Högsta domstolen
Högsta domstolens dom 21 juni 2022 i mål nr t 4623–21. Klagande i målet var MT och motpart var Länsförsäkringar Bank Aktiebolag. Saken avser en fordran.
Yrkanden i Högsta domstolen
MT har yrkat att Högsta domstolen ska förplikta Länsförsäkringar Bank Aktiebolag att till honom betala 385 000 kr och ränta. Vidare har MT yrkat att Högsta domstolen ska befria honom från skyldigheten att ersätta Länsförsäkringars rättegångskostnader i tingsrätten och hovrätten samt tillerkänna honom ersättning för rättegångskostnader där.
Länsförsäkringar har motsatt sig ändring av hovrättens dom. Parterna har yrkat ersättning för sina rättegångskostnader i Högsta domstolen.
Domskäl
Vad målet gäller
1. Huvudregeln är att en kontohavare i en bank eller hos en annan betaltjänstleverantör inte ansvarar för att det har genomförts en transaktion utan samtycke från kontohavaren eller någon som är behörig att använda kontot (obehörig transaktion). Genom att uttag, överföringar från konton och andra transaktioner numera ofta sker genom att kontohavaren använder sina egna behörighetskoder för autentiseringsändamål har huvudregeln kommit att förses med betydande undantag.
2. Frågan i målet är om en konsument som har betett sig grovt vårdslöst genom att lämna ut sina behörighetskoder även ska anses ha handlat särskilt klandervärt och därför själv ska ansvara för hela beloppet i förhållande till banken (se 5 a kap. 3 § lagen 2010:751 om betaltjänster).
Bakgrund
3. MT var bankkund hos dels Länsförsäkringar, dels Skandinaviska Enskilda Banken (SEB). I augusti 2018 blev han uppringd av en bedragare som uppgav att han ringde från SEB:s säkerhetsavdelning.
4. Bedragaren uppgav att MT inte hade besvarat ett brev från SEB där banken krävde skriftligt samtycke till bankens hantering av personuppgifter enligt dataskyddsförordningen (GDPR) och att MT därför var tvungen att gå till ett bankkontor för att godkänna bankens personuppgiftshantering. Om han inte gjorde det senast dagen därpå skulle han strykas som kund i banken. När MT undrade varför han inte kunde ge sitt godkännande via e-post svarade bedragaren att banken hade gjort bedömningen att det av säkerhetsskäl krävdes ett skriftligt godkännande. MT talade om att han inte skulle hinna gå till bankkontoret i tid och frågade om problemet kunde lösas på något annat sätt. Han uppmanades då att logga in hos SEB med sitt mobila BankID för att godkänna personuppgiftshanteringen. Vid inloggningen fick MT upp texten ”Jag legitimerar mig hos: Länsförsäkringar”. Bedragaren förklarade efter fråga från MT att texten berodde på att MTs BankID hade utfärdats av Länsförsäkringar.
5. Sedan villkoren avseende GDPR hade accepterats påstod bedragaren att MT hade ett gammalt BankID och att han behövde gå till ett bankkontor för att förnya detta. MT frågade om han kunde förnya det på något annat sätt och fick till svar att han i så fall behövde använda sin bankdosa. Eftersom MT inte kunde få tillgång till bankdosan förrän han kom hem bokade de in ett telefonsamtal samma kväll. Bedragaren frågade även om MTs härkomst och berättade att hans föräldrar också kom från Iran. De övergick då till att tala persiska.
6. Vid samtalet på kvällen följde MT bedragarens instruktioner och tryckte in siffror i bankdosan och lämnade även ut svarskoder från bankdosan. Därigenom blev det möjligt för bedragaren att beställa ett nytt BankID i MTs namn och bland annat föra över sammanlagt 397 000 kr från hans konto hos Länsförsäkringar.
