NJA 2022 s. 522

Domskäl

Tingsrätten (tingsfiskalen Dante Olason Hallberg) anförde följande i dom den 3 juli 2020.

BAKGRUND

M.T. hade sina besparingar på ett konto hos Länsförsäkringar Bank Aktiebolag (Länsförsäkringar). Torsdagen den 2 augusti 2018 blev M.T. uppringd av en person som uppgav sig vara en banktjänsteman från Skandinaviska Enskilda Bankens (SEB:s) säkerhetsavdelning (bedragaren). Under dagen var M.T. i kontakt med bedragaren per telefon vid två tillfällen. Vid ett av telefonsamtalen fick M.T., vid inloggning med sitt BankID, upp signerings-texten ”Jag legitimerar mig hos: Länsförsäkringar”. Bedragaren förmådde M.T. att skapa ett nytt BankID med vilket bedragaren samma dag lyckades överföra ett sammanlagt belopp om 150 000 kr från M.T:s konto hos Länsförsäkringar. Dagen efter, den 3 augusti 2018, lyckades bedragaren överföra ytterligare 247 000 kr. Det sammanlagda beloppet för de obehöriga transaktionerna från konton i Länsförsäkringar uppgår till 397 000 kr.

Den 6 augusti 2018 spärrade M.T. banktjänsterna och polisanmälde bedrägerierna.

M.T. har tidigare framställt samma krav på ersättning mot Länsförsäkringar i en anmälan till Allmänna reklamationsnämnden (ARN), Änr 2018-10987. ARN meddelade i sitt beslut den 12 juni 2019 att nämnden avslog M.T:s krav. ARN menade bl.a. att det inte förelåg en pressad situation som skulle kunna ursäkta M.T:s agerande. Enligt ARN var M.T:s agerande särskilt klandervärt.

YRKANDEN OCH INSTÄLLNING

M.T. har yrkat att tingsrätten ska förplikta Länsförsäkringar att till honom betala 385 000 kr, jämte ränta enligt 6 § räntelagen från dagen för delgivning av stämning, dvs. den 5 november 2019, till dess betalning sker.

Länsförsäkringar har bestridit M.T:s yrkanden i sin helhet. Det yrkade beloppet samt sättet att beräkna ränta vitsordas.

GRUNDER

M.T. har som grund för sin talan anfört följande. Obehöriga transaktioner om sammanlagt 397 000 kr har gjorts från M.T:s konto hos Länsförsäkringar. M.T. är konsument och har genom grov oaktsamhet åsidosatt sin skyldighet att skydda sina personliga behörighetsfunktioner men han har inte handlat särskilt klandervärt. M.T. har bl.a. legitimerat sig med sitt BankID och följt instruktioner från bedragaren men har inte lämnat ut några koder till bedragaren den 2 augusti 2018.

Eftersom M.T. inte har handlat särskilt klandervärt ansvarar han inte för hela beloppet utan endast för ett belopp upp till 12 000 kr.

Länsförsäkringar har som grund för sin talan anfört följande. Det är riktigt att pengarna obehörigen har tagits ut från M.T:s konto hos Länsförsäkringar. M.T. har dock inte bara handlat grovt oaktsamt utan också särskilt klandervärt.

Det särskilt klandervärda agerandet utgörs av vad som förekommit under två telefonsamtal mellan M.T. och bedragaren den 2 augusti 2018. M.T. har då legitimerat sig med BankID och därefter följt bedragarens instruktioner genom att bl.a. lämna ut koder som han fått från sin säkerhetsdosa. Vid det första samtalet har M.T. legitimerat sig med sitt BankID. Vid det andra samtalet har M.T. följt ett flertal instruktioner från bedragaren. M.T. har angett sin fyrsiffriga kod i sin personliga säkerhetsdosa och tryckt siffran 2 på uppdrag av bedragaren. Därefter har M.T. i sin dosa angett två fyrsiffriga koder som bedragaren har kunnat utläsa från inloggningssidan. M.T. har sedan muntligen lämnat ut en sexsiffrig kod som synts i säkerhetsdosan. På uppdrag av bedragaren har M.T. därefter angett siffran 3, sitt personnummer och en sexsiffrig kod som bedragaren uppgett. Slutligen har han muntligen lämnat över den svarskod som han har fått från säkerhetsdosan så att bedragaren har kunnat ange den i dialogrutan på internetbanksidan.

Eftersom M.T. har handlat särskilt klandervärt ska han ansvara för hela beloppet. Om M.T. inte anses ha handlat särskilt klandervärt vitsordas i och för sig att han har rätt till det yrkade beloppet.

UTVECKLING AV TALAN

M.T.

M.T. hade bankkonton hos Länsförsäkringar och andra banker, bland andra SEB. På kontot hos Länsförsäk-ringar hade han sina livsbesparingar.

