitt eget agerande i dessa avseenden, har åsidosatt sina skyldigheter som följer av betaltjänstlagen och de allmänna villkoren för tjänsten. M.T. har vitsordat att han agerat grovt oaktsamt genom att åsidosätta sin skyldighet att skydda sina personliga behörighetsfunktioner. Frågan är emellertid om M.T. i sin egenskap av konsument har åsidosatt sina skyldigheter på ett sätt som varit särskilt klandervärt.
En utgångspunkt för den fortsatta bedömningen är att bankkunder i allmänhet måste förutsättas känna till att de inte får lämna ut koder och lösenord eller i övrigt till andra personer ge tillgång till sina internetbanker. Häri ligger att bankkunder känner till risken för att de kan komma att utsättas för bedrägerier. Sådana allmänna kunskaper innebär dock inte att bankkunder i allmänhet har några närmare kunskaper om vilka tillvägagångssätt som används vid bedrägerier.
Att lämna ut personliga koder till en okänd person per telefon måste anses framkalla en avsevärt högre risk för att obehöriga transaktioner skulle kunna komma att ske jämfört med att en kontohavare lämnar sitt kontokort obevakat på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang (jfr prop. 2009/10:122 s. 29).
Det bedrägeri som M.T. utsatts för har, enligt vad utredningen visar, varit tämligen förslaget, bl.a. genom vad som framkommit om att M.T. tilltalats på sitt modersmål persiska. M.T. kan emellertid inte anses ha befunnit sig i någon särskilt pressad eller utsatt situation som gjorde att han var tvungen att agera snabbt vid det första telefonsamtalet, även om han fick uppfattningen att han riskerade att strykas som kund i banken om han inte godtog bankens hantering av hans personuppgifter. Redan genom att M.T. vid det första telefonsamtalet legi-timerat sig med sina personliga koder på uppmaning av en okänd person måste han anses ha tagit en risk som utgör en kvalificerad form av oaktsamhet.
Till detta kommer att M.T. vid det andra telefonsamtalet på kvällen samma dag inte bara har legitimerat sig med sitt mobila BankID utan också följt instruktioner om att lämna ut personliga behörighetskoder, utan att ha vidtagit några egentliga åtgärder för att förvissa sig om att personen han talade med verkligen ringde från banken eller att de uppgifter som denne lämnat var riktiga. M.T. hade sålunda kunnat förhindra transaktionerna genom att i tiden mellan telefonsamtalen vidta åtgärder såsom att t.ex. motringa banken, ställa kontrollfrågor eller på annat sätt söka reda på information. Härigenom måste M.T. anses ha varit likgiltig inför de risker som hans handlande inneburit.
På grund av det anförda måste M.T. anses ha handlat särskilt klandervärt på det sätt som avses i betaltjänstlagen. Det innebär att käromålet ska ogillas och tingsrätten dom ändras i enlighet härmed.
HOVRÄTTENS DOMSLUT
Med ändring av tingsrättens dom ogillade hovrätten käromålet.
Högsta domstolen
M.T. överklagade och yrkade att HD skulle förplikta Länsförsäkringar Bank Aktiebolag att till honom betala 385 000 kr och ränta.
Länsförsäkringar motsatte sig ändring av hovrättens dom.
Betänkande
Målet avgjordes efter föredragning.
Föredraganden, justitiesekreteraren Margareta Sandén, föreslog i betänkande att HD skulle meddela följande dom.
DOMSKÄL
Punkterna 1–12 överensstämmer i huvudsak med punkterna 1–16 i HD:s domskäl.
Närmare om 5 a kap. 3 § betaltjänstlagen
För att grov oaktsamhet i den mening som avses i 3 § ska föreligga måste det enligt förarbetena vara fråga om ett markant avsteg från aktsamhetsnormen. Lindriga fall av slarv eller tillfällig glömska räknas inte som grovt oaktsamt. (Se prop. 2009/10:122 s. 27 ff.)
Bestämmelsen om att en konsument vid särskilt klandervärt handlande får stå för hela beloppet avser enligt förarbetena fall då kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denna behövde stå för någon del av beloppet. Det rör sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. Som exempel nämns i förarbetena att kontohavaren lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang eller att kontohavaren lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid. Vidare måste beaktas att ansvar för en obehörig transaktion inträder först vid grov oaktsamhet. Ett särskilt klandervärt handlande utgör alltså en kvalificerad form av grov oaktsamhet. (Se prop. 2017/18:77 s. 370 och prop. 2009/10:122 s. 29.)