Målet i tingsrätten och hovrätten
7. MT, som vitsordade att han hade agerat grovt vårdslöst, yrkade att Länsförsäkringar skulle förpliktas att till honom betala 385 000 kr jämte ränta, vilket motsvarar det överförda beloppet med avdrag för 12 000 kr. MT gjorde i huvudsak gällande att han emellertid inte hade handlat särskilt klandervärt.
8. Tingsrätten biföll MTs talan. Hovrätten har däremot ogillat käromålet.
Ansvaret för obehöriga transaktioner
9. De svenska reglerna om ansvar för obehöriga transaktioner har sin grund i första och andra betaltjänstdirektiven.[1] De bestämmelser i det första betaltjänstdirektivet som rörde ansvar för obehöriga transaktioner och därmed sammanhängande frågor genomfördes ursprungligen i lagen (2010:738) om obehöriga transaktioner med betalningsinstrument. Vid genomförandet av det andra betaltjänstdirektivet 2018 upphävdes den lagen och reglerna om obehöriga transaktioner fördes i stället in i 5 a kap. betaltjänstlagen.
10. En betaltjänstanvändare, exempelvis en kontohavare, är skyldig att skydda de personliga behörighetsfunktioner som är knutna till ett betalningsinstrument och i övrigt följa de villkor som enligt avtalet med betaltjänstleverantören gäller för användning av betalningsinstrumentet (se 5 kap. 6 § betaltjänstlagen).
11. Termen betalningsinstrument definieras som ett kontokort eller något annat personligt instrument eller en personlig rutin som enligt avtal används för att initiera en betalningsorder. Definitionen inbegriper exempelvis kreditkort, BankID och bankdosa. Med personlig behörighetsfunktion, som definieras som en personligt anpassad funktion som betaltjänstleverantören tillhandahåller betaltjänstanvändaren för autentiseringsändamål, avses exempelvis en personlig kod. (Se 1 kap. 4 §.)
12. I kapitel 5 a regleras ansvarsförhållandet mellan en betaltjänstleverantör och en kontohavare när en obehörig transaktion har skett från kontohavarens konto. Med obehörig transaktion avses enligt regleringen en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot (se 1 kap. 4 §).
13. Om en obehörig transaktion har genomförts är huvudregeln att kontohavarens betaltjänstleverantör ska återställa kontot till den ställning som det skulle ha haft om transaktionen inte hade genomförts (se 5 a kap. 1 §). Om den obehöriga transaktionen har kunnat genomföras till följd av att kontohavaren inte har skyddat sin personliga behörighetsfunktion på sätt som krävs enligt 5 kap. 6 § ansvarar kontohavaren för beloppet, dock högst 400 kr (se 5 a kap. 2 §).
14. När den obehöriga transaktionen har kunnat genomföras till följd av att kontohavaren genom grov vårdslöshet har åsidosatt en skyldighet enligt 5 kap. 6 § är utgångspunkten att kontohavaren ansvarar för hela beloppet. Ansvaret är emellertid begränsat till högst 12 000 kr om kontohavaren är konsument. Har konsumenten handlat särskilt klandervärt ansvarar han eller hon dock för hela beloppet. (Se 5 a kap. 3 §.)
15. När ett belopp har betalats ut till följd av en obehörig transaktion är alltså utgångspunkten att konsumenten inte ska svara för någon del. Beroende på hur konsumenten har agerat föreligger ett allt större ansvar för konsumenten, där ansvaret
• begränsas till högst 400 kronor om konsumenten inte har skyddat sin personliga behörighetsfunktion,
• begränsas till högst 12 000 kronor om konsumenten har agerat grovt vårdslöst och
• är obegränsat om konsumenten har agerat särskilt klandervärt.
