Avslutande analys 39

För att kontohavaren ska stå för den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri måste kontohavaren ha åsidosatt någon av de skyldigheter som åligger varje person som brukar ett betalningsinstrument. För att ett vishingbedrägeri ska fullbordas krävs i regel att kontohavaren åsidosätter någon av skyldigheterna, då vishing bygger på att kontohavaren ger ut koder till bedragaren alternativt använder sitt betalningsinstrument på uppmaning av bedragaren. Genom att ge ut koder eller tillåta obehörig användning har kontohavaren alltid åsidosatt sin skyldighet att skydda de personliga behörighetsfunktionerna. Därtill har kontohavaren också åsido- satt sin skyldighet att följa de avtalsvillkor som varit gällande mellan banken och kontohavaren, då det av framställningen framgår att även villkoren alltid innehåller de lagstiftade skyldigheterna. I beslut från ARN tar bedömningen kring vilken eller vilka skyldigheter som åsidosatts inte någon stor plats, vilket är rimligt då vishingbe- drägerier i det närmaste alltid innebär att minst två av de tre lagstadgade skyldighet- erna har åsidosatts.

Utöver de redan nämnda skyldigheterna åligger det också kontohavaren att snarast meddela banken om betalningsinstrumentet förlorats eller brukats obehörigen. Trots att de övriga skyldigheterna redan åsidosatts är det enligt min mening rimligt att det ändå skulle kunna verka förmildrande om kontohavaren genomfört alla skäliga åtgär- der för att uppfylla den sista skyldigheten. Om kontohavaren utan något dröjsmål överhuvudtaget meddelat banken efter att ett vishingbedrägeri genomförts, skulle bankerna kunna göra allt i sin makt för att förhindra att fler handlingar genomförs och eventuellt även stoppa exempelvis pågående eller genomförda transaktioner. Det                                                                                                                

118 _{Svenska Bankföreningen, Banksäkerhet, https://www.swedishbankers.se/foer-bankkun-}

40 är enligt min mening ofta förenat med skam för kontohavaren att upptäcka att denne blivit bedragen, varpå kontohavaren möjligtvis drar sig för att kontakta banken. Om det således verkade förmildrande att kontohavaren uppfyllt sin skyldighet att med- dela banken skulle kontohavarna rimligtvis agera för att göra det.

En viktig aspekt är att det inte räcker med ett konstaterande av att de lagstadgade skyldigheterna har åsidosatts, utan att åsidosättandet därtill måste skett genom grov oaktsamhet eller särskilt klandervärt handlande för att kontohavaren ska stå för den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri. Enligt lagstifta- ren ska ansvarsbedömningen tas med utgångspunkt i vilka skyldigheter som åsido- satts. Eftersom det redan konstaterats att skyldigheterna att skydda den personliga behörighetsfunktionen och att i övrigt följa villkoren alltid åsidosatts vid ett vishing- bedrägeri, så bör bedömningen enligt lagstiftaren utgå från i vilken situation och miljö som den personliga behörighetsfunktionen underlåtit att skyddas samt villko- rens utformning och tydlighet. Den förstnämnda aspekten behandlas ingående, vilket framgår tydligt genom ovanstående diskussion kring omständigheter som har inver- kan på ansvarsbedömnigen. Villkorens tydlighet och utformning behandlas i det närmaste inte alls, trots att det borde vara en lika viktig aspekt enligt lagstiftaren. Hur villkoren utformats borde logiskt sett vara avgörande för vad kontohavaren borde ha förstått utifrån innehållet, varpå en diskussion kring utformning och tydlighet enligt min mening borde vara högst relevant vid en ansvarsbedömning till följd av ett vishingbedrägeri.

Eftersom det således inte räcker att konstatera att kontohavarens agerande strider mot lag och villkor, utan att det även måste konstateras hur kontohavaren gjort det

