6 Bevisfrågor för elektroniska underskrifter
6.3 Särskilt om bevisbörda och beviskrav för elektroniska underskrifter: NJA 2017 s 1105
6.3.1 Rättsfallsreferat
I NJA 2017 s 1105 påstod bolaget 4Finance att en privatperson (S.I.) ingått en låneförbindelse med banken. Den påstådda gäldenären bestred betalningsansvar varpå 4Finance stämde S.I. Tingsrätten avslog bankens talan, men hovrätten dömde till 4Finances fördel. I talan påstods det att låneansökan undertecknats med en teknisk lösning som motsvarar BankID och/eller en avancerad elektronisk underskrift. Till stöd för detta
135 A a s 64.
136 A st. Se också avsnitt 2.
137 Prop 2019/20:189 s 1 och 3 kap 1 a § rättegångsbalken.
138 Domstolsverket, Ny e-tjänst för digitala handlingar, 2021-01-12.
139 33 kap 1 a § rättegångsbalken.
140 33 kap 1 a § rättegångsbalken. I nuläget (februari 2021) går det dock endast att underteckna en elektronisk stämningsansökan direkt i Domstolsverkets e-tjänst. Med andra ord går det inte att använda en fristående underskriftstjänst. Jfr SOU 2019:14 s 143 f.
39
hänvisade 4Finance till en intern promemoria från Finansinspektionen (FI) som behandlade frågan om huruvida 4Finance genom sin lösning uppfyllde de krav som ställs på en bank kring kundkännedom och antipenningtvättsarbete. Högsta domstolen formulerade en tvåstegsmodell som går ut på att långivaren först måste visa att den tekniska lösning som använts motsvarar skapandet av en avancerad elektronisk underskrift. Om så sker, och det inte finns något som tyder på att det vid det aktuella tillfället funnits tekniska problem med systemet, presumeras att den elektroniska underskriften inte är manipulerad. Innehavaren av denna underskrift måste då – för att undgå betalningsansvar – göra åtminstone antagligt att användandet av underskriften skett obehörigen. Högsta domstolen ansåg att 4Finance genom den skriftliga bevisningen lyckats visa att den teknik för elektronisk identifiering som användes vid undertecknandet av låneavtalet motsvarade skapandet av en avancerad elektronisk underskrift. HD ansåg också att S.I. inte lyckades göra det antagligt att hennes avancerade elektroniska underskrift använts obehörigen av någon annan. Därmed fastställdes domslutet från hovrätten.
6.3.2 Finansinspektionens promemoria
Promemorian, som i väsentliga delar sekretessbelagts av FI141, beskriver en teknisk lösning som bygger på så kallad overlay-teknik. Detta innebär att 4Finance åker snålskjuts på andra bankers säkerhetslösningar. En kund ombes att ange sitt personnummer på 4Finance webbplats. 4Finance använder sedan detta personnummer för att trigga en inloggning hos kundens huvudbank och själv logga in där. Om inloggningen lyckas kan 4Finance dra slutsatsen att det är rätt person som har uppgett sitt personnummer. Detta tas som intäkt för att rätt person har identifierats.
FI gjorde bedömningen att den tekniska lösning som 4Finance valt uppfyllde myndighetens krav på säkerhet ur antipenningtvättssynpunkt.142
6.3.3 Finansinspektionens föreskrifter
Vid tillfället för författandet av FI:s promemoria gällde FI:s föreskrifter FFFS 2009:1. Fjärde kapitlet ställde vissa krav på kundkännedom, bland annat genom kontroll av kunders identitet. Enligt 4 kap 3 § skulle ett företag utföra identitetskontroll på distans genom att 1. använda en elektronisk legitimation för att skapa en avancerad elektronisk signatur enligt
141 Efter att ha begärt ut promemorian som allmän handling från FI mottog jag en kopia som maskats i de delar som beskrev den tekniska lösning som använts. Jag begärde därför ut samma handling från Högsta domstolen och mottog då en kopia av den omaskade version som lämnats in som bevisning av 4Finance. Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 11.
