Särskilt klandervärt handlande 31

När ett grovt oaktsamt agerande är konstaterat, övergår ARN till att behandla frågan om kontohavarens agerande är att anse som en kvalificerad form av oaktsamhet och därmed ett handlande som varit särskilt klandervärt. Sett till ARNs praxis blir den bedömning som lagstiftaren påvisar, det vill säga en sammanvägning av miljö, situat- ion, kontohavarens möjlighet att freda sig och personliga omständigheter, oftast inte aktuell förrän vid bedömningen kring ett eventuellt särskilt klandervärt agerande. Något som är särskilt klandervärt bör av ordalydelsen förstås som något som är syn-

32 nerligen förkastligt och ur ett juridiskt perspektiv grövre än grov oaktsamhet. Lag- stiftaren menar att ett särskilt klandervärt handlande varit för handen när kontohava- ren varit närmast likgiltig inför risken för obehöriga transaktioner och när det vore stötande om banken fick stå för någon del av den ekonomiska skadan. I de redovi- sade besluten där kontohavarens handlande bedömts som särskilt klandervärt är det tydligt att det har krävts att ARN genomfört en unik bedömning i varje enskilt fall. Varje tvist grundar sig på olika bedrägerisituationer och olika omständigheter har lagts till grund för att kontohavarens handlande bedömts som särskilt klandervärt. Genom framställningen har det blivit tydligt att vissa omständigheter återkommande påverkar bedömningen om när en kontohavare ska stå för den ekonomiska skadan som uppkommit till följd av ett vishingbedrägeri.

5.4.2.1 Situation

Något som nästintill alltid behandlas av ARN är vilken situation som kontohavaren har befunnit sig i. Resonemanget i den första redovisade tvisten tyder på att ARN har ett striktare förhållningssätt om kontohavaren inte befunnit sig i en pressad situation, än om kontohavaren varit i en situation som ansetts som pressande, vilket enligt min mening är rimligt. Förmågan att dra logiska slutsatser skulle i viss mån kunna påver- kas om kontohavaren är pressad, vilket då också skulle kunna påverka kontohavarens förmåga att förstå att ett bedrägeri varit förestående. Dessutom är det rimligt att högre krav ställs på vilka handlingar kontohavaren företagit för att ta reda på vem som ringt och av vilken anledning, om kontohavaren inte befunnit sig i en pressad si- tuation. I de redovisade besluten där kontohavarnas handlande bedömts som grov oaktsamhet men inte särskilt klandervärt handlande har ARN bedömt att samtliga kontohavare befunnit sig i en pressad situation. ARNs beslut ger dock ingen tydlig vägledning kring vad som faktiskt är att anse som en pressad situation. I vissa beslut har ARN ansett att kontohavaren befunnit sig i en pressad situation om denne lurats att tro att ett bedrägeri varit för handen men i andra avgöranden har ARN ansett att ett föreslaget bedrägeri inte alltid innebär en pressad situation. Vad ARN har vägt in i dessa bedömningar har inte gått att utläsa av nämndens skäl, vilket gör det mycket svårt att avgöra hur ARN värderat omständigheterna och vad som varit avgörande för de olika bedömningarna. Av de redovisade besluten går det dock att utläsa att även om ARN konstaterat kontohavaren befunnit sig i en pressad situation så är det inte ursäktande per definition. I beslutet där samtalet mellan kontohavaren och bedraga- ren varat i tre timmar, ansåg ARN att kontohavaren befunnit sig i en pressad situat- ion. Eftersom bedrägeriet varade under en så lång tid ansåg ARN dock att kontoha- varen borde hunnit förstå att ett bedrägeri varit för handen även om situationen varit pressad.

5.4.2.2 Tillvägagångssätt

Genom framställningen framgår det tydligt att bedragarens tillvägagångssätt kan på- verka bedömningen kring om kontohavaren ska stå för den ekonomiska skada som uppkommit genom ett vishingbedrägeri. I de redovisade besluten där kontohavarnas handlanden bedömts som grovt oaktsamma men inte särskilt klandervärda kan minst