präglas ansvarsbedömningen av gränsdragningar där flertalet omständigheter ska uppmärksammas och värderas. Enligt min mening består lagstiftningens största brist i att ansvarsfördelningen kan bli radikalt förändrad beroende på om en kontohavares handlande bedöms som grovt oaktsamt eller särskilt klandervärt. När skillnaden i an- svar oftast är stor är det viktigt att gränsdragningen är tydlig, vilket lagstiftningen inte åstadkommer enligt min mening. Att endast definiera särskilt klandervärt hand- lande som något som ska motsvara ett närmast likgiltigt beteende är enligt min me- ning inte tillräckligt för att säkerställa en enhetlig och förutsägbar rättstillämpning. Genom framställningen har det utkristalliserats att ARN återkommande beaktar vissa omständigheter medan andra omständigheter lämnas utanför ansvarsbedömningen. Den stora problematiken ligger enligt min mening i att ARN inte konsekvent givit samma omständigheter lika stor inverkan i besluten, även om tvisterna varit liknande i sak och att ARN framförallt inte på ett tydligt sätt redovisat sina avväganden eller motiverat varför vissa omständigheter värderats på ett specifikt sätt. Praxis från ARN ger således endast en bild av att vissa omständigheter kan ha relevans, men utan att förtydliga varför eller när. Vid frånvaro av konsensus blir det i det närmast omöjligt att försöka förutse hur gränsdragning mellan ansvarsrekvisiten ska göras.

41 Det är enligt min mening befogat att ställa sig kritisk till ARNs avgöranden i många fall. Många beslut ser ut på precis liknande sätt, där en grundläggande text används för att redogöra för vilken lagstiftning som är tillämplig och vad som sägs i förarbe- ten kring tillämpningen. De exempel som tas i förarbeten är främst tillämpliga vid användning av andra betalningsinstrument än exempelvis BankID och säkerhetsdosa, då de centrala i exemplen är att betalningsinstrument inte får förvaras lättåtkomligt där stöldrisk förekommer. I de för uppsatsen aktuella tvisterna har betalningsinstru- mentet aldrig lämnat kontohavarens besittning varpå exemplen inte blir relevanta. Det inte anses relevant att ARN hänvisar till exempel som främst är av betydelse vid användning av kontokort. Vid vishing är kontokort inte ett aktuellt betalningsinstru- ment och även om kontokort omfattas av tillämpningen i kapitel 5a betaltjänstlagen, så hade det känts mer tidsenligt och relevant om ARN istället hade utformat sina be- slut på ett för tvisten aktuellt sätt, med hänvisningar till exempelvis nyare avgöran- den eller andra uttalanden som är relevanta för den aktuella sakfrågan.

Förutsägbarheten kring när en kontohavare har åsidosatt sina skyldigheter genom grov oaktsamhet respektive särskilt klandervärt handlande skulle öka om ARN be- mödade sig med att skriva ner det som faktiskt behandlas i varje enskilt avgörande, eller i alla fall gav uttryck för de skäl som skiljer sig från andra avgöranden. Därmed skulle tolkningen av lagstiftningen bli mer klar och tillämpningen mer koherent. På så sätt skulle besluten och dess skäl vara lättare att tolka och därmed skulle också be- dömningen redan på bankernas nivå kunna göras i enlighet med ARNs avgöranden. Idag krävs betydande inläsning av ARNs avgöranden för att utläsa förändrande för- hållningssätt, vilket inte bidrar till förutsägbarhet, utan snarare motarbetar den. För- modligen beror ARNs kortfattade beslut inte på bristande kompetens, utan det är högst sannolikt att den stora ökningen av vishingbedrägerier skapat en enorm ökning av måltillströmning för ARN. Arbetsbelastningen bör således vara hög, men enligt min mening skulle ARN även förenkla för sig själva om tid avsattes för att skriva ut- förliga beslut och skäl. ARN skulle således kunna hänvisa till sina egna utförliga be- slut vid liknande tvister och slippa hänvisa till förarbeten utan någon större relevans och således spara tid i förlängningen.

Under de första 10 månaderna av år 2019 lämnade ARN beslut i sak i 50 stycken tvister om obehöriga transaktioner som genomförts till följd av vishingbedrägerier. I endast tre av alla 50 tvister beslutade ARN att banken skulle stå för någon del av ska- dan som uppkommit till följd av vishingbedrägerierna.119 I övriga 47 beslut ansåg ARN att kontohavaren handlat särskilt klandervärt och kontohavaren fick därmed stå för hela ansvaret. Ett beslut från ARN där banken skulle rekommenderas att ersätta kontohavaren för hela den ekonomiska förlust som uppkommit till följd av ett vishingbedrägeri skulle förmodligen resultera i stort medialt utrymme, där bankens säkerhetslösningar skulle synas i sömmarna. Därför är det högst troligt att bankerna i