40
definitionen i 2 § lagen om kvalificerade elektroniska signaturer eller använda någon annan motsvarande teknik för elektronisk identifiering, eller 2. säkerställa kundens identitet på annat lämpligt sätt.143
FFFS 2009:1 är numera ersatt av FFFS 2017:11 och reglerna om åtgärder för att kontrollera en kunds identitet på distans återfinns i 3 kap 5 §. Huvudregeln om hur detta ska gå till har lyfts ur FI:s föreskrifter och finns numera i 3 kap 7 § 2 st lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen), vilket FFFS 2017:11 refererar till. Den alternativa regeln (4 kap 3 § 2 p FFFS 2009:1) finns däremot bevarad i Finansinspektionens föreskrifter (FFFS 2017:11).
Det bör poängteras två saker om 3 kap 7 § 2 st penningtvättslagen. Det första är att lagregeln visserligen refererar till eIDAS-förordningen, men att det uttrycks som att man får använda medel för elektronisk identifiering, inte ett företag ska göra så. Det andra är att lagregeln inte specificerar vilken nivå av elektronisk underskrift som får användas. Inte heller i de nya myndighetsföreskrifterna ställs något krav på att en elektronisk underskrift måste vara på nivån avancerad.
6.3.4 Var det en avancerad elektronisk underskrift?
Kritik har framförts mot Högsta domstolens bedömning. En promemoria av informationssäkerhetskonsultbolaget Kirei beskriver det exempelvis som att det är ”rimligt att anta att Högsta domstolen gjort en annan bedömning om […] fakta presenterats fullt ut och rättsfrågan varit huruvida den använda metoden resulterat i en avancerad elektronisk signatur (inte om den kan jämställas med en sådan eller om den kan anses uppnå en sådan lägre nivå som Finansinspektionen förefaller godta i penningtvättsammanhang).” Vidare menar Ljunggren på Kirei att en avancerad elektronisk underskrift varken i teknisk eller juridisk mening hade skapats och att detta framgår tydligt av FI:s promemoria och den övriga bevisföringen.144
Som tidigare nämnts uppställs det i eIDAS-förordningen fyra rekvisit för en avancerad elektronisk underskrift. Vidare är eIDAS-förordningen teknikneutral, innebärande att det inte är en enskild produkt eller en särskild standard. Uppfylls rekvisiten för en avancerad elektronisk underskrift så är det en avancerad elektronisk underskrift. Det är därför inte utan
143 Genom att a) inhämta uppgift om kundens namn, personnummer eller motsvarade och adress, b) kontrollera uppgifterna mot externa register, intyg, annan dokumentation, eller c) kontakta kunden genom att skicka en bekräftelse till kundens folkbokföringsadress, se till att kunden skickar in en kopia av id-handling, eller motsvarande.
41
svårigheter som det går att förstå vad som menas med att något motsvarar en avancerad elektronisk underskrift utan att faktiskt vara det.
E-legitimationer utgör en viktig delkomponent i skapandet av en avancerad elektronisk underskrift. Detta eftersom e-legitimationen både används för att identifiera användaren och för att med hög grad av tillförlitlighet säkerställer att underskriften används uteslutande under egen kontroll. En e-legitimation säkerställer däremot inte integriteten av de uppgifter som skrivits under på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. För att det sista rekvisitet i artikel 26 eIDAS-förordningen ska vara uppfyllt krävs någon form av ytterligare kontrollmekanism. En sådan kontrollmekanism kan exempelvis bestå i att ett dokument försluts genom digital signering, vilket i den analoga världen närmast skulle kunna jämföras med att ett papper placeras i ett kuvert som sedan försluts med ett sigill.145 Den digitala signeringen hindrar däremot inte dokumentet från att vara läsbart, varför jämförelsen närmast måste ändras till ett transparent kuvert för att vara rättvist. Ytterligare en metod för att säkerställa integriteten av uppgifterna som skrivits under är att använda sig av blockkedjeteknik. Sådan teknik har främst populariserats genom kryptovalutan Bitcoin, men användningsområdena är klart fler än så. Förenklat kan sägas att de underskrivna uppgifterna kan omvandlas till ett matematiskt värde. Det matematiska värdet består endast så länge som uppgifterna är helt oförändrade. Genom att föra in dokumentets värde i en blockkedja kan det oberoende av en enskild leverantör matematiskt bevisas huruvida ett dokument förändrats eller ej.146