Närmare om det första telefonsamtalet

Torsdagen den 2 augusti 2018 befann sig M.T. på sitt arbete då han blev uppringd av en person som sa sig heta Andreas Wennergrund Elchian (bedragaren). Bedragaren uppgav att han ringde från SEB:s säkerhetsavdelning och att anledningen till samtalet var att M.T. inte hade besvarat ett brev avseende GDPR som SEB för en tid sedan hade skickat ut. Bedragaren uppgav att M.T. var tvungen att gå till ett bankkontor för att godkänna SEB:s hantering av M.T:s personuppgifter. Enligt bedragaren riskerade M.T. annars att strykas som kund i banken. Samtalet kom en torsdag och bedragaren uppgav att M.T. hade veckan ut på sig att ordna godkännandet. M.T. hade mycket på arbetet och upplevde att han inte hade möjlighet att med så kort varsel bege sig till ett bankkontor och lösa situationen. M.T. befann sig därför i en pressad situation. M.T. blev stressad och frågade om det fanns någon annan möjlighet att ordna situationen. Bedragaren erbjöd M.T. att försöka lösa situationen över telefon under förutsättning att M.T. kunde legitimera sig. M.T. legitimerade sig via BankID. När M.T. såg att det stod ”Länsförsäkringar” vid legitimering förklarade bedragaren att det stod så för att M.T:s BankID hade utfärdats och hanterades av Länsförsäkringar. M.T. var kund både hos Länsförsäkringar och SEB och reagerade därför inte på uppgiften. Det visade sig dock att han behövde sitt digipass, dvs. sin säkerhetsdosa, för att legitimera sig. Eftersom M.T. inte hade med sig säkerhetsdosan till arbetet kom bedragaren och M.T. överens om att bedragaren skulle ringa tillbaka senare på kvällen för att hjälpa M.T. M.T. lämnade vid det första telefonsamtalet inte ut några som helst uppgifter.

Närmare om det andra telefonsamtalet

På kvällen den 2 augusti 2018 befann sig M.T. hemma, med tillgång till sin säkerhetsdosa. Bedragaren ringde upp från samma nummer och lämnade trovärdiga uppgifter om M.T:s förhållanden. Bedragaren uppgav att M.T:s nuvarande BankID var osäkert och behövde förnyas samt instruerade M.T. i hur han skulle hantera sin säkerhetsdosa för att skapa ett nytt BankID. M.T. tryckte in siffror på sin säkerhetsdosa men lämnade inte ut några koder till bedragaren. M.T. förleddes att skapa ett BankID på en enhet som fanns hos bedragaren, utanför M.T:s kontroll. M.T. var inte medveten om vad som skedde och hade inte godkänt det. Han fick en SMS-bekräftelse avseende att ett nytt BankID hade skapats men reagerade inte på detta eftersom han trodde att han hade förnyat sitt eget BankID.

Närmare om de obehöriga transaktionerna och upptäckten

Med hjälp av det BankID som bedragaren lyckades skapa på en egen enhet utanför M.T:s kontroll, vetskap eller godkännande genomförde bedragaren två Swish-överföringar om totalt 150 000 kr. Den 3 augusti 2020 över-fördes också ytterligare 247 000 kr från M.T:s konto hos Länsförsäkringar. Samtliga betalningar gjordes utan M.T:s vetskap eller godkännande.

Måndagen den 6 augusti 2020 upptäckte M.T. de obehöriga uttagen genom att han fick en upplysning om att en kreditupplysning hade tagits på honom. M.T. reagerade omedelbart genom att spärra sina konton och polisanmäla bedrägeriet. Det visade sig att bedragaren, utöver överföringarna från Länsförsäkringar, hade lyckats ta ut 35 000 kr från M.T:s konto hos SEB och ansökt om en kredit på 250 000 kr hos Santander Bank. Krediten lyckades emellertid M.T. stoppa. SEB har återbetalat uttaget till M.T., med ett avdrag om 12 000 kr. Länsförsäkringar har inte återbetalat något belopp.

Bedragaren var skicklig och det rörde sig om ett välplanerat upplägg och en skicklig manipulation. Den enda uppgiften som M.T. lämnade ut till bedragaren var en kod som M.T. fick via SMS under söndagen den 5 augusti 2018. Då hade de i målet aktuella överföringarna redan genomförts. M.T. misstänkte inte någon gång under samtalen att det kunde vara fråga om ett bedrägeri. Bedragaren hade uppgifter om M.T:s personliga förhållanden samt om hur banker och transaktioner fungerar. Bedragaren agerade lugnt, sansat och inte stressat under samtalen och det var inget som framstod som märkligt. Bedragaren talade god svenska men övergick vid det andra samtalet till att tala persiska, M.T:s modersmål.

M.T. har inte någon närmare kännedom kring hur BankID fungerar utan förlitade sig på de, som han upplevde det, professionella instruktioner som bedragaren gav honom. M.T. använder BankID till vardagligt bruk, exempelvis för att betala räkningar.

M.T. accepterar att han agerade grovt oaktsamt och att han åsidosatt sina skyldigheter men inte att han agerade särskilt klandervärt. M.T. är konsument och har ingen insikt i och kan inte styra över säkerhetssystemet. Han hade inte insyn i vilka konsekvenser det kunde få att vara tillmötesgående på det sätt som han var. Hans agerade var därför inte särskilt klandervärt.

Länsförsäkringar

Allmänt om BankID

Pengar som finns innestående på en användares internetbank kan disponeras genom exempelvis internetöver-föringar och Swish-betalningar. Dessa signeras med hjälp av mobilt BankID. BankID är en e-legitimation som kan användas för att styrka en persons identitet på internet. BankID är den i särklass största e-legitimationen som utfärdas av tolv banker i samarbete. Användaren måste själv ladda ner applikationen till sin telefon, surfplatta eller dator och hämta e-legitimationen från sin internetbank. En mobiltelefon med mobilt BankID fungerar som en fristående säkerhetsdosa då någon behöver legitimera sig på internet. Legitimeringen med mobilen kan således ske även då någon surfar på en dator.