42 största möjliga mån undviker att hamna i den situationen, vilket innebär att det rim- ligtvis är många tvister där banken väljer att ersätta kontohavaren för att inte riskera att få ett beslut mot sig i ARN. Därav skulle ARNs praxis på ett vis kunna vara miss- visande, då det är möjligt att flera av de tvister där kontohavarens handlande inte va- rit klandervärt, aldrig hamnar på ARNs bord. Enligt min mening hade ett avgörande från en allmän domstol varit önskvärt för att förtydliga tillämpningen. I ett sådant av- görande skulle domstolen få ta ställning till alla frågor som aktualiseras i den här ty- pen av bedömning, helt utan någon förhandsinformation eller utan några redan inar- betade förhållningssätt. Enligt min mening skulle avgöranden från allmänna domsto- lar kunna bidra till att förtydliga när en kontohavare åsidosatt sina skyldigheter ge- nom grov oaktsamhet respektive särskilt klandervärt handlande, vilket skulle vara önskvärt.

43

6 Slutsats

Huvudregeln är att en kontohavare inte ska stå för den ekonomiska skada som upp- kommit till följd av ett vishingbedrägeri, utan att banken ska stå för skadan. Huvud- regeln förutsätter dock att kontohavaren agerat aktsamt. Om kontohavaren åsidosatt sina skyldigheter genom grov oaktsamhet eller särskilt klandervärt handlande ska kontohavaren stå för den ekonomiska skadan. För att det ska bli aktuellt med en be- dömning om vem som ska stå för den ekonomiska skadan krävs att det varit fråga om en eller flera obehöriga transaktioner. En obehörig transaktion föreligger per definit- ion när en transaktion genomförts från kontohavarens konto utan kontohavaren, eller någon annan som är behörig att använda kontot, har samtyckt till transaktionen. Lo- giskt sätt framstår det som uppenbart att en kontohavare som blivit utsatt för ett be- drägeri inte har samtyckt till att genomföra transaktioner till bedragaren, men utifrån tillämpningen framstår bedömningen inte som enkel. Har någon form av samtycke funnits, oavsett om samtycket varit baserat på bedrägliga handlingar, så är transakt- ionen att bedöma som behörig och kontohavaren får då per automatik stå för den ekonomiska skadan. Det som blir avgörande är om kontohavaren förstått att en trans- aktion genomförts eller ej. Om kontohavaren förstått att en transaktion genomförts ska transaktionen i de flesta fall bedömas som behörig, även om kontohavaren inte förstått vilka konsekvenser transaktionen skulle komma att innebära.

Om en obehörig transaktion är konstaterad kan prövningen övergå till att behandla kontohavarens skyldigheter. En kontohavare som använder betalningsinstrument är skyldig att skydda sina personliga behörighetsanordningar, anmäla till sin bank när ett betalningsinstrument förlorats eller brukats obehörigen samt i övrigt följa de vill- kor som banken uppställt. Vad skyldigheterna faktiskt inbegriper är beroende av vil- ken miljö kontohavaren vistats i, hur kontohavaren hanterat sitt betalningsinstrument, vad kontohavaren haft kännedom om, när kontohavaren agerat samt vad bankerna valt att skriva i sina avtalsvillkor. Det kan således inte anses givet vilka skyldigheter som åligger kontohavaren endast utifrån lagstiftningen, utan det krävs en bedömning på detaljnivå för att kunna tyda vad som kunnat förväntas av kontohavaren i den ak- tuella situationen och exakt hur dessa bedömningar ska göras kan enligt min mening inte anses klarlagt.

För att kontohavaren ska stå för någon del av den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri krävs att kontohavaren åsidosatt någon av sina skyl- digheter genom grov oaktsamhet eller särskilt klandervärt handlande. Således måste det först konstateras att någon av ovanstående skyldigheter har åsidosatts, varpå en prövning sedan kan ske kring om åsidosättandet har skett genom grov oaktsamhet el- ler särskilt klandervärt handlande. I lagstiftning och förarbeten är gränsdragningen mellan ansvarsrekvisiten inte tydlig. Vid tolkning tillsammans med beslut från ARN står det dock klart att en kontohavare som blivit utsatt för ett vishingbedrägeri har åsidosatt sina skyldigheter genom grov oaktsamhet så fort kontohavaren lämnat ut en

44 kod till bedragaren alternativt använt sitt betalningsinstrument på uppmaning av be- dragaren, utan att hänsyn tas till andra omständigheter. Tillämpningen av rekvisitet är koherent och går enligt min mening inte att tolka på något annat sätt. Har en kon- tohavare åsidosatt sina skyldigheter på det här sättet vid en obehörig transaktion, ska kontohavaren undantagslöst stå för den ekonomiska skadan, beloppet begränsas dock alltid till 12 000 kronor om kontohavaren är konsument.