16. Regleringen bygger bland annat på att det finns ett samhällsekonomiskt och brottsförebyggande intresse av att minska kontanthanteringen till förmån för kortanvändning och betalningar över internet. Det anses därför ligga ett värde i att en kontohavare kan använda betalningsinstrument utan att riskera att drabbas av alltför kännbara ekonomiska förluster. Önskemålet att uppmuntra användningen av olika typer av betalningsinstrument har föranlett ett regelverk som innebär att parterna i viss mån får dela på risken för en obehörig transaktion. Det medför bl.a. att det ekonomiska ansvaret ska vara så pass kännbart att kontohavaren i det längsta försöker att följa de villkor som gäller för användningen av betalningsinstrumentet. Detta har resulterat i avvägningen att kontohavaren ansvarar för som mest 12 000 kronor vid grovt vårdslöst agerande och har ett fullt ansvar endast vid särskilt klandervärt beteende. (Jfr prop. 2009/10:122 s. 16 ff.)
Närmare om ansvaret vid särskilt klandervärt agerande
17. Regleringen i 5 a kap. 2 och 3 §§ betaltjänstlagen genomför bestämmelserna i artikel 74 i andra betaltjänstdirektivet. Av direktivet följer att kontohavaren ska stå för samtliga förluster till följd av obehöriga betalningstransaktioner om kontohavaren ådrog sig dessa genom att handla bedrägligt eller genom att antingen avsiktligen eller med grov vårdslöshet använda betalningsinstrumentet i strid med villkoren för utgivande och användning av betalningsinstrumentet eller genom att inte vidta alla rimliga åtgärder för att skydda sina personliga behörighetsfunktioner. Medlemsstaterna får begränsa detta ansvar om kontohavaren varken har handlat bedrägligt eller avsiktligen underlåtit att uppfylla sina skyldigheter. Särskild hänsyn ska då tas till bland annat arten av den personliga behörighetsfunktionen och till de särskilda omständigheter under vilka betalningsinstrumentet förlorades, stals eller missbrukades.
18. Av artikel 74 framgår alltså att konsumenter alltid ska ha ett till beloppet obegränsat ansvar när förlusten har föranletts av att konsumenten har agerat bedrägligt eller när konsumenten avsiktligt åsidosatt kraven på hanteringen av behörighetsuppgifterna. Däremot kan ansvaret begränsas när förlusten har orsakats av ett agerande som bedöms som grovt vårdslöst.
19. Sverige har genom regleringen i 5 a kap. 2 och 3 §§ betaltjänstlagen utnyttjat möjligheten att begränsa ansvaret i fall av grov vårdslöshet när kontohavaren är konsument.
20. Danmark och Norge har på motsvarande sätt till beloppet begränsat konsumentens ansvar vid dennes grovt vårdslösa agerande (se § 100 i lov om betalinger, lov nr 652 af 08/06/2017, respektive § 4-30 i lov om finansavtaler, lov 2020-12-18-146). För dansk del gäller vidare ett obegränsat ansvar för förluster när kontohavaren uppsåtligen har lämnat sina personliga behörighetsuppgifter till den som företagit den obehöriga transaktionen under sådana omständigheter att kontohavaren insåg eller borde ha insett att det fanns en risk för missbruk. På ett liknande sätt följer av den norska regleringen att kontohavaren svarar för hela förlusten om denne uppsåtligen har brutit mot sina plikter på ett sådant sätt att kontohavaren måste ha förstått att överträdelsen kunde innebära en närliggande fara för att betalningsinstrumentet missbrukades.
21. I Sverige krävs, som nämnts, för ett till beloppet obegränsat ansvar att konsumenten har handlat särskilt klandervärt (se 5 a kap. 3 §). Uttrycket förekommer varken i det första eller det andra betaltjänstdirektivet. Något motsvarande rekvisit finns inte heller i dansk eller norsk rätt.
22. Frågan är därför vilka ageranden som ska anses särskilt klandervärda. För att kunna bestämma hur allvarligt konsumentens agerande måste vara för att nå upp till det kravet finns det skäl att först utröna vad som enligt regleringen avses med ett grovt vårdslöst agerande. Det kan här vara naturligt att söka ledning i de bestämmelser i civilrättslig lagstiftning där samma begrepp används. Begreppet grov vårdslöshet kan emellertid inte ges en enhetlig innebörd på alla områden där det används (jfr ”Mariefreds skola” NJA 1992 s. 130).