Det nu sagda leder till slutsatsen att det, för att ett handlande ska vara särskilt klandervärt i bestämmelsens mening, måste vara fråga om ett medvetet risktagande från kontohavarens sida. Kontohavaren ska ha insett eller misstänkt risken för att hans eller hennes handlande kan leda till obehöriga transaktioner men ska ändå ha agerat på det sätt som han eller hon har gjort.
Bedömningen av om kontohavaren har handlat särskilt klandervärt ska göras utifrån en samlad bedömning av omständigheterna i det enskilda fallet. Vid bedömningen bör hänsyn tas till den miljö och situation som kontohavaren har befunnit sig i samt till hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. (Jfr prop. 2017/18:77 s. 370 och prop. 2009/10:122 s. 27 ff.)
Det är betaltjänstleverantören som har bevisbördan för att kontohavaren har handlat särskilt klandervärt. Samtidigt får det ställas vissa krav på kontohavaren att bidra till utredningen. Många gånger får kontohavarens uppgifter läggas till grund för bedömningen. (Jfr prop. 2009/10:122 s. 28.)
Bedömningen i detta fall
Det är ostridigt att M.T. genom grov oaktsamhet har åsidosatt skyldigheten att skydda koderna till sitt mobila BankID och sin bankdosa samt att detta har lett till att obehöriga transaktioner genomförts.
Utredningen i målet består i huvudsak av M.T:s uppgifter. Av dessa framgår att han uppfattat bedragaren som en lugn och seriös banktjänsteman. Vidare har bedragaren kunnat ge förklaringar som M.T. uppfattat som rimliga, exempelvis när det gäller hur personuppgiftsbehandlingen skulle godkännas och varför det stod att han legitimerade sig hos Länsförsäkringar. Be-dragaren har under telefonsamtalen lyckats bygga upp ett förtroende hos M.T., bland annat genom att tala hans modersmål. Det framgår också att M.T. fått uppfattningen att det krävts brådskande åtgärder från hans sida och att han blivit stressad. Bedragaren har vidare, efter att först ha uppmanat M.T. att besöka ett bankkontor, förmått honom att själv föreslå lösningar som gav bedragaren möjlighet att skapa ett nytt BankID och genomföra de obehöriga transaktionerna.
M.T. har blivit utsatt för ett förslaget bedrägeri. Det är inte visat att M.T. insåg eller misstänkte att det fanns en risk för olovliga transaktioner. Det har således inte varit fråga om ett sådant medvetet risktagande som krävs för att en kontohavare ska anses ha handlat särskilt klandervärt. (Jfr p. 14–17.)
M.T:s talan ska därför bifallas. Det yrkade beloppet och sättet att beräkna ränta är vitsordat.
DOMSLUT
HD ändrar hovrättens dom i huvudsaken och förpliktar Länsförsäkringar Bank Aktiebolag att till M.T. betala 385 000 kr och ränta enligt 6 § räntelagen – – –.
Domskäl
HD (justitieråden Kerstin Calissendorff, Johnny Herre, referent, Stefan Johansson, Cecilia Renfors och Johan Danelius) meddelade den 21 juni 2022 följande dom.
DOMSKÄL
Vad målet gäller
Huvudregeln är att en kontohavare i en bank eller hos en annan betaltjänstleverantör inte ansvarar för att det har genomförts en transaktion utan samtycke från kontohavaren eller någon som är behörig att använda kontot (obehörig transaktion). Genom att uttag, överföringar från konton och andra transaktioner numera ofta sker genom att kontohavaren använder sina egna behörighetskoder för autentiseringsändamål har huvudregeln kommit att förses med betydande undantag.
Frågan i målet är om en konsument som har betett sig grovt vårdslöst genom att lämna ut sina behörig-hetskoder även ska anses ha handlat särskilt klandervärt och därför själv ska ansvara för hela beloppet i för-hållande till banken (se 5 a kap. 3 § lagen, 2010:751, om betaltjänster).