Det är dock inte möjligt att fastställa en schablonmässig bedömning för vad som ut- gör särskilt klandervärt handlande, utan det krävs att omständigheterna i det enskilda fallet beaktas. Eftersom varje bedömning kring om ett särskilt klandervärt handlande förelegat eller ej bygger på en individualiserad prövning är det inte realistiskt att stadga några definitiva gränsdragningar. Genom ARNs praxis står det dock enligt min mening relativt klart vilka omständigheter som ska beaktas vid en bedömning kring om en kontohavares handlande varit särskilt klandervärt. Om bedrägeriet be- stått i ett sannolikt tillvägagångssätt och situationen varit sådan att det varit svårt för kontohavaren att uppfatta att ett bedrägeri varit för handen ska kontohavaren i många fall ursäktas, trots att handlandet i övrigt kunnat vara särskilt klandervärt. Om konto- havaren istället lämnat ut koder eller använt sitt betalningsinstrument på uppmaning av bedragaren vid ett flertal tillfällen, om bedragarens tillvägagångssätt varit osanno- likt, om situationen inte har varit pressande och om kontohavaren sett förbi den in- formation som delgetts kontohavaren vid bedrägeriet ska kontohavarens handlande i de flesta fall bedömas som särskilt klandervärt. Personliga omständigheter kan ha viss inverkan på bedömningen. Vilket betalningsinstrument som kontohavaren an- vänt eller vilka allmänna varningar kring bedrägerier som banken delgivit sina kon- tohavare har i de flesta fall ingen inverkan på bedömningen kring hur kontohavaren åsidosatt sina skyldigheter. Min bestämda uppfattning är att risken för att handlandet ska bedömas som särskilt klandervärt ökar för varje gång som kontohavaren åsido- sätter sina skyldigheter, men det är exempelvis inte möjligt att fastställa att genomfö- rande av två aktiva handlingar på uppmaning av en bedragare alltid kommer vara till- räckligt för att handlandets ska anses som särskilt klandervärt.

Enligt min mening ligger problematiken i hur dessa omständigheter ska värderas. Det är förståeligt att unika situationer kräver unika resonemang, men min uppfattning är att ARN i tvister som varit liknande i sak inte fört ett koherent resonemang utan att omständigheter i liknande tvister, där kontohavarna åsidosatt sina skyldigheter på liknande sätt, värderats på olika sätt varpå någon tydlig vägledning inte kan skönjas. Min bestämda uppfattning är att lagstiftaren och rättstillämparen har en stor möjlig- het att förtydliga vilka omständigheter som ska tas i beaktande och vilka ställningsta- ganden som görs av rättstillämparen. Vid ett förtydligande skulle dock den viktigaste aspekten vara varför vissa aspekter ska tas i beaktande och varför vissa ställningsta- gande görs. För att förstå hur lagstiftningen ska tillämpas framgent krävs en tydlig argumentation där avsikten med ställningstaganden visas. I och med det skulle en mer koherent tillämpning säkerställas och rättstillämpningen skulle bli mer förutsäg- bar vilket alltid bör vara att föredra ur ett rättssäkerhetsperspektiv.

45 Problematiken med vishingbedrägerier måste bedömas som relativt ny. Bedragarna är i många fall mycket skickliga och tillvägagångssätten ändras hela tiden. Oavsett vilka insatser bankerna genomför för att förbättra sina säkerhetslösningar är jag av den bestämda uppfattningen att vishingbedrägerierna högst troligt kommer att fort- sätta. Så länge kontohavare fortsätter att åsidosätta sina skyldigheter på uppmaning av bedragarna har jag svårt att se att utvecklade säkerhetslösningar skulle lösa pro- blematiken, då kontohavarna hjälper bedragarna att gå runt tänkta hinder.