Ett nytt mobilt BankID kan skapas via användarens internetbank. Eftersom BankID är en personlig e-legitimation, jämförbar med pass och körkort, måste det hanteras på ett säkert sätt. För att skydda kunder från bedrägerier där BankID skapas i användarens namn, finns bestämmelser i betaltjänstlagen och bankernas allmänna villkor om att exempelvis koder till den personliga säkerhetsdosan inte får lämnas ut. Det är alltså viktigt att användaren aldrig lämnar ut koder från sin säkerhetsdosa.

M.T. innehade ett mobilt BankID som var utfärdat av SEB. Även den säkerhetsdosa som användes och det nya BankID som skapades av bedragaren hade utfärdats av SEB. Inloggningen på kontot hos Länsförsäkringar, skapandet av en ny Swish-anslutning, höjningen av beloppsgränsen för Swish samt signering av de reklamerade transaktionerna utfördes med M.T:s nya BankID. Vid varje tillfälle verifierade Länsförsäkringar giltigheten av BankID:t med godkänt resultat.

Närmare om telefonsamtalen och M.T:s agerande

Den 2 augusti 2020 hade M.T. kontakt med bedragaren per telefon vid två tillfällen. Det första samtalet skedde omkring kl. 15, då M.T. enligt egna uppgifter befann sig på sitt arbete. Bedragaren uppgav att han jobbade på SEB:s säkerhetsavdelning och att han hörde av sig eftersom M.T. inte hade besvarat ett brev om GDPR. Vid det första samtalet var M.T. villig att gå bedragaren till mötes men hade inte sin säkerhetsdosa med sig vilket han förklarade för bedragaren. Bedragaren föreslog att M.T. skulle använda sitt BankID i stället varefter M.T. legi-timerade sig med BankID mot Länsförsäkringar.

Legitimeringen innebar alltså att M.T. legitimerade sig mot Länsförsäkringar och inte att BankID:t var utfärdat av Länsförsäkringar vilket bedragaren uppgav. Trots att M.T. inte hade något BankID som utfärdats av Länsförsäkringar bedömde han vid tillfället att bedragarens förklaring var rimlig.

När bedragaren hade loggat in på M.T:s internetbank hos Länsförsäkringar försökte denne beställa ett nytt BankID hos Länsförsäkringar. Signering med M.T:s personliga säkerhetsdosa för utfärdande av nytt BankID begärdes fyra gånger mellan kl. 15.07 och 15.09 den 2 augusti 2018. Utan information från säkerhetsdosan kunde beställningen dock inte slutföras. M.T. har tidigare uppgett att han fattade vissa misstankar, varför han loggade in på internetbanken efter samtalet. Några obehöriga transaktioner hade då inte utförts.

Trots de tidigare misstankarna genomförde M.T. ett andra telefonsamtal med bedragaren strax efter kl. 19 den 2 augusti 2018. Bedragaren loggade då in på M.T:s internetbank hos SEB och skapade ett nytt BankID. De åtgärder som under det andra telefonsamtalet genomfördes för skapandet av ett nytt BankID kan sammanfattas i följande tre steg.

M.T. har i polisförhör uppgett att han lämnade en svarskod till bedragaren. Genom förfarandet under tele-fonsamtalen handlade M.T. särskilt klandervärt och han ska därför svara för hela beloppet.

Närmare om de obehöriga transaktionerna

Efter det andra telefonsamtalet kunde bedragaren genomföra de aktuella betalningarna. Omkring 30 minuter efter samtalet genomfördes två Swish-betalningar; en betalning om cirka 20 000 kr gjordes kl. 19.52 och en betalning om cirka 130 000 gjordes kl. 19.57. Några timmar senare, kl. 00.38, 01.21 och 02.07 den 3 augusti 2018 genomfördes ytterligare tre betalningar, varav två om 100 000 kr och en om 47 000 kr.

UTREDNINGEN

M.T. har åberopat förhör under sanningsförsäkran med honom själv. Länsförsäkringar har åberopat vittnes-förhör med G.J. Båda parter har åberopat skriftlig bevisning.

DOMSKÄL

Utgångspunkter för bedömningen

Det är ostridigt i målet att en bedragare ringt upp M.T. och förmått honom att skapa ett nytt BankID samt att det därefter mellan den 2 och 3 augusti 2018 har genomförts obehöriga transaktioner från M.T:s konto hos Länsförsäkringar till ett totalbelopp om 397 000 kr. Det är vidare ostridigt att M.T. vid telefonsamtalen genom grov oaktsamhet har åsidosatt sin skyldighet att skydda sina personliga behörighetsfunktioner. Tingsrätten har att ta ställning till om M.T:s handlande vid telefonsamtalen även har varit särskilt klandervärt.

Det får anses ostridigt att reglerna om obehöriga transaktioner i lagen (2010:751) om betaltjänster (betaltjänstlagen) är tillämpliga mellan parterna. Av betaltjänstlagen följer bl.a. att användaren av betaltjänsten är skyldig att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet (se 5 kap. 6 § betaltjänstlagen). Om obehöriga transaktioner från en kontohavares konto har kunnat genomföras till följd av att en sådan skyldighet har åsidosatts genom grov oaktsamhet, ansvarar kontohavaren, såsom konsument, för högst 12 000 kr. Har kontohavaren handlat särskilt klandervärt, ansvarar han eller hon dock för hela beloppet. (Se 5 a kap. 3 § betaltjänstlagen.)