6.3.5 Rättsfakta eller bevisfakta?
Utgjorde bevistemat avseende att svarande skulle ha använt sig av (vad som motsvarar) en avancerad elektronisk underskrift en fråga om rättsfakta eller bevisfakta? Svaret på detta är att det normalt hade rört sig om ett bevisfaktum eftersom denna omständighet endast indirekt har betydelse för frågan om låneavtalet ingåtts eller inte. Emellertid fastslog Högsta domstolen att användandet av (vad som motsvarar) en elektronisk avancerad underskrift medför en presumtion om att ett låneavtal har ingåtts, om inte den påstådda låntagaren lyckas göra antagligt att den avancerade elektroniska underskriften (eller motsvarande) obehörigen har nyttjats av någon annan. Det går då att fråga sig om Högsta domstolen anser att frågan om en avancerad elektronisk underskrift utgör ett så kallat processuellt rättsfaktum?147 Som
145 Jfr Ds 1998:14 s 135 f och Bengtsson s 73.
146 Lindblom Konkurrensverket s 47.
147 Nordh har presenterat modellen om processuellt rättsfaktum, men det är inte ett vedertaget begrepp. Se Nordh s 21 och 87. Se också Lindell s 622 som tycks tolka Nordh på ett annat sätt än jag gör. Lindell
42
tidigare har påpekats är en avancerad elektronisk underskrift inte en särskild teknik, utan en definition som bygger på att fyra underliggande rekvisit uppfylls. I och med att dessa underliggande rekvisit bör styrkas går det att ifrågasätta om den av HD uppställda presumtionsregeln verkligen underlättar bevisföringen. Heuman menar exempelvis att domstolens arbete knappast förenklas när domstolens måste bedöma presumerande omständigheter som bygger på ett avancerat sammansatt bevistema.148 Det kan därför funderas på om det inte är tillräckligt att låta en avancerad elektronisk underskrift få betydelse enbart för bevisvärderingen.149 En kvalificerad elektronisk underskrift är däremot enklare att bevisa och kanske mer lämplig att fungera som presumtionsgrundande omständighet. Det rimmar också väl med regeln i artikel 25.2 eIDAS om att en kvalificerad elektronisk underskrift ska ha motsvarande rättsliga verkan som en handskriven underskrift, särskilt om man likt Nordh menar att en vanlig skriftlig låneförpliktelse har en särskild presumtionsverkan, även vid invändningar om underskriftsförfalskning.150
6.3.6 Har domstolen förstått något fel?
Den valda tekniska lösningen gör att det går att säkerställa att kunden har fått upp ett meddelande i sitt BankID på mobilen151 där det står att kunden identifierar sig mot Nordea. Det går också att visa att den personliga koden har slagits in i detta identifieringsförfarande. Däremot går det inte ensamt utifrån dessa uppgifter visa vad kunden har sett på sin datorskärm eller att kunden överhuvudtaget varit medveten om att förfarandet använts för att identifiera kunden mot 4Finance. Det går än mindre att ensamt utifrån dessa uppgifter säkerställa att kunden därefter har valt att skriva under en låneförpliktelse med 4Finance. Inte heller går det, utifrån den skriftliga bevisning som presenterats i målet, att dra några slutsatser om på vilket sätt låneavtals integritet har säkerställts, det vill säga att det inte förvanskas efter underskrift. Det kan ha framkommit sådana uppgifter som gör att HD ändå anser det vara visat att låneförpliktelsen skulle ha skrivits under av kunden, men dessa omständigheter redovisas i sådana fall inte i domskälen.
skriver att ”enligt Nordh visar detta att frågan om ett skuldebrev är förfalskat inte kan vara ett rättsfaktum. Men, om gäldenären inte påstår och försöker bevisa att fordringsförhållandet uppkommit på annat sätt, är då inte skuldebrevet i detta mål ett rättsfaktum?”
148 Heuman (2005) s 115.
149 Jfr Heuman (2005) s 113.
150 Se diskussion i avsnitt 3.1 om vem som har bevisbördan vid påstådd underskriftsförfalskning.
151 Observera att det är något oklart om det faktiskt var BankID eller koddosa som användes. Enligt domskälen tycks det vara BankID, men enligt en inlaga från käranden var det en koddosa som använts. I samma inlaga bygger käranden dock sina argument på BankID:s förträfflighet. Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 10.
43
Det bör också påpekas att 4Finance i en inlaga till Högsta domstolen varnar för att Högsta domstolens avgörande, om det skulle vara till nackdel för 4Finance, kan ödelägga den digitala marknaden och till råga på allt göra att 5,8 miljoner skattedeklarationer per år kan komma att ifrågasättas.152 Om HD tog detta större samhällsperspektiv i beaktande är det inte svårt att se varför gäldenären blev ett litet offer att offra på kreditlivets altare.153 Att tydligt skilja på bra och dåliga tekniska lösningar torde emellertid enligt mig snarare få den motsatta effekten, nämligen att förtroendet för elektroniska underskrifter ökar.