Bakgrund
M.T. var bankkund hos dels Länsförsäkringar, dels Skandinaviska Enskilda Banken (SEB). I augusti 2018 blev han uppringd av en bedragare som uppgav att han ringde från SEB:s säkerhetsavdelning.
Bedragaren uppgav att M.T. inte hade besvarat ett brev från SEB där banken krävde skriftligt samtycke till bankens hantering av personuppgifter enligt dataskyddsförordningen (GDPR) och att M.T. därför var tvungen att gå till ett bankkontor för att godkänna bankens personuppgiftshantering. Om han inte gjorde det senast dagen därpå skulle han strykas som kund i banken. När M.T. undrade varför han inte kunde ge sitt godkännande via e-post svarade bedragaren att banken hade gjort bedömningen att det av säkerhetsskäl krävdes ett skriftligt godkännande. M.T. talade om att han inte skulle hinna gå till bankkontoret i tid och frågade om problemet kunde lösas på något annat sätt. Han uppmanades då att logga in hos SEB med sitt mobila BankID för att godkänna personuppgiftshanteringen. Vid inloggningen fick M.T. upp texten ”Jag legitimerar mig hos: Länsförsäkringar”. Bedragaren förklarade efter fråga från M.T. att texten berodde på att M.T:s BankID hade utfärdats av Läns-försäkringar.
Sedan villkoren avseende GDPR hade accepterats påstod bedragaren att M.T. hade ett gammalt BankID och att han behövde gå till ett bankkontor för att förnya detta. M.T. frågade om han kunde förnya det på något annat sätt och fick till svar att han i så fall behövde använda sin bankdosa. Eftersom M.T. inte kunde få tillgång till bankdosan förrän han kom hem bokade de in ett telefonsamtal samma kväll. Bedragaren frågade även om M.T:s härkomst och berättade att hans föräldrar också kom från Iran. De övergick då till att tala persiska.
Vid samtalet på kvällen följde M.T. bedragarens instruktioner och tryckte in siffror i bankdosan och lämnade även ut svarskoder från bankdosan. Därigenom blev det möjligt för bedragaren att beställa ett nytt BankID i M.T:s namn och bland annat föra över sammanlagt 397 000 kr från hans konto hos Länsförsäkringar.
Målet i tingsrätten och hovrätten
M.T., som vitsordade att han hade agerat grovt vårdslöst, yrkade att Länsförsäkringar skulle förpliktas att till honom betala 385 000 kr jämte ränta, vilket motsvarar det överförda beloppet med avdrag för 12 000 kr. M.T. gjorde i huvudsak gällande att han emellertid inte hade handlat särskilt klandervärt.
Tingsrätten biföll M.T:s talan. Hovrätten har däremot ogillat käromålet.
Ansvaret för obehöriga transaktioner
De svenska reglerna om ansvar för obehöriga transaktioner har sin grund i första och andra betaltjänstdirektiven . De bestämmelser i det första betaltjänstdirektivet som rörde ansvar för obehöriga transaktioner och därmed sammanhängande frågor genomfördes ursprungligen i lagen (2010:738) om obehöriga transaktioner med betalningsinstrument. Vid genomförandet av det andra betaltjänstdirektivet 2018 upphävdes den lagen och reglerna om obehöriga transaktioner fördes i stället in i 5 a kap. betaltjänstlagen.
En betaltjänstanvändare, exempelvis en kontohavare, är skyldig att skydda de personliga behörighetsfunktioner som är knutna till ett betalningsinstrument och i övrigt följa de villkor som enligt avtalet med betal-tjänstleverantören gäller för användning av betalningsinstrumentet (se 5 kap. 6 § betaltjänstlagen).
Termen betalningsinstrument definieras som ett kontokort eller något annat personligt instrument eller en personlig rutin som enligt avtal används för att initiera en betalningsorder. Definitionen inbegriper exempelvis kreditkort, BankID och bankdosa. Med personlig behörighetsfunktion, som definieras som en personligt anpassad funktion som betaltjänstleverantören tillhandahåller betaltjänstanvändaren för autentiseringsändamål, avses exempelvis en personlig kod. (Se 1 kap. 4 §.)
I kapitel 5 a regleras ansvarsförhållandet mellan en betaltjänstleverantör och en kontohavare när en obehörig transaktion har skett från kontohavarens konto. Med obehörig transaktion avses enligt regleringen en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot (se 1 kap. 4 §).