Enligt lagmotiven krävs ett markant avsteg från aktsamhetsnormen för att en kontohavare ska anses ha brutit mot en förpliktelse genom grov oaktsamhet. Bestämmelsen tar sikte på fall då kontohavaren kan anses ha varit obetänksam i en sådan grad att han eller hon inte är ursäktad. För att avgöra om kontohavaren har orsakat transaktionen genom grov oaktsamhet får en samlad bedömning göras utifrån den miljö och situation som kontohavaren befunnit sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Det måste givetvis beaktas om kontohavaren är konsument men även personliga omständigheter kan ha betydelse för bedömningen, t.ex. kontohavarens ålder. Det är i princip betaltjänstleverantören som ska visa att kontoha-varen av grov oaktsamhet har brutit mot en förpliktelse som följer av lagen och att detta lett till den obehöriga transaktionen. (Se prop. 2009/10:122 s. 27 f., jfr prop. 2017/18:77 s. 207.)

Vid bedömningen av om en konsuments handlande har varit särskilt klandervärt måste det beaktas att ansvaret för en obehörig transaktion i dessa fall inträder först vid grov oaktsamhet. Vad som avses är alltså kvalificerade former av grov oaktsamhet. Bestämmelsen om att en konsument ska ansvara för hela beloppet riktar in sig på situationer då kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behövde stå för någon del av beloppet. Det ska enligt lagstiftaren närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. I förarbetena anges som exempel att kontohavaren lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang. Ett annat exempel som anges är att kontohavaren lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid. (Se prop. 2009/10:122 s. 29.)

Allmänna reklamationsnämnden (ARN) har vid ett flertal tillfällen tagit ställning till om kontohavares handlande har varit särskilt klandervärt då koder har lämnats ut till obehöriga. I utökad sammansättning har ARN konstaterat att det inte finns någon möjlighet för konsumenterna att styra över bankernas säkerhetslösningar. Nämnden har därutöver bl.a. beaktat bedrägeriets förslagenhet, om bedragaren haft mycket specifik kunskap om kontohavarens situation, om svarskoder lämnats ut vid upprepade tillfällen samt kontohavarens ålder och förutsättningar att förstå konsekvenserna av handlandet. (Se ARN 2017-07814, 2017-13660, 2018-10285 och 2018-12130. Jfr även bl.a. ARN 2018-07633, 2018-07811, 2018-12006, 2018-13498 och 2018-14848.)

Tingsrättens bedömning

Enligt tingsrätten har M.T. i huvudsak lämnat en trovärdig berättelse om vad som skedde under telefonsamtalen med bedragaren. I stora delar finns det därför skäl att utgå från hans uppgifter om händelseförloppet (jfr prop. 2009/10:122 s. 28). Genom huvudsakligen hans berättelse har inledningsvis följande framkommit. Bedragaren kontaktade M.T. per telefon den 2 augusti 2018 och uppgav att han ringde från SEB:s säkerhetsavdelning. Enligt uppringaren var skälet till kontakten att M.T. inte hade lämnat sitt skriftliga samtycke till bankens GDPR-hantering vilket banken hade skickat brev om. På fråga från M.T. om varför inte en e-postbekräftelse var tillräcklig, svarade bedragaren att banken hade gjort bedömningen att det av säkerhetsskäl krävdes skriftligt godkännande. Bedragaren uppgav att godkännandet kunde lämnas på ett bankkontor senast efterföljande dag samt att han i annat fall riskerade att bli struken som kund. M.T., som hade sina bolån i SEB, ansåg sig inte ha råd att bli struken som kund i banken och blev stressad. Han frågade därför om det var möjligt att lösa situationen på något annat sätt och fick till svar att bekräftelsen kunde lämnas genom mobilt BankID. M.T. öppnade sitt BankID på mobilen och noterade att det stod ”Länsförsäkringar” längst upp, varpå han frågade hur detta kom sig. Bedragaren svarade att BankID:t hade utfärdats av Länsförsäkringar. Eftersom M.T. hade skaffat BankID:t för länge sedan och glömt vilken bank som utfärdat det accepterade han förklaringen. M.T. fick därefter be-kräftat från bedragaren att villkoren i GDPR hade accepterats men att M.T:s BankID var gammalt och behövde förnyas. Bedragaren hänvisade honom återigen till ett bankkontor. På fråga från M.T. uppgav bedragaren, efter att ha samtalat med någon som han påstod var hans chef, att det var möjligt att beställa ett nytt BankID per telefon men att det krävde bankdosa. Bedragaren erbjöd sig att återkomma under kvällen då M.T. hade kommit hem med tillgång till bankdosan och M.T. var mycket nöjd med den föreslagna lösningen. Vid 19-tiden på kvällen ringde bedragaren tillbaka och konstaterade inledningsvis att de båda kom från Iran och började därefter prata persiska innan han erbjöd M.T. att förnya dennes BankID med hjälp av bankdosan.

När det gäller det efterföljande skedet har M.T. bekräftat att han följde bedragarens instruktioner och tryckte in siffror i sin bankdosa men har gjort gällande att han inte lämnade ut några koder till bedragaren vid detta tillfälle. M.T:s uppgifter får i denna del anses motstridiga i förhållande till vad som antecknats i samband med hans polisförhör efter händelsen och med tanke på att närmare två år har förflutit sedan telefonsamtalet är det inte uteslutet att M.T. minns fel i detta avseende. G.J. från SEB:s säkerhetsavdelning har också på ett trovärdigt sätt förklarat att det vid denna tidpunkt inte var möjligt att skapa ett nytt BankID utan att vid upprepade tillfällen ange svarskoder från bankdosan i webbläsaren. M.T:s uppgifter är därmed i denna del motbevisade och tings-rätten utgår i stället från att M.T. vid detta tillfälle lämnade ut två koder från sin personliga säkerhetsdosa till bedragaren.

