Enskildas ansvar vid bedrägeri med BankID

2022-11-11
Obehöriga transaktioner. Som konsument har du ett långtgående ansvar för att skydda dina personliga koder. Men ansvaret är i vissa delar begränsat. Om du agerat oaktsamt är ansvaret begränsat till 400 kr. Om du har agerat grovt oaktsamt är ansvaret begränsat till 12 000 kr. Om du agerat grovt oaktsamt och särskilt klandervärt får du skylla dig själv, och ansvarar fullt ut för den skada som du drabbas av. Högsta domstolen har klargjort var gränsen för särskilt klandervärt agerande går.

Bakgrund

Bedragaren kontaktade konsumenten per telefon den 2 augusti 2018 och uppgav att han ringde från SEB:s säkerhetsavdelning. Enligt uppringaren var skälet till kontakten att konsumenten inte hade lämnat sitt skriftliga samtycke till bankens GDPR-hantering vilket banken hade skickat brev om. På fråga från konsumenten om varför inte en e-postbekräftelse var tillräcklig, svarade bedragaren att banken hade gjort bedömningen att det av säkerhetsskäl krävdes skriftligt godkännande. Bedragaren uppgav att godkännandet kunde lämnas på ett bankkontor senast efterföljande dag samt att han i annat fall riskerade att bli struken som kund.

Konsumenten som hade sina bolån i SEB, ansåg sig inte ha råd att bli struken som kund i banken och blev stressad. Han frågade därför om det var möjligt att lösa situationen på något annat sätt och fick till svar att bekräftelsen kunde lämnas genom mobilt BankID. Konsumenten öppnade sitt BankID på mobilen och noterade att det stod ”Länsförsäkringar” längst upp, varpå han frågade hur detta kom sig. Bedragaren svarade att BankID:t hade utfärdats av Länsförsäkringar.

Eftersom konsumenten hade skaffat BankID:t för länge sedan och glömt vilken bank som utfärdat det accepterade han förklaringen.

Konsumenten fick därefter bekräftat från bedragaren att villkoren i GDPR hade accepterats men att konsumentens BankID var gammalt och behövde förnyas. Bedragaren hänvisade honom återigen till ett bankkontor. På fråga från konsumenten uppgav bedragaren, efter att ha samtalat med någon som han påstod var hans chef, att det var möjligt att beställa ett nytt BankID per telefon men att det krävde bankdosa.

Bedragaren erbjöd sig att återkomma under kvällen då konsumenten hade kommit hem med tillgång till bankdosan och konsumenten var mycket nöjd med den föreslagna lösningen. Vid 19-tiden på kvällen ringde bedragaren tillbaka och konstaterade inledningsvis att de båda kom från Iran och började därefter prata persiska innan han erbjöd konsumenten att förnya dennes BankID med hjälp av bankdosan.

När det gäller det efterföljande skedet har konsumenten bekräftat att han följde bedragarens instruktioner och tryckte in siffror i sin bankdosa. Domstolen utgår vidare från att konsumenten vid detta tillfälle lämnade ut två koder från sin personliga säkerhetsdosa till bedragaren.

Var agerandet särskilt klandervärt

Det var ostridigt att konsumenten var grovt oaktsam genom att åsidosätta skyldigheten att skydda koderna till sitt mobila BankID och svarskoderna från sin bankdosa och att det orsakade att de obehöriga transaktionerna kunde genomföras. Högsta domstolen ansåg att konsumenten blev utsatt för ett förslaget bedrägeri och att konsumenten uppvisade betydande vårdslöshet genom att vid det andra samtalet lämna ut koderna från bankdosan. Banken lyckades emellertid inte bevisa att konsumenten i samband med de båda samtalen avsiktligen lämnade ut koderna till en obehörig person eller att konsumenten agerade med insikt om att det fanns en risk för att de obehöriga transaktioner som genomfördes. Konsumenten ansågs därför inte att ha agerat särskilt klandervärt och ansvaret begränsades till 12 000 kr.