Om en obehörig transaktion har genomförts är huvudregeln att kontohavarens betaltjänstleverantör ska återställa kontot till den ställning som det skulle ha haft om transaktionen inte hade genomförts (se 5 a kap. 1 §). Om den obehöriga transaktionen har kunnat genomföras till följd av att kontohavaren inte har skyddat sin personliga behörighetsfunktion på sätt som krävs enligt 5 kap. 6 § ansvarar kontohavaren för beloppet, dock högst 400 kr (se 5 a kap. 2 §).
När den obehöriga transaktionen har kunnat genomföras till följd av att kontohavaren genom grov vårdslöshet har åsidosatt en skyldighet enligt 5 kap. 6 § är utgångspunkten att kontohavaren ansvarar för hela beloppet. Ansvaret är emellertid begränsat till högst 12 000 kr om kontohavaren är konsument. Har konsumenten handlat särskilt klandervärt ansvarar han eller hon dock för hela beloppet. (Se 5 a kap. 3 §.)
När ett belopp har betalats ut till följd av en obehörig transaktion är alltså utgångspunkten att konsumenten inte ska svara för någon del. Beroende på hur konsumenten har agerat föreligger ett allt större ansvar för konsumenten, där ansvaret
•begränsas till högst 400 kronor om konsumenten inte har skyddat sin personliga behörighetsfunktion,
•begränsas till högst 12 000 kronor om konsumenten har agerat grovt vårdslöst och
•är obegränsat om konsumenten har agerat särskilt klandervärt.
Regleringen bygger bland annat på att det finns ett samhällsekonomiskt och brottsförebyggande intresse av att minska kontanthanteringen till förmån för kortanvändning och betalningar över internet. Det anses därför ligga ett värde i att en kontohavare kan använda betalningsinstrument utan att riskera att drabbas av alltför kännbara ekonomiska förluster. Önskemålet att uppmuntra användningen av olika typer av betalningsinstrument har föranlett ett regelverk som innebär att parterna i viss mån får dela på risken för en obehörig transaktion. Det medför bl.a. att det ekonomiska ansvaret ska vara så pass kännbart att kontohavaren i det längsta försöker att följa de villkor som gäller för användningen av betalningsinstrumentet. Detta har resulterat i avvägningen att kontohavaren ansvarar för som mest 12 000 kronor vid grovt vårdslöst agerande och har ett fullt ansvar endast vid särskilt klandervärt beteende. (Jfr prop. 2009/10:122 s. 16 ff.)
Närmare om ansvaret vid särskilt klandervärt agerande
Regleringen i 5 a kap. 2 och 3 §§ betaltjänstlagen genomför bestämmelserna i artikel 74 i andra betaltjänstdirektivet. Av direktivet följer att kontohavaren ska stå för samtliga förluster till följd av obehöriga betal-ningstransaktioner om kontohavaren ådrog sig dessa genom att handla bedrägligt eller genom att antingen avsiktligen eller med grov vårdslöshet använda betalningsinstrumentet i strid med villkoren för utgivande och användning av betalningsinstrumentet eller genom att inte vidta alla rimliga åtgärder för att skydda sina personliga behörighetsfunktioner. Medlemsstaterna får begränsa detta ansvar om kontohavaren varken har handlat bedrägligt eller avsiktligen underlåtit att uppfylla sina skyldigheter. Särskild hänsyn ska då tas till bland annat arten av den personliga behörighetsfunktionen och till de särskilda omständigheter under vilka betalningsin-strumentet förlorades, stals eller missbrukades.
Av artikel 74 framgår alltså att konsumenter alltid ska ha ett till beloppet obegränsat ansvar när förlusten har föranletts av att konsumenten har agerat bedrägligt eller när konsumenten avsiktligt åsidosatt kraven på hanteringen av behörighetsuppgifterna. Däremot kan ansvaret begränsas när förlusten har orsakats av ett agerande som bedöms som grovt vårdslöst.
Sverige har genom regleringen i 5 a kap. 2 och 3 §§ betaltjänstlagen utnyttjat möjligheten att begränsa ansvaret i fall av grov vårdslöshet när kontohavaren är konsument.