När det gäller frågan om M.T:s agerande har varit särskilt klandervärt gör tingsrätten följande överväganden. Det står inledningsvis klart att M.T. bl.a. har lämnat ut koder som han erhållit genom sin personliga säkerhetsdosa i strid med sina skyldigheter som betaltjänstanvändare (se 5 kap. 6 § första stycket 1 betaltjänstlagen). Det har visserligen inte funnits någon möjlighet för M.T. som konsument att styra över bankens säkerhetslösningar. Koderna har emellertid lämnats ut till en för M.T. okänd person. Han har därigenom varit obetänksam i sådan grad att han inte kan anses ursäktad. M.T. har alltså agerat grovt oaktsamt.

Vidare visar utredningen att M.T. har blivit utsatt för ett mycket förslaget bedrägeri. Han trodde att han pratade med bankens säkerhetsavdelning och situationen framstod inledningsvis som relativt pressad. Detta då han hade mycket på arbetet och enligt uppringaren riskerade att ”bli struken” som kund i banken. M.T. har av allt att döma ställt flera relevanta frågor och fått svar som i vart fall för honom framstått som fullt acceptabla. Genom att bl.a. tala med M.T. på hans modersmål lyckades bedragaren också skapa ett särskilt förtroende. Även om M.T. inte själv tog initiativ till telefonsamtalen förleddes han till att själv föreslå flera lösningar som gav bedragaren möjlighet att skapa ett nytt BankID och i förlängningen genomföra de obehöriga transaktionerna. M.T. förefaller visserligen ha viss erfarenhet av datasäkerhet genom sitt arbete. Det finns emellertid ingenting som tyder på att han förstod att hans användning av bankdosan och utlämnandet av koderna riskerade att få negativa konse-kvenser i den aktuella situationen. Tvärtom var han tacksam över den goda kontakten och servicen och bokade in ytterligare ett telefonmöte med bedragaren några dagar senare. M.T. kan inte genom sitt handlande anses ha varit likgiltig till risken att obehöriga transaktioner skulle genomföras. Utifrån de krav på särskilt klandervärt handlande som uppställs genom lagen, kan det inte heller anses stötande att Länsförsäkringar får stå för en del av det belopp som överförts från M.T:s konto.

Sammanfattningsvis är det inte visat att M.T. har handlat särskilt klandervärt. Länsförsäkringar är därför skyldigt att återställa M.T:s konto till den ställning som det skulle ha haft om transaktionerna inte hade ge-nomförts med avdrag för 12 000 kr på grund av att M.T. har åsidosatt sina skyldigheter genom grov oaktsamhet (jfr 5 a kap. 1 och 3 §§ betaltjänstlagen).

DOMSLUT

Tingsrätten förpliktade Länsförsäkringar Bank Aktiebolag att till M.T. betala 385 000 kr, jämte ränta enligt 6 § räntelagen på beloppet – – –.

Domskäl

Hovrätten (hovrättslagmannen Per Carlson och hovrättsrådet Kerstin Norman samt tf. hovrättsassessorn Mirjam Gordan, referent) anförde följande i dom den 23 juni 2021.

PARTERNAS TALAN OCH UTREDNINGEN I HOVRÄTTEN

Parterna har åberopat samma grunder och utvecklat sin talan på i huvudsak samma sätt som vid tingsrätten, dock med följande förtydliganden.

Länsförsäkringar har förtydligat att M.T:s underlåtenhet att skydda sina personliga behörighetsfunktioner skett i strid med såväl betaltjänstlagen som bankens allmänna villkor för Mobilt BankID, särskilt punkterna 7.3–7.4, som är ostridiga. Vidare har bolaget förtydligat att de faktiska omständigheterna i händelseförloppet som redo-visats under rubriken ”Närmare om telefonsamtalen och M.T:s agerande” i tingsrättens dom (se s. 8 och 9) åberopas till stöd för påståendet att M.T. har agerat särskilt klandervärt i lagens mening. Vad gäller tiden mellan samtalen påstås dock inte att det inträffade något av betydelse under den tiden.

M.T. har bekräftat att bankens allmänna villkor ostridigt gäller mellan parterna och följer vad som redan framgår av lagen. Han ifrågasätter därför inte heller att han, utöver det som följer av betaltjänstlagen, även enligt villkoren haft en skyldighet att skydda sina personliga behörighetsfunktioner och att han agerat grovt oaktsamt även i förhållande till villkoren i detta avseende.

Hovrätten har avgjort målet utan huvudförhandling. Hovrätten har tagit del av samma bevisning som tings-rätten.

HOVRÄTTENS DOMSKÄL

Målet rör en prövning av en konsuments ansvar för obehöriga transaktioner som utförts av en bedragare. Frågan i målet är om M.T. ska anses ha agerat så klandervärt i förhållande till Länsförsäkringar att han fullt ut ska ansvara för de obehöriga transaktionerna.

Rättsliga utgångspunkter

Ansvaret för obehöriga transaktioner av det slag som är aktuella i målet regleras i lagen (2010:751) om betal-tjänster (betaltjänstlagen). I fråga om innehållet i de tillämpliga bestämmelserna och tillhörande förarbetsutta-landen hänvisas till tingsrättens redogörelse – – –. Hovrätten gör därefter följande tillägg.