23. Viss ledning för tolkningen erhålls däremot av såväl direktivregleringen som förarbetena till betaltjänstlagen. Enligt skälen till det andra betaltjänstdirektivet får vad som är vårdslöst prövas enligt nationell rätt. Grov vårdslöshet bör dock enligt direktivet vara mer än ren vårdslöshet och omfatta ett uppträdande som uppvisar en betydande grad av oaktsamhet. Som exempel anges att förvara de behörighetsuppgifter som används för auktorisering av en betalningstransaktion intill betalningsinstrumentet, i ett format som är öppet och lätt att upptäcka för tredje man. (Se skäl 72 till det andra betaltjänstdirektivet.)
24. I lagförarbetena anges att det för grov oaktsamhet i den mening som avses i 5 a kap. 3 § måste vara fråga om ett markant avsteg från aktsamhetsnormen där kontohavaren har varit obetänksam i en sådan grad att han eller hon inte är ursäktad; lindriga fall av slarv eller tillfällig glömska utgör därför inte ett grovt oaktsamt agerande (se prop. 2009/10:122 s. 27 ff.). Det ges i förarbetena ett antal exempel på fall av grov vårdslöshet. Dessa rör användning av kontokort och är därför till begränsad ledning när det är fråga om andra betalningsinstrument.
25. Redan av regleringens ordalydelse framgår att det för att konsumentens agerande ska anses särskilt klandervärt krävs något mer än ett agerande som är grovt vårdslöst. Agerandet ska alltså vara allvarligare än ett markant avsteg från normal aktsamhet. Detta stämmer väl överens med att det enligt förarbetena särskilt är fall där handlandet utgör en kvalificerad form av grov oaktsamhet som avses. I förarbetena anges att regleringen ska träffa fall där konsumenten har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att leverantören behövde stå för någon del av beloppet. Det rör sig därför enligt förarbetena om fall där konsumenten genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. (Jfr prop. 2009/10:122 s. 17 f. och 27 ff.)
26. Det följer av det anförda att konsumenten ska ansvara för hela beloppet när konsumenten har agerat bedrägligt (se artikel 74 i direktivet). Detsamma bör gälla när konsumenten med avsikt har överlämnat personliga behörighetsfunktioner, t.ex. inloggningsuppgifter till BankID eller koder till en bankdosa, till en obehörig person och då insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlande kunde medföra en förlust (jfr artikel 74 och regleringen i dansk och norsk rätt).[2]
27. Utöver dessa fall får det anses vara särskilt klandervärt när konsumenten – även om han eller hon inte avsiktligen överlämnade en personlig behörighetsfunktion till någon obehörig – var likgiltig till risken för obehöriga transaktioner. Ett särskilt klandervärt agerande föreligger alltså om konsumenten var medveten om, dvs. faktiskt insåg, att det fanns en risk för en obehörig transaktion men ändå agerade på ett sätt som innebar ett brott mot 5 kap. 6 § (se p. 10). Vid denna bedömning får det särskild betydelse till vem han eller hon uppfattade att den personliga behörighetsfunktionen lämnades ut.
28. Bedömningen av om en konsument har agerat särskilt klandervärt ska i princip göras objektiverat, dvs. utifrån hur en konsument av motsvarande slag i samma situation typiskt sett skulle ha agerat. Vid bedömningen av ett eventuellt ansvar när konsumenten i samband med ett bedrägeri inte har skyddat sina personliga behörighetsfunktioner knutna till betalningsinstrumentet finns det anledning att fästa särskilt avseende vid vissa faktorer. Bland dessa ingår den miljö och situation som konsumenten befann sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Konsumentens ålder och erfarenhet kan här vara av betydelse. Hänsyn bör också tas till hur förslaget bedrägeriet har varit och till vad konsumenten förstått eller borde ha förstått beträffande de uppgifter som lämnades till bedragaren och de möjliga konsekvenserna av att de lämnades ut. (Jfr prop. 2009/10:122 s. 27 ff.)