Danmark och Norge har på motsvarande sätt till beloppet begränsat konsumentens ansvar vid dennes grovt vårdslösa agerande (se § 100 i lov om betalinger, lov nr 652 af 08/06/2017, respektive § 4–30 i lov om finansavtaler, lov 2020-12-18-146). För dansk del gäller vidare ett obegränsat ansvar för förluster när kontohavaren uppsåtligen har lämnat sina personliga behörighetsuppgifter till den som företagit den obehöriga transaktionen under sådana omständigheter att kontohavaren insåg eller borde ha insett att det fanns en risk för missbruk. På ett liknande sätt följer av den norska regleringen att kontohavaren svarar för hela förlusten om denne uppsåtligen har brutit mot sina plikter på ett sådant sätt att kontohavaren måste ha förstått att överträdelsen kunde innebära en närliggande fara för att betalningsinstrumentet missbrukades.
I Sverige krävs, som nämnts, för ett till beloppet obegränsat ansvar att konsumenten har handlat särskilt klandervärt (se 5 a kap. 3 §). Uttrycket förekommer varken i det första eller det andra betaltjänstdirektivet. Något motsvarande rekvisit finns inte heller i dansk eller norsk rätt.
Frågan är därför vilka ageranden som ska anses särskilt klandervärda. För att kunna bestämma hur allvarligt konsumentens agerande måste vara för att nå upp till det kravet finns det skäl att först utröna vad som enligt regleringen avses med ett grovt vårdslöst agerande. Det kan här vara naturligt att söka ledning i de bestämmelser i civilrättslig lagstiftning där samma begrepp används. Begreppet grov vårdslöshet kan emellertid inte ges en enhetlig innebörd på alla områden där det används (jfr ”Mariefreds skola” NJA 1992 s. 130).
Viss ledning för tolkningen erhålls däremot av såväl direktivregleringen som förarbetena till betaltjänstlagen. Enligt skälen till det andra betaltjänstdirektivet får vad som är vårdslöst prövas enligt nationell rätt. Grov vårdslöshet bör dock enligt direktivet vara mer än ren vårdslöshet och omfatta ett uppträdande som uppvisar en betydande grad av oaktsamhet. Som exempel anges att förvara de behörighetsuppgifter som används för auktorisering av en betalningstransaktion intill betalningsinstrumentet, i ett format som är öppet och lätt att upptäcka för tredje man. (Se skäl 72 till det andra betaltjänstdirektivet.)
I lagförarbetena anges att det för grov oaktsamhet i den mening som avses i 5 a kap. 3 § måste vara fråga om ett markant avsteg från aktsamhetsnormen där kontohavaren har varit obetänksam i en sådan grad att han eller hon inte är ursäktad; lindriga fall av slarv eller tillfällig glömska utgör därför inte ett grovt oaktsamt agerande (se prop. 2009/10:122 s. 27 ff.). Det ges i förarbetena ett antal exempel på fall av grov vårdslöshet. Dessa rör användning av kontokort och är därför till begränsad ledning när det är fråga om andra betalningsinstrument.
Redan av regleringens ordalydelse framgår att det för att konsumentens agerande ska anses särskilt klandervärt krävs något mer än ett agerande som är grovt vårdslöst. Agerandet ska alltså vara allvarligare än ett markant avsteg från normal aktsamhet. Detta stämmer väl överens med att det enligt förarbetena särskilt är fall där handlandet utgör en kvalificerad form av grov oaktsamhet som avses. I förarbetena anges att regleringen ska träffa fall där konsumenten har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att leverantören behövde stå för någon del av beloppet. Det rör sig därför enligt förarbetena om fall där konsumenten genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. (Jfr prop. 2009/10:122 s. 17 f. och 27 ff.)
Det följer av det anförda att konsumenten ska ansvara för hela beloppet när konsumenten har agerat bedrägligt (se artikel 74 i direktivet). Detsamma bör gälla när konsumenten med avsikt har överlämnat personliga behörighetsfunktioner, t.ex. inloggningsuppgifter till BankID eller koder till en bankdosa, till en obehörig person och då insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlande kunde medföra en förlust (jfr artikel 74 och regleringen i dansk och norsk rätt ).