Genomförandet av första och andra betaltjänstdirektivet

Till grund för det nuvarande svenska regelverket om betaltjänster ligger första och andra betaltjänstdirektivet. EU-direktiven har genomförts i svensk rätt genom lagen om obehöriga transaktioner med betalningsinstrument (2010:738) och betaltjänstlagen. Vid genomförandet av det andra betaltjänstdirektivet upphävdes lagen om obehöriga transaktioner med betalningsinstrument och reglerna om obehöriga transaktioner överfördes till bet-altjänstlagen (se prop. 2017/18:77 s. 194). EU-direktiven syftar bl.a. till att göra betalningar enklare och säkrare samt säkerställa ett starkt konsumentskydd vid användning av betaltjänster inom EU. Direktiven reglerar bl.a. kontohavares rättigheter och skyldigheter vid användning av betalningsinstrument samt dennes betalningsansvar vid obehöriga transaktioner. Som utgångspunkt är banken skyldig att återställa saldot på kontot efter en obehörig transaktion och kontohavaren är bara ansvarig för ett mycket begränsat belopp – även om denne åsidosatt de villkor som gällt för tjänsten – såvida inte denne har handlat bedrägligt eller visat grov vårdslöshet (se artikel 61 i första och artikel 74 i andra betaltjänstdirektivet). Vidare medger direktiven att medlemsstaterna inför mer långtgående skydd för kontohavare som varken handlat bedrägligt eller avsiktligen, varvid särskild hänsyn ska tas till arten av de personliga säkerhetsbehörighetsuppgifterna och till de särskilda omständigheter under vilka betalningsinstrumentet förlorats, stulits eller missbrukats (se artikel 61 i första och artikel 74 i andra betaltjänst-direktivet).

Vid genomförandet av första betaltjänstdirektivet valde Sverige också att låta ansvaret i konsumentförhållanden vara mer begränsat än vad som krävs i direktivet. Även om kontohavaren genom grov oaktsamhet underlåtit att uppfylla sina skyldigheter ska alltså dennes ansvar begränsas till en självrisk om 12 000 kr (se prop. 2009/10:122 s. 15–18). Regeringen anförde då att det fanns ett stort samhällsekonomiskt och brottsförebyg-gande intresse av att minska kontanthanteringen till förmån för ökad kortanvändning i samhället. Vidare ansågs den ökade användningen av internetbank och andra självbetjäningstjänster över internet vara kostnadsbesparande för bankerna.

Önskemålet att uppmuntra användningen av kontokort och andra betalningsinstrument gjorde därför att re-geringen ansåg att parterna i viss mån skulle dela på risken för en obehörig transaktion – till och med i de fall då kontohavaren varit grovt oaktsam. Regeringen ansåg dock inte att det var rimligt att ansvarsbegränsningen skulle gälla om kontohavaren handlat bedrägligt eller särskilt klandervärt (jfr EU-direktivens ovan nämnda krav att kontohavare ska vara fullt ansvariga vid bedrägligt eller avsiktligt handlande). Vid genomförandet av andra betaltjänstdirektivet överfördes reglerna om ansvarsfördelning i princip oförändrade till den nu gällande betal-tjänstlagen (se prop. 2017/18:77 s. 204–207).

Begreppen grovt oaktsamt och särskilt klandervärt i betaltjänstlagen

En bestämmelse om ansvarsfördelning vid obehöriga korttransaktioner i konsumentförhållanden fanns tidigare i 34 § i 1992 års konsumentkreditlag (1992:830). En kontohavare kunde då bli obegränsat betalningsansvarig för obehöriga transaktioner, om denne bl.a. förlorat kortet genom grov oaktsamhet. Begreppet grov oaktsamhet hade i 1992 års konsumentkreditlag emellertid kommit att tillämpas med ett innehåll som i andra sammanhang närmast skulle betraktas som enkel oaktsamhet (se SOU 2005:108 s. 11). När paragrafen upphävdes och ersattes av lagen om obehöriga transaktioner med betalningsinstrument synes avsikten emellertid ha varit att begreppet grov oaktsamhet i stället skulle tillämpas på samma sätt som i andra delar av den svenska civilrätten (se prop. 2009/10:122 s. 17 och SOU 2005:108 s. 12 och 248).

Tillämpningen av begreppet grov oaktsamhet i svensk civilrätt har av HD fått en utförlig belysning i NJA 1992 s. 130. HD uttalade att det enligt vedertagen uppfattning på skadestånds- och försäkringsrättens område måste vara fråga om vårdslöshet av mycket allvarligt slag för att den ska kunna betecknas som grov. Det är då fråga om ett handlande som ligger på gränsen till uppsåtligt förfarande, dvs. som vittnar om en betydande hänsynslöshet eller nonchalans och som medför en avsevärd risk för skada. Som framgår av rättsfallet kan bedömningen inom andra områden vara strängare. HD uttalade också att det ligger i sakens natur att begreppet inte kan ges en enhetlig innebörd på alla områden där det används.

När det gäller oaktsamhetsbedömningar inom skadeståndsrätten brukar hänsyn tas till risken för skada, den sannolika skadans storlek samt möjligheterna att förekomma skadan. Ytterligare en faktor som beaktas är den handlandes möjligheter att inse risken för skada. (Se NJA 1996 s. 564 och Hellner m.fl., Skadeståndsrätt, JUNO version 10, s. 130.)

