Obehöriga transaktioner blir behöriga transaktioner

5.1.1 Är definitionen anpassad till både kontokort och elektronisk underskrift?

För att 5 a kap. betaltjänstlagen ska vara tillämplig krävs att en transaktion bedöms vara obe- hörig. En obehörig transaktion definieras som en transaktion som genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot.184

Tolkningen av definitionen har lett till att en del kontohavare som drabbas av vishingbedräge- rier kan få ersättning genom att tillämpa betaltjänstlagen, medan andra kontohavare – som i stort sett utsätts för identiska vishingbedrägerier – inte kan tillämpa bestämmelserna, eftersom transaktionerna i stället bedömts behöriga. För att en transaktion ska anses vara en obehörig transaktion krävs att två rekvisit är uppfyllda. Det första rekvisitet är att någon annan än kon-

tohavaren ska ha använt betalningsinstrumentet. Det andra rekvisitet är att det måste ske utan kontohavarens samtycke.

Rekvisitet någon annan än kontohavaren innebär egentligen inga tolkningssvårigheter. Proble- met med rekvisitet är snarare att en elektronisk underskrift inte är ett föremål som kontohavaren besitter rent fysiskt. Jämfört med ett kontokort – där själva kortet i sig krävs för att utföra trans- aktionen – är en elektronisk underskrift inte direkt kopplat till ett fysiskt greppbart objekt. Rek- visitet någon annan än kontohavaren härstammar ursprungligen från tiden då bestämmelserna om obehöriga transaktioner enbart tillämpades på fysiska betalningsinstrument, det vill säga 34 § i 1992 års konsumentkreditlag. Bestämmelsen i 1992 års konsumentkreditlag innehöll rek- visitet, men var enbart tillämplig på obehöriga transaktioner med fysiska kontokort.185 _Rekvi-

sitet var därmed bättre anpassat, eftersom någon annan än kontohavaren alltid förutsattes för att kunna genomföra en obehörig transaktion med ett kontokort.186 _{Med elektroniska underskrifter}

är det emellertid annorlunda. Vanligt förekommande är nämligen inte att någon fysiskt stjäl den elektroniska underskriften, utan att kontohavaren i stället blir vilseledd att själv använda

184 _{Se avsnitt 3.2.2. Definitionen finns i 1 kap. 4 § betaltjänstlagen.} 185 _{Se avsnitt 2.2.2.}

186 _{Oftast sker det genom att någon annan stjäl kortet och sedermera använder kortet utan samtycke från kontoha-}

varen. Definitionen av obehöriga transaktioner med kontokort härstammar i sin tur från obehöriga förfaranden med värdepapper och dåtidens betalningsmetoder så som check och växel. Obehöriga förfaranden med check och växel utgick också från att växeln alternativt checken var tvungen att besittas av någon annan för att användas obehörigen.

43 underskriften för något som denne blivit lurad till. Härav följer att rekvisitet att någon annan måste använda betalningsinstrumentet – som förutsättning för att en obehörig transaktion ska kunna föreligga med både kontokort och elektronisk underskrift – leder till att obehöriga trans- aktioner i själva verket bedöms som behöriga och kontohavaren blir utan ersättning. Anled- ningen till orimligheten grundas alltså i att den nuvarande definitionen av en obehörig transakt- ion är anpassad för att enbart tillämpas på fysiska betalningsinstrument som kontokort, men tillämpas på både kontokort och elektroniska underskrifter.

5.1.2 Kan en kontohavare anses ha samtyckt till att ge bort sina pengar?

I definitionen av en obehörig transaktion har rekvisitet utan kontohavarens samtycke också vi- sat sig vålla problem. Vad innebär det egentligen att en kontohavare samtycker till en transakt- ion? Det framgår varken i lagtext, förarbeten, rättspraxis eller doktrin vad samtycke till en trans- aktion egentligen innebär. I ett tidigare berört ARN avgörande hade en kontohavare blivit vil- seledd att på egen hand genomföra transaktioner till någon annan.187 _{Kontohavaren trodde att}

denne genomförde en uppdatering av sitt BankID. Bör kontohavaren därmed anses ha samtyckt till att överföra sina pengar till en bedragare? Frågan ställdes på sin spets i avgörandet. ARN resonerade så här i den frågan:

Enligt nämndens mening ger varken direktiven, förarbetena eller rättspraxis stöd för att bestämmelserna om obehöriga transaktioner ska tillämpas på situationer där kontohavaren själv godkänt en transaktion med exempelvis sitt mobila bank-id. Detta oavsett om konto- havaren råkat ut för ett bedrägeri och lurats att själv godkänna en transaktion, eller om en kontohavare har en felaktig uppfattning om vad en transaktion innebär eller vad en even- tuell motprestation ska innehålla, eller vad hen över huvud taget gör när hen använder sitt betalningsinstrument. Bestämmelsen i betaltjänstlagen ska i stället förstås på så sätt att en transaktion är obehörig om den utförs av någon annan än kontohavaren utan att ha haft kontohavarens samtycke till transaktionen.188

ARN anför alltså att det inte spelar någon roll om kontohavaren har blivit lurad av en bedragare, det spelar i själva verket ingen roll vad kontohavaren har för avsikt överhuvudtaget. Har kon- tohavaren själv godkänt transaktionen innebär tolkningen att kontohavaren har samtyckt. Nämndens tolkning utgår utifrån relevanta artiklar i betaltjänstdirektivet samt NJA 2017 s. 1105, där prejudikatfrågan i själva verket var beviskrav och bevisbörda vid obehöriga trans- aktioner – inte definitionen av obehöriga transaktioner, samt förarbeten där det inte framgår vad

187 _{Se ARN 2019-14354 som framställdes i avsnitt 3.2.2.} 188 _{Se ARN 2019-14354 under nämndens bedömning.}

44 kontohavarens samtycke innebär. ARN för kort sagt en tunn argumentation där nämnden ob- jektivt har tolkat den knapphändiga vägledning som finns. Tolkningen innebär att samtycke anses föreligga – trots att kontohavaren inte har en aning om vad som samtycks till – och där avsikten med underskriften inte tillmäts någon betydelse överhuvudtaget. Tolkningen leder där- utöver till att en kontohavare som har genomfört en elektronisk underskrift i syfte att uppdatera sitt mobila BankID bedöms i stället ha samtyckt till att ge bort sina pengar till en bedragare. Det enda som tillmäts betydelse är om kontohavaren rent fysiskt genomför den elektroniska underskriften eller inte. Är det verkligen rimligt? En sådan tolkning ger varken rimliga resultat eller det önskade skyddet mot obehöriga transaktioner som är syftet med 5 a kap. betaltjänstla- gen. En tolkning där avsikten tillsammans med vad kontohavaren visste vid tillfället för under- skriften, alltså en vidgad tolkning av begreppet samtycke och därmed definitionen av en obe- hörig transaktion, är en nödvändighet för att upprätthålla syftet med 5 a kap. betaltjänstlagen – att möjliggöra rätten till ersättning för kontohavare vid obehöriga transaktioner.