29. Det är betaltjänstleverantören som har bevisbördan för att konsumenten har handlat särskilt klandervärt (jfr prop. 2009/10:122 s. 28).
Bedömningen i detta fall
30. Det är ostridigt att MT genom grov oaktsamhet åsidosatte skyldigheten att skydda koderna till sitt mobila BankID och svarskoderna från sin bankdosa samt att detta ledde till att de obehöriga transaktionerna genomfördes.
31. Dataskyddsförordningen, GDPR, trädde i kraft i slutet av maj 2018 och var under det året något som i betydande omfattning aktualiserade kontakter mellan företag och konsumenter. Den fråga MT i augusti 2018 kontaktades om avsåg ett påstått krav på skriftligt samtycke till bankens GDPR-hantering som inte kunde lämnas via e-post. Det framgår att MT vid det första samtalet fick uppfattningen att det krävdes brådskande åtgärder från hans sida för att han inte skulle förlora möjligheterna att använda sitt konto och att han blev stressad av detta.
32. Av utredningen framgår vidare att MT uppfattade bedragaren som en lugn och seriös banktjänsteman som gav förklaringar som MT uppfattade som rimliga till de frågor han ställde. Det gällde exempelvis frågan om varför personuppgiftsbehandlingen skulle godkännas på ett visst sätt och varför det under den första inloggningen med hjälp av BankID angavs att MT legitimerade sig hos Länsförsäkringar trots att bedragaren sa sig ringa från SEB.
33. Bedragaren lyckades vidare under det första telefonsamtalet bygga upp ett förtroende hos MT. Han förmådde även MT, efter att först ha uppmanat honom att besöka ett bankkontor, att själv föreslå de lösningar som gav bedragaren möjlighet att vid det andra samtalet och då med hjälp av koder från bankdosan skapa ett nytt BankID och genomföra de obehöriga transaktionerna.
34. Det framgår således av utredningen att MT blev utsatt för ett förslaget bedrägeri. Han uppvisade dock en betydande vårdslöshet genom att vid det andra samtalet lämna ut koderna från bankdosan. Det är emellertid inte bevisat att han i samband med de båda samtalen avsiktligen lämnade ut koderna till en obehörig person. Det kan inte heller anses bevisat att MT agerade som han gjorde med insikt om att det fanns en risk för de obehöriga transaktioner som kom att utföras. Det har alltså inte varit fråga om ett sådant agerande som krävs för att en konsument ska anses ha handlat särskilt klandervärt.
35. MTs talan ska därför bifallas. Det yrkade beloppet och sättet att beräkna ränta är vitsordat.
Rättegångskostnader
36. Vid denna utgång ska MT befrias från skyldigheten att betala Länsförsäkringars rättegångskostnader i tingsrätten och hovrätten.
37. Länsförsäkringar ska ersätta MT för hans rättegångskostnader i tingsrätten, hovrätten och Högsta domstolen. Kostnaderna för utlägg i tingsrätten är vitsordade. I övrigt är kostnaderna skäliga.
Länkar i inlägget
Lag (2010:751) om betaltjänster
Prop. 2009/10:122 Obehöriga transaktioner med betalningsinstrument
Lag (2010:738) om obehöriga transaktioner med betalningsinstrument
Högsta domstolen dom 2022-06-21 i mål nr T 4623-21, BankID
- Se Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG respektive Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG. ↑
- Jfr Marte Eidsand Kjørven m.fl., BankID-opplysninger på avveie – om vilkårene for aktivering av forsettsansvaret etter finansavtaleloven § 35 og ny finansavtalelov § 4-30 (4), Lov og Rett, 2021, s. 335 ff., Marte Eidsand Kjørven, Who Pays When Things Go Wrong? Online Financial Fraud and Consumer Protection in Scandinavia and Europe, European Business Law Review 2020, s. 77 ff. och Susanne Karstoft, Misbrug af NemID til optagelse af lån, UfR 2019 B s. 339 ff. ↑