En grundläggande aktsamhetsnorm i betaltjänstlagen tar sin utgångspunkt i de skyldigheter som följer av lagen (se 5 kap. 6 §) och tillämpliga avtalsvillkor. Kontohavaren är skyldig att vara aktsam med sitt betalningsin-strument så att obehöriga inte kan komma åt det. Av artikel 69 i andra betaltjänstdirektivet framgår bl.a. att kunden ska vidta alla rimliga åtgärder för att skydda sina personliga säkerhetsbehörighetsuppgifter. Enbart ett åsidosättande av kontohavarens skyldigheter är emellertid inte tillräckligt för att det ska föreligga mer än enkel oaktsamhet, utan det krävs också att åsidosättandet i det enskilda fallet varit grovt oaktsamt (se prop. 2009/10:122 s. 28).

En sådan aktsamhetsnorm ligger också i linje med bestämmelserna i EU-direktivet där det anges att ”[m]edan begreppet vårdslöshet inbegriper ett åsidosättande av en aktsamhetsplikt, bör grov vårdslöshet emellertid betyda mer än ren vårdslöshet och omfatta ett uppträdande som uppvisar en betydande grad av oaktsamhet; till exempel att förvara de behörighetsuppgifter som används för auktorisering av en betalningstransaktion intill betal-ningsinstrumentet, i ett format som är öppet och lätt att upptäcka för tredje man” (se skäl 72 i andra betal-tjänstdirektivet).

I förarbetena till den svenska lagen har det uttryckts på så sätt att det för grov oaktsamhet ska vara fråga om ett markant avsteg från aktsamhetsnormen (se prop. 2009/10:122 s. 27). Förarbetsuttalandena kan dock anses delvis motsägelsefulla då de även anger att grov oaktsamhet tar sikte på fall då kontohavaren kan anses ha varit obetänksam i en sådan grad att denne inte är ursäktad (se prop. 2009/10:122 s. 27). Det senare uttalandet är, enligt hovrättens mening, snarare ett uttryck för vad som i andra sammanhang skulle bedömas som vanlig oaktsamhet.

Ett exempel som angetts i förarbetena på vad som är grovt oaktsamt i betaltjänstlagens mening är att någon förvarar en anteckning om sin kod tillsammans med sitt kontokort och förlorar dessa i en offentlig miljö (se prop. 2009/10:122 s. 28). När det gäller kontohavares hantering av sin personliga kod i andra situationer än kontokortssituationen saknas emellertid vägledande uttalanden. Vid genomförandet av andra betaltjänstdirektivet i svensk rätt gjordes inte heller någon ansats att närmare belysa hur det digitaliserade bank- och betalväsendet förhöll sig till kontohavarens aktsamhetsplikt och det ansvar som vilar på konsumenten. Bilden får anses ha komplicerats ytterligare av att konsumenters utsatthet för bedrägerier ökat i takt med att bankernas betaltjänster digitaliserats och kontantanvändningen i samhället minskat.

Beträffande innebörden av begreppet särskilt klandervärt i betaltjänstlagen uppstår enligt hovrättens mening gränsdragningsproblem i förhållande till begreppet grovt oaktsam. Uttrycket särskilt klandervärt förekommer inte i de bakomliggande EU-direktiven och är inte heller i övrigt ett vedertaget begrepp på civilrättens område. Den allmänspråkliga tolkningen av begreppet antyder att det här är fråga om ett handlande som är så grovt att det närmar sig ett uppsåtligt agerande. Vad som ligger bakom begreppet särskilt klandervärt får emellertid även tolkas i ljuset av EU-direktivens regler om ansvars- och riskfördelning samt förarbetsuttalandena i övrigt varvid bestämmelsen rimligtvis inte kan ges ett alltför snävt tillämpningsområde. Det kan för övrigt även noteras att betaltjänstdirektivet under alla förhållanden inte medger att medlemsstaterna tillåter en annan ansvarsfördelning än att kontohavaren står för hela risken vid ageranden som kan kvalificeras som bedrägliga eller avsiktliga (se artikel 74 fjärde stycket i andra betaltjänstdirektivet).

Särskilt klandervärda beteenden i betaltjänstlagen tar sikte på kvalificerat grovt oaktsamma fall där kontohavaren agerat så klandervärt i förhållande till banken att det skulle vara stötande att banken ska behöva stå för någon del av beloppet. Det ska enligt förarbetena närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig inför risken för obehöriga transaktioner (se prop. 2009/10:122 s. 29). En avgörande utgångspunkt från lagstiftarens sida synes också ha varit att det är först i situationer där konsumenten typiskt sett tagit en risk som de mest allvarliga konsekvenserna av dennes handlande är motiverad.

Inget av de exempel som ges i förarbetena – att någon lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang, eller lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid – är inriktat på sådana fall där någon uppmanas logga in på sin bank eller att lämna ut personliga behörighetsfunktioner. De ger därför inte någon direkt vägledning för bedömningen av det slag av bedrägeri som är aktuellt i detta mål. Exemplen ger dock uttryck för att det ska röra sig om en form av medvetet risktagande från kontohavarens sida.