33 ett tydligt gemensamt drag skådas. I samtliga situationer har bedrägeriet framstått som trovärdigt. Bedragaren har exempelvis haft personlig information om tillståndet hos kontohavarens närstående och om kontohavarens relationer till andra företag. Bedragarna har också genomfört bedrägeriet i flera steg där de utgett sig för att vara olika personer vid samtal med samma person, för att kunna bekräfta sina egna upp- gifter och på det sättet göra bedrägeriet trovärdigt. I ett av de redovisade besluten har bedragaren fått det att se ut som att denne ringde från bankens egna telefonnummer, vilket gjorde att kontohavaren inte hade någon anledning att misstro bedragarens in- formation om att denne ringde från banken. Bedömningen kring om kontohavaren ska bära ansvaret blir en avvägning kring hur mycket kontohavaren förstått eller borde förstått. Alla de redovisade besluten där kontohavaren fått delvis rätt i ARN ger, enligt min åsikt, stöd för att ett trovärdigt händelseförlopp talar för att kontoha- varen inte ska lastas för den ekonomiska förlusten som uppkommit till följd av be- drägeriet. Om kontohavaren inte rimligtvis kunnat förstå att ett bedrägeri varit för handen, är det inte heller rimligt att kontohavaren ska få stå för hela skadan, enligt min mening.

På samma sätt som ett trovärdigt händelseförlopp verkar förmildrande för kontohava- ren bör kontohavarna i en större utsträckning bära ansvaret vid en bedrägerisituation som varit osannolik eller uppseendeväckande, enligt min åsikt. ARN har i sina avgö- randen konstaterat att det inte krävs att kontohavaren har förstått att ett bedrägeri va- rit för handen, utan att det räcker med att kontohavaren utifrån ett normalt aktsam- hetsperspektiv borde ha förstått eller fattat misstankar om att ett bedrägeri varit för handen. Värdering kring om händelseförloppet varit osannolikt måste göras tillsam- mans med bedömningen kring vilken situation kontohavaren befunnit sig i, vilket framgår tydligt i de redovisade besluten. Jag anser dock att det ofta blir en skälig- hetsbedömning kring vad en kontohavare kan förväntas förstå i allmänhet. Exempel- vis att det är orimligt att ett företag kan ha tillgång till information om kontohavarens konton med tanke på att sekretess råder i all bankverksamhet, eller att det inte är lo- giskt att en kontohavare kan få tillbaka pengar genom att göra överföringar via Swish till en annan person. Enligt min åsikt, vilket också finner stöd både i de redovisade besluten och i tvisterna som tas upp i den djupgående redogörelsen, är det skäligt att förvänta sig att varje kontohavare som använder betalningsinstrument förstår sådana saker som till viss del ter sig uppenbara. Därav ska kontohavaren, enligt min mening, inte ursäktas bara för att denne varit i en pressad situation, utan bankerna bör kunna kräva ett visst konsekvenstänkande av en kontohavare, trots att denne exempelvis trott att ett bedrägeri varit för handen.

5.4.2.3 Information

Vilken information kontohavaren haft tillgång till före och under bedrägeriet kan i viss mån påverka ansvarsbedömningen. ARN har i sina avgöranden konstaterat att bankernas allmänna information om bedrägerier av det här slaget bör bidra till en större kunskap och förståelse och att högre krav därmed kan ställas på vad kontoha-

34 varen borde ha förstått. Däremot har ARN inte gett allmän information om bedräge- rier någon avgörande roll i ansvarsbedömningen. Bankerna har givit kontohavarna specifik information om hur bankerna agerar och varnat sina kontohavare för att be- dragarna kan utge sig för att ringa från kontohavarens bank. I samtliga redovisade avgöranden är det tydligt att bedragarna använder sig av skilda tillvägagångssätt och genom att förändra tillvägagångssätten har bedragarna sett till att den information som kontohavarna fått av sin bank inte omfattar alla fall. Även om det är omöjligt att konstatera vad varje individ i varje enskild tvist tagit del av för information, så bör ARN enligt min mening kunna ställa krav på att kontohavarna har en hög grundkun- skap, när information om vishingbedrägerier finns att tillgå på många olika sätt. Något som givits större inverkan på ARNs bedömningar har varit den information som visas på skärmen vid användning av exempelvis mobilt BankID. Kontohavarna har i många fall anfört att någon säkerhetsinformation inte visats, att denne inte för- stått vad som stått eller helt enkelt inte läst informationen. ARNs praxis kring värde- ring av den här typen av omständighet är inte koherent och har tydligt förändrats över tid. Skälen för den förändrade attityden från ARNs sida saknas. Det finns en re- levans i att det inte är möjligt att bevisa vilken information som kontohavaren fak- tiskt tagit del av, men om det är en omständighet som verkar i förmildrande riktning för kontohavaren finns ingen anledning för bankerna att tillhandahålla den här typen av säkerhetsinformation, då det inte spelar någon roll om informationen funnits eller inte ur ett ansvarsperspektiv. ARNs senare beslut där det faktum att säkerhetsinform- ation tillhandahållits strikt läggs kontohavaren till last oavsett hur stor del kontohava- ren tagit del av, har enligt min mening bäring då bedrägerier i många fall skulle kunna stoppas eller helt förhindras om kontohavarna haft tillräcklig sinnesnärvaro i en bedrägerisituation för att faktiskt läsa, förstå eller i vart fall ifrågasätta varför sä- kerhetstexten i många fall inte överensstämmer med den handling som bedragaren förmår kontohavaren att genomföra.

