En man blev uppringd av en bedragare som utgav sig för at jobba på säkerhetsavdelningen på en bank. Han förklarade för mannen att han behövde identifiera sig genom mobilt bank-id för att banken skulle uppfylla kraven enligt EU:s dataskyddsförordning. Om han inte gjorde detta riskerade hans konto att försvinna. Bedragaren uppgav även att mannens bank-id behövde förnyas, vilket han gjorde och läste då upp koder från bankdosan. Efter det överförde bedragaren nästan 400 000 kronor från mannens konto.
Mannen yrkade i Stockholms tingsrätt att hans bank skulle ersätta honom för det förlorade beloppet.
Domstolen hänvisade till betaltjänstlagens förarbeten. Där framgår att konsumenten ska ansvara för hela beloppet när det skulle anses stötande att låta betaltjänstleverantören stå för någon del av beloppet och kontoinnehavaren framstår som likgiltig inför risken för obehöriga transaktioner.
Tingsrätten ansåg att mannen visserligen hade agerat grovt oaktsamt, men inte att handlandet i sig varit särskilt klandervärt. Mannen hade dessutom blivit utsatt för ett beräknat bedrägeri och hade ställt flera relevanta frågor till bedragaren och fått godtagbara svar på dessa.
Rätten ansåg därför inte att mannen varit likgiltig inför risken för obehöriga transaktioner. Hans bank skulle därför stå för transaktionerna som genomförts, med avdrag på 12 000 kronor på grund av mannens grova oaktsamhet. Banken skulle även stå för mannens rättegångskostnader.
Vid Svea hovrätt förtydligade banken att mannens underlåtenhet att skydda sina personliga behörighetsfunktioner skett i strid med såväl betaltjänstlagen som bankens allmänna villkor för mobilt bank-id.
Hovrätten framhöll att kontohavaren är skyldig att vidta alla rimliga åtgärder för att skydda sina behörighetsfunktioner.
Det var ostridigt mellan parterna att mannen vid flera tillfällen använt sitt mobila bank-id på uppmaning av en okänd person. De var vidare överens om att utlämnandet av koderna till mannens dosa var helt avgörande för att bedragaren därefter kunde beställa ett nytt bank-id i mannens namn och därefter föra över pengarna till sig själv.
Bedrägeriet har varit särdeles förslaget, ansåg domstolen. Bland annat genom att bedragaren tilltalat mannen på hans modersmål persiska. Hovrätten bedömde samtidigt att mannen inte hade befunnit sig i en särskilt pressad eller utsatt situation, även om han fick uppfattningen att han riskerade att strykas som kund i banken om han inte godtog ”bankens” hantering av hans personaluppgifter.
Med andra ord hade mannen tagit en risk redan vid det första samtalet som måste betecknas som en kvalificerad form av oaktsamhet. Samtidigt hade mannen inte vidtagit några egentliga åtgärder för att förvissa sig om att personen verkligen ringde från banken eller att de uppgifter som denne lämnade var riktiga. Han hade härvid exempelvis kunnat ringa upp banken och ställt kontrollfrågor om samtalen.
Sammanfattningsvis ansåg hovrätten att mannen hade handlat särskilt klandervärt på det sätt som avses i betaltjänstlagen. Med ändring av tingsrättens beslut ogillade därför hovrätten mannens käromål och befriade banken från att ersätta hans rättegångskostnad i tingsrätten.
Högsta domstolen, HD, ändrar nu hovrättens dom och bifaller mannens överklagande.
I 5 a kap. 2–3 §§ betaltjänstlagen finns bestämmelser om kontohavarens ansvar vid obehöriga transaktioner. Enligt kapitlets 3 § andra stycket ska en kontohavare som handlat ”särskilt klandervärt” ansvara för hela beloppet som obehörigen överförts. Om kontohavaren har agerat grovt vårdslöst, men inte särskilt klandervärt, begränsas ansvaret till högst 12 000 kronor.
Enligt HD finns det skäl att först utreda vad som avses med grovt vårdslöst agerande. Enligt skälen till det andra betaltjänstdirektivet är grov vårdslöshet något mer än ren vårdslöshet och bör omfatta en betydande grad av oaktsamhet. I förarbetena till betaltjänstlagen anges att med grov oaktsamhet avses ett markant avsteg från aktsamhetsnormen. Lindriga fall av slarv eller tillfällig glömska faller utanför begreppet.
För att konsumentens agerande ska vara särskilt klandervärt krävs alltså att agerandet ska vara allvarligare än ett markant avsteg från normal aktsamhet. Det framgår av förarbetena att konsumenten ska ha agerat så klandervärt i förhållande till betaltjänstleverantören att det skulle vara stötande att låta leverantören stå för någon del av beloppet.
Enligt domstolen innebär det att bedrägligt agerande är särskilt klandervärt i betaltjänstlagens mening. Detsamma gäller när konsumenten avsiktligt har överlämnat inloggningsuppgifter till en obehörig person och då insåg att det förelåg en betydande risk att handlandet kunde medföra en förlust. Motsvarande gäller när konsumenten – även om hen inte avsiktligen överlämnande inloggningsuppgifter till någon obehörig – var likgiltig till risken för obehöriga transaktioner.
Bedömningen ska i princip göras objektivt men vissa subjektiva faktorer bör beaktas när konsumenten inte har skyddat sina personliga behörighetsfunktioner knutna till betalningsinstrumentet. Bland annat den miljö och situation som konsumenten befinner sig i samt hens möjlighet att skydda sig mot en obehörig transaktion. Konsumentens ålder och erfarenhet spelar också in. Slutligen bör även hänsyn tas till hur förslaget bedrägeriet har varit och till vad konsumenten förstått eller borde ha förstått beträffande de uppgifter som lämnades ut.
I det aktuella fallet gick bedrägeriet ut på att mannen behövde identifiera sig för att uppfylla bankens skyldigheter enligt dataskyddsförordningen. Förordningen trädde i kraft i slutet av maj 2018 och aktualiserade kontakter mellan företag och konsumenter. Vidare uppfattade mannen bedragaren som en lugn och seriös banktjänsteman som gav rimliga förklaringar till hans frågor. Mannen uppmanades att besöka ett bankkontor och förmåddes att själv föreslå de lösningar som gav bedragaren möjlighet att genomföra bedrägeriet.
Sammantaget anser HD att mannen blev utsatt för ett förslaget bedrägeri. Han uppvisade en betydande vårdslöshet genom att lämna ut koderna från bankdosan. Det är dock inte bevisat att han avsiktligen lämnade ut koderna till en obehörig person eller att han agerade med insikt om att det fanns en risk för detta.
Mannens talan ska därför bifallas. Han befrias från skyldigheten att ersätta bankens rättegångskostnader och ska i stället själv få sina rättegångskostnader betalade.