Sammanfattningsvis kan någon klar gränsdragning mellan ansvarsrekvisiten inte ty- das, vilket till stor del består i att tillämpningen inte är koherent. Eftersom lagstift- ningen som sådan ger ett stort tolkningsutrymme blir det till stor del rättstillämparen som styr vad rekvisiten ska inbegripa. I det här fallet är det ARN som bär ett tungt ansvar, något som de enligt min mening inte tar till vara på bästa sätt utifrån varken bankers eller kontohavares perspektiv. Banker behöver tydlig vägledning för att kunna genomföra bedömningar i enlighet med ARNs praxis och kontohavare behö- ver tydlig vägledning för att lagstiftningen ska vara förutsägbar och rättssäker. Ef- tersom ARN har en stor möjlighet att driva utvecklingen framåt kring prövningar av den aktuella problematiken, är det enligt min mening befogat att ställa sig kritisk till det faktum att ARN inte gör det. Besluten från ARN ger enligt min mening inget en- hetligt svar på när kontohavaren ska stå för den ekonomiska skadan och därtill har ARN gjort ställningstaganden som varken kommunicerats eller motiveras. Enligt min mening är det möjligt att rekvisitens tolkning och tillämpning kommer att förändras över tid och för att säkerställa en förutsägbar och rättssäker tillämpning framgent är det viktigt att ARN är tydliga med vad som beslutas men allra främst vad besluten grundas på. Det krävs således att ARN använder sin tid och kompetens väl för att det ska vara möjligt att tyda när en kontohavare ska stå för den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri.

46

7 Källförteckning

Författningar

Konsumentkreditlag (1992:830). Lag (2010:751) om betaltjänster.

Lag (2010:738) om obehöriga transaktioner med betalningsinstrument. Lag (2010:739) om ändring i konsumentkreditlagen.

Förordning (2015:739) med instruktion för Allmänna reklamationsnämnden. Lag (2018:175) om ändring i betaltjänstlagen.

Offentligt tryck

Propositioner

Regeringens proposition 1991/92:83 Om ny konsumentkreditlag.

Regeringens proposition 2009/10:122 Obehöriga transaktioner med betalningsinstru- ment.

Regeringens proposition 2017/18:77 Nya regler om betaltjänster. SOU

SOU 2005:108 Betalningsansvar vid obehörig användning av kontokort m.m. Slutbe- tänkande av Utredningen om behörig användning av kontokort samt konsument- skydd vid s.k. modemkapning.

SOU 2016:53 Betaltjänster, förmedlingsavgifter och grundläggande betalkonton. Be- tänkande av 2015 års betaltjänstutredning.

Europarättsligt material

Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG [cit. första betaltjänstdirektivet].

Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphä- vande av direktiv 2007/64/EG [cit. andra betaltjänstdirektivet].

47

Litteratur

Arffman, Åsa, lag (2010:751) om betaltjänster, kommentar till 1 kap. 4 §, Karnov. Dölling, Anders, lag (2010:751) om betaltjänster, kommentar till 5a kap. 2 §, Karnov.

Gerhard, Peter, Köprättens grunder, 14 u., Liber AB, Stockholm, 2018.

Hettne, Jörgen, Otken Eriksson, Ida, EU-rättslig metod – teori och genomslag i

svensk rättstillämpning, 2 u., Nordstedts Juridik AB, Stockholm, 2012.

Jareborg, Nils, Rättsdogmatik som vetenskap, Svensk juristtidning, 2004, s. 1-10. Olsen, Lena, Rättsvetenskapliga perspektiv, Svensk juristtidning, 2004, s. 105-145. Sandgren, Claes, Rättsvetenskap för uppsatsförfattare – ämne material, metod och

argumentation, 4 u., Nordstedts Juridik AB, Stockholm, 2018.

Sandgren, Claes, Är rättsdogmatiken dogmatisk? Tidsskrift for Rettsvitenskap, vol. 118, Oslo, 2005, nr 4-5, s. 648-656.

Stenberg, Ulf, Det talar för att bankerna ska stå för pengar som försvinner vid be-

drägerier – skärp säkerheten, Dagens juridik, 2019-03-14, https://www.dagensjuri- dik.se/nyheter/det-talar-att-bankerna-ska-sta-pengar-som-forsvinner-vid-bedragerier-

skarp-sakerheten/, lydelse 2019-11-19.

Strömholm, Stig, Rätt, rättskällor och rättstillämpning – en lärobok i allmän rätts-

lära, 5 u., Nordstedts Juridik AB, Stockholm, 1996 [cit. Strömholm].

Elektroniska källor

Allmänna reklamationsnämnden, Frågor och svar, https://www.arn.se/fragor-och-

svar/?q=&type=0&page=1, lydelse 2019-11-18.