Även om det i förarbetena sägs att kontohavaren ska ha varit närmast likgiltig, vilket för tankarna till en subjektiv bedömning, måste lagstiftarens avsikt enligt hovrätten ha varit att bedömningen – särskilt av rättvise- och rättssäkerhetsskäl – i allt väsentligt ska göras utifrån en objektiv värdering av omständigheterna i det enskilda fallet. Att en sådan objektiv bedömning görs som utgångspunkt utesluter inte att man i vissa fall bör beakta den enskildes personliga förutsättningar att inse riskerna och förstå konsekvenserna av sitt eget handlande, så som t.ex. ålder eller sjukdom (se prop. 2009/10:122 s. 27 f.).

Bedömningen i detta fall

Av grundläggande betydelse är, som ovan anförts, att kontohavaren är skyldig att vidta alla rimliga åtgärder för att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet och i övrigt följa de villkor som enligt avtalet gäller för användning av betalningsinstrumentet. Av Länsförsäkringars allmänna villkor för Mobilt BankID framgår också bl.a. att kunden är skyldig att skydda koder/lösenord samt att BankID endast får användas av kunden och att kunden ska vidta erforderliga åtgärder för att skydda sig mot att BankID används obehörigt.

Det är ostridigt mellan parterna att M.T. vid upprepade tillfällen den 2 augusti 2018 använt sitt mobila BankID på uppmaning av en för honom okänd person. I likhet med tingsrätten finner hovrätten att M.T. vid samma tillfälle måste ha lämnat ut koder från sin säkerhetsdosa till den okände personen. Det är alltså dessa ageranden som lett till att en bedragare kunnat beställa ett nytt BankID i M.T:s namn och därefter obehörigen kunnat föra över sammanlagt 397 000 kr från dennes konto i Länsförsäkringar den 2–3 augusti 2018.

Det är härigenom klarlagt att M.T., genom sitt eget agerande i dessa avseenden, har åsidosatt sina skyldigheter som följer av betaltjänstlagen och de allmänna villkoren för tjänsten. M.T. har vitsordat att han agerat grovt oaktsamt genom att åsidosätta sin skyldighet att skydda sina personliga behörighetsfunktioner. Frågan är emellertid om M.T. i sin egenskap av konsument har åsidosatt sina skyldigheter på ett sätt som varit särskilt klandervärt.

En utgångspunkt för den fortsatta bedömningen är att bankkunder i allmänhet måste förutsättas känna till att de inte får lämna ut koder och lösenord eller i övrigt till andra personer ge tillgång till sina internetbanker. Häri ligger att bankkunder känner till risken för att de kan komma att utsättas för bedrägerier. Sådana allmänna kunskaper innebär dock inte att bankkunder i allmänhet har några närmare kunskaper om vilka tillvägagångssätt som används vid bedrägerier.

Att lämna ut personliga koder till en okänd person per telefon måste anses framkalla en avsevärt högre risk för att obehöriga transaktioner skulle kunna komma att ske jämfört med att en kontohavare lämnar sitt kontokort obevakat på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang (jfr prop. 2009/10:122 s. 29).

Det bedrägeri som M.T. utsatts för har, enligt vad utredningen visar, varit tämligen förslaget, bl.a. genom vad som framkommit om att M.T. tilltalats på sitt modersmål persiska. M.T. kan emellertid inte anses ha befunnit sig i någon särskilt pressad eller utsatt situation som gjorde att han var tvungen att agera snabbt vid det första telefonsamtalet, även om han fick uppfattningen att han riskerade att strykas som kund i banken om han inte godtog bankens hantering av hans personuppgifter. Redan genom att M.T. vid det första telefonsamtalet legi-timerat sig med sina personliga koder på uppmaning av en okänd person måste han anses ha tagit en risk som utgör en kvalificerad form av oaktsamhet.

Till detta kommer att M.T. vid det andra telefonsamtalet på kvällen samma dag inte bara har legitimerat sig med sitt mobila BankID utan också följt instruktioner om att lämna ut personliga behörighetskoder, utan att ha vidtagit några egentliga åtgärder för att förvissa sig om att personen han talade med verkligen ringde från banken eller att de uppgifter som denne lämnat var riktiga. M.T. hade sålunda kunnat förhindra transaktionerna genom att i tiden mellan telefonsamtalen vidta åtgärder såsom att t.ex. motringa banken, ställa kontrollfrågor eller på annat sätt söka reda på information. Härigenom måste M.T. anses ha varit likgiltig inför de risker som hans handlande inneburit.

På grund av det anförda måste M.T. anses ha handlat särskilt klandervärt på det sätt som avses i betaltjänstlagen. Det innebär att käromålet ska ogillas och tingsrätten dom ändras i enlighet härmed.

HOVRÄTTENS DOMSLUT

Med ändring av tingsrättens dom ogillade hovrätten käromålet.

Domskäl

HD (justitieråden Kerstin Calissendorff, Johnny Herre, referent, Stefan Johansson, Cecilia Renfors och Johan Danelius) meddelade den 21 juni 2022 följande dom.

DOMSKÄL

Vad målet gäller

Bakgrund

Målet i tingsrätten och hovrätten

Ansvaret för obehöriga transaktioner

•begränsas till högst 400 kronor om konsumenten inte har skyddat sin personliga behörighetsfunktion,

•begränsas till högst 12 000 kronor om konsumenten har agerat grovt vårdslöst och

•är obegränsat om konsumenten har agerat särskilt klandervärt.

Närmare om ansvaret vid särskilt klandervärt agerande

Bedömningen i detta fall

DOMSLUT

HD ändrar hovrättens dom i huvudsaken och förpliktar Länsförsäkringar Bank Aktiebolag att till M.T. betala 385 000 kr och ränta enligt 6 § räntelagen – – –.