Min bedömning är också att Högsta domstolen inte tydligt har redogjort för hur 4Finance lyckades visa att den tekniska lösningen utgjorde en avancerad elektronisk underskrift och att detta är en klar brist i domskälen. Inte heller de avtalsrättsliga aspekterna kring avsikt och bundenhet berördes.154 Att HD på detta sätt slirar på formuleringarna och att en e-legitimation blir något som först motsvarar skapandet av en avancerad elektronisk underskrift för att därefter anses vara en avancerad elektronisk underskrift skapar ett dåligt prejudikat. Att låga krav ställs på de omständigheter som ska påvisas för att det ska anses styrkt att en avancerad elektronisk underskrift har använts skapar en rättsosäkerhet och riskerar att slå undan benen för högkvalitativa tekniska lösningar. I förlängningen riskerar detta prejudikat att ha en negativ inverkan på förtroendet för elektroniska underskrifter som sådana. Avgörandet äventyrar därmed att målet med eIDAS-förordningen uppnås.
6.3.7 Senare tillämpning av HD:s praxis
Det har kommit en uppsjö av avgöranden från underinstanserna i svallvågorna av NJA 2017 s 1105. Jag har granskat en handfull av dessa domar, samt i vissa delar den bevisning som lämnats in av kärandena till stöd för att en avancerad elektronisk underskrift eller motsvarande har använts.155 En generell iakttagelse från dessa domar är att domstolarna i domskälen inte problematiserar på vilket sätt käranden lyckas visa att den underskrift som använts är en avancerad elektronisk underskrift. Domstolarna tycks utgå från att det rör sig om en avancerad elektronisk underskrift så snart BankID i någon mån har nyttjats. Någon närmare genomgång av huruvida alla rekvisit för en avancerad elektronisk underskrift är
152 Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 10 s 7. Observera att detta är samma avgörande vars referat återfinns i NJA 2017 s 1105.
153 Jfr Lindell s 616.
154 Jfr SOU 2019:14 s 143.
155 Göta hovrätt, dom 2019-12-12, mål nr FT 1589-19, Göta hovrätt dom 2019-12-12, mål nr FT 1590-19, Göta hovrätt, dom 2019-12-12, mål nr T 1591-1590-19, Attunda tingsrätt, dom 2020-09-08, mål nr T 6092-19, Malmö tingsrätt, dom 2020-07-06, mål nr T 1957-20, Södertörns tingsrätt, dom 2021-01-21, mål nr T 11532-20, Uppsala tingsrätt, dom 03-04, mål nr T 1698-19, Växjö tingsrätt, dom 2020-05-29, mål nr T 5247-19.
44
uppfyllda görs inte. Alla genomgångna domar refererar till NJA 2017 s 1105, men få gör alltså en konkret prövning av det första ledet i Högsta domstolens formel.
Det bör än en gång påminnas om att BankID är en e-legitimation och inte en elektronisk underskrift. En e-legitimation i en av de högre tillitsnivåerna är normalt en nödvändig beståndsdel i en avancerad elektronisk underskrift, men den är inte i sig tillräcklig för att en avancerad elektronisk underskrift ska ha skapats. En jämförelse från den analoga världen skulle återigen kunna vara på sin plats. Om en person går in och identifierar sig på ett bankkontor med sitt id-kort går det att dra slutsatsen att personen har befunnits sig på bankkontoret vid den angivna tiden, men det går inte att utan ytterligare information dra några slutsatser om vilka eventuella förpliktelser som har ingåtts av personen vid besöket på bankkontoret. Om banken sedan påstår att personen har ingått en låneförpliktelse vid besöket bör banken kunna uppvisa någon form av dokumentation kring detta. Skulle det visa sig att banken har valt en teknisk lösning som innebär att kunden skriver under på en whiteboardtavla istället för på papper bör det tas med i domstolens bedömning att det är lätt att sudda ut och ändra innehållet på en whiteboardtavla utan att det upptäcks. På motsvarande sätt bör en domstol ta i beaktande om banken har valt en teknisk lösning som innebär att den elektroniska låneförpliktelsen inte har förseglats genom digital signering efter underskrift.156