För att agerande ska anses vara grovt oaktsamma ska det vara allvarligare än ett markant avsteg från normal aktsamhet. Lindriga fall av slarv eller tillfällig glömska anses inte vara grovt oaktsamt. För att ett agerande ska anses särskilt klandervärt måste agerandet vara något mer än ett agerande som är grovt oaktsamt. I princip handlar det om situationer när konsumenten agerat bedrägligt dvs. med avsikt lämnat personliga behörighetsfunktioner, t.ex. inloggningsuppgifter till BankID eller koder till en bankdosa, till en obehörig person och då insåg eller hade anledning att misstänka att det förelåg en betydande eller närliggande risk för att hans eller hennes handlande kunde medföra en förlust. Även situationer när konsumenten varit likgiltig till risken för obehöriga transaktioner.

Bedömningen ska göras objektivt, dvs. utgå från hur en konsument av motsvarande slag i samma situation typiskt sett skulle ha agerat. Särskilda omständigheter att beakta är också den miljö och situation som konsumenten befann sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Konsumentens ålder och erfarenhet kan vara av betydelse. Hänsyn bör också tas till hur förslaget bedrägeriet har varit och till vad konsumenten förstått eller borde ha förstått beträffande de uppgifter som lämnades till bedragaren och de möjliga konsekvenserna av att de lämnades ut.

Rättsliga utgångspunkter

Reglerna om obehöriga transaktioner framgår av lagen (2010:751) om betaltjänster (betaltjänstlagen).

Av 5 kap. 6 § betaltjänstlagen följer bl.a. att användaren av betaltjänsten är skyldig att skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet. Om obehöriga transaktioner från en kontohavares konto har kunnat genomföras till följd av att en sådan skyldighet har åsidosatts genom grov oaktsamhet, ansvarar kontohavaren, såsom konsument, för högst 12 000 kr. Har kontohavaren handlat särskilt klandervärt, ansvarar han eller hon dock för hela beloppet, (Se 5 a kap. 3 § betaltjänstlagen). Regleringen bygger bland annat på att det finns ett samhällsekonomiskt och brottsförebyggande intresse av att minska kontanthanteringen till förmån för kortanvändning och betalningar över internet. Det anses ligga ett värde i att en kontohavare kan använda betalningsinstrument utan att riskera att drabbas av alltför kännbara ekonomiska förluster. Önskemålet att uppmuntra användningen av olika typer av betalningsinstrument har föranlett ett regelverk som innebär att parterna i viss mån får dela på risken för en obehörig transaktion.

För att avgöra om kontohavaren har orsakat transaktionen genom grov oaktsamhet ska en samlad bedömning göras utifrån den miljö och situation som kontohavaren befunnit sig i samt hans eller hennes möjlighet att skydda sig mot en obehörig transaktion. Det måste givetvis beaktas om kontohavaren är konsument men även personliga omständigheter kan ha betydelse för bedömningen, t.ex. kontohavarens ålder.

Det är betaltjänstleverantören som har bevisbördan för att konsumenten har handlat särskilt klandervärt, (prop. 2009/10:122 s. 28).

Vid bedömningen av om en konsuments handlande har varit särskilt klandervärt måste det beaktas att ansvaret för en obehörig transaktion i dessa fall inträder först vid grov oaktsamhet. Vad som avses är alltså kvalificerade former av grov oaktsamhet. Bestämmelsen om att en konsument ska ansvara för hela beloppet riktar in sig på situationer då kontohavaren har agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att denne behövde stå för någon del av beloppet. Det ska enligt lagstiftaren närmast röra sig om fall där kontohavaren genom sitt handlande får anses ha varit likgiltig till risken för obehöriga transaktioner. I förarbetena anges som exempel att kontohavaren lämnar ett kontokort lättillgängligt och obevakat under en lång tid på en badstrand med mycket folk, i ett omklädningsrum eller i en garderob på en restaurang. Ett annat exempel som anges är att kontohavaren lämnar ifrån sig kortet på en nattklubb för löpande debiteringar under en lång tid, (prop. 2009/10:122 s. 29).

NJA 2022 s. 522