Utöver dessa fall får det anses vara särskilt klandervärt när konsumenten – även om han eller hon inte avsiktligen överlämnade en personlig behörighetsfunktion till någon obehörig – var likgiltig till risken för obehöriga transaktioner. Ett särskilt klandervärt agerande föreligger alltså om konsumenten var medveten om, dvs. faktiskt insåg, att det fanns en risk för en obehörig transaktion men ändå agerade på ett sätt som innebar ett brott mot 5 kap. 6 § (se p. 10). Vid denna bedömning får det särskild betydelse till vem han eller hon uppfattade att den personliga behörighetsfunktionen lämnades ut.
Bedömningen av om en konsument har agerat särskilt klandervärt ska i princip göras objektiverat, dvs. utifrån hur en konsument av motsvarande slag i samma situation typiskt sett skulle ha agerat. Vid bedömningen av ett eventuellt ansvar när konsumenten i samband med ett bedrägeri inte har skyddat sina personliga behörighetsfunktioner knutna till betalningsinstrumentet finns det anledning att fästa särskilt avseende vid vissa faktorer. Bland dessa ingår den miljö och situation som konsumenten befann sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Konsumentens ålder och erfarenhet kan här vara av betydelse. Hänsyn bör också tas till hur förslaget bedrägeriet har varit och till vad konsumenten förstått eller borde ha förstått beträffande de uppgifter som lämnades till bedragaren och de möjliga konsekvenserna av att de lämnades ut. (Jfr prop. 2009/10:122 s. 27 ff.)
Det är betaltjänstleverantören som har bevisbördan för att konsumenten har handlat särskilt klandervärt (jfr prop. 2009/10:122 s. 28).
Bedömningen i detta fall
Det är ostridigt att M.T. genom grov oaktsamhet åsidosatte skyldigheten att skydda koderna till sitt mobila BankID och svarskoderna från sin bankdosa samt att detta ledde till att de obehöriga transaktionerna genom-fördes.
Dataskyddsförordningen, GDPR, trädde i kraft i slutet av maj 2018 och var under det året något som i betydande omfattning aktualiserade kontakter mellan företag och konsumenter. Den fråga M.T. i augusti 2018 kontaktades om avsåg ett påstått krav på skriftligt samtycke till bankens GDPR-hantering som inte kunde lämnas via e-post. Det framgår att M.T. vid det första samtalet fick uppfattningen att det krävdes brådskande åtgärder från hans sida för att han inte skulle förlora möjligheterna att använda sitt konto och att han blev stressad av detta.
Av utredningen framgår vidare att M.T. uppfattade bedragaren som en lugn och seriös banktjänsteman som gav förklaringar som M.T. uppfattade som rimliga till de frågor han ställde. Det gällde exempelvis frågan om varför personuppgiftsbehandlingen skulle godkännas på ett visst sätt och varför det under den första inloggningen med hjälp av BankID angavs att M.T. legitimerade sig hos Länsförsäkringar trots att bedragaren sa sig ringa från SEB.
Bedragaren lyckades vidare under det första telefonsamtalet bygga upp ett förtroende hos M.T. Han förmådde även M.T., efter att först ha uppmanat honom att besöka ett bankkontor, att själv föreslå de lösningar som gav bedragaren möjlighet att vid det andra samtalet och då med hjälp av koder från bankdosan skapa ett nytt BankID och genomföra de obehöriga transaktionerna.
Det framgår således av utredningen att M.T. blev utsatt för ett förslaget bedrägeri. Han uppvisade dock en betydande vårdslöshet genom att vid det andra samtalet lämna ut koderna från bankdosan. Det är emellertid inte bevisat att han i samband med de båda samtalen avsiktligen lämnade ut koderna till en obehörig person. Det kan inte heller anses bevisat att M.T. agerade som han gjorde med insikt om att det fanns en risk för de obehöriga transaktioner som kom att utföras. Det har alltså inte varit fråga om ett sådant agerande som krävs för att en konsument ska anses ha handlat särskilt klandervärt.
M.T:s talan ska därför bifallas. Det yrkade beloppet och sättet att beräkna ränta är vitsordat.
DOMSLUT
HD ändrar hovrättens dom i huvudsaken och förpliktar Länsförsäkringar Bank Aktiebolag att till M.T. betala 385 000 kr och ränta enligt 6 § räntelagen – – –.