5.4.2.4 Personliga omständigheter

Lagstiftaren har framfört att personliga omständigheter kan påverka ansvarsbedöm- ningen vid obehöriga transaktioner. I de redovisade besluten har kontohavare anfört att personliga omständigheter, så som exempelvis bristande språkkunskaper, medici- nering och sjukdomstillstånd, bör verka förmildrande. ARN har i samtliga aktuella fall beslutat att de personliga omständigheterna inte kunnat ursäkta kontohavarens handlande. Det går inte i något fall att läsa hur ARN har resonerat kring besluten. Vilka personliga omständigheter som kan bli relevanta för en ansvarsbedömning kan inte anses klarlagt. Enligt min mening går det inte heller att slå fast hur dessa om- ständigheter skulle kunna påverka bedömningen. ARN har inte exemplifierat vilka omständigheter som ska tas i beaktning eller hur en bedömning kring personliga om- ständigheter ska göras.

Lagstiftarens enda exempel på en relevant personlig omständighet är ålder. Att ålder kan ha relevans framstår enligt min mening som logiskt, speciellt i tvister gällande

35 vishingbedrägerier. Enligt uppgifter från Polismyndigheten är cirka 70 procent av de som utsätts för vishingbedrägerier 70 år eller äldre.114 Vishingbedrägerier genomförs som bekant med hjälp av kontohavarnas internetbank eller andra internetbaserade tjänster, där äldre som vuxit upp i en värld utan dagens utvecklade teknik utan tvivel måste ses som mer sårbara. ARN har återkommande behandlat ålder som en faktor som påverkar kontohavarens ansvar vid obehöriga transaktioner, men någon kohe- rens kan inte uttydas. I några av de redovisade besluten där kontohavarna fått delvis rätt har åldern tagits upp som en bidragande faktor till att kontohavarens handlande inte skulle anses som särskilt klandervärt. I flera av de senare återgivna tvisterna har kontohavarna själva anfört deras ålder som en omständighet som bör anses som förmildrande. I dessa har ARN i sina skäl inte ens diskuteras kontohavarens ålder, så det är inte möjligt att utläsa av vilken anledning som ARN inte lagt någon vikt vid åldern i just dessa bedömningar. Vid samtliga aktuella tvister var kontohavarna om- kring 80 år, men det kan alltså inte överlag tolkas som en förmildrande omständig- het. Kunskapen kring vishingbedrägerier bör utan stöd i någon statistik kunna bedö- mas som större idag än för några år sedan, men det innebär givetvis inte att alla har kunskapen som krävs för att freda sig mot ett förestående bedrägeri, varpå bedöm- ningen av kontohavarens ålder bör göras unik i varje fall. Om ARN är av åsikten att hög ålder, eller någon annan personlig omständighet, generellt ska anses utgöra en förmildrande omständighet krävs ett mycket tydligare ställningstagande från ARNs sida, för att även bankerna ska ha en koherent tillämpning på området.

5.4.2.5 Antalet gånger kontohavaren agerat på uppmaning av bedragaren

En omständighet som väger tungt och blir relevant i nästintill alla tvister är antalet gånger kontohavaren agerat på uppmaning av bedragaren. Både i de redovisade be- sluten men också den fördjupade redogörelsen framgår det tydligt att det här är en omständighet som ARN lägger mycket vikt vid och som ofta blir avgörande för att kontohavarens handlande ska bedömas som särskilt klandervärt. Vilket betalningsin- strument som kontohavaren har använt har ingen relevans, utan det är det faktum att kontohavaren på ett eller annat sätt agerat på uppmaning av en bedragare som är av- görande. Vid varje tillfälle som kontohavaren upprepar agerandet så strider hand- lingen mot både lag och villkor, varpå det enligt min mening är rimligt att bedöma 19 villkorsbrott strängare än bara ett. Det är således logiskt att risken för att en kontoha- vares handlande ska bedömas som särskilt klandervärt ökar för varje aktiv handling som inneburit ett brott mot lag och villkor, vilket är en slutsats som klart kan tydas ur ARNs praxis. ARN har dock inte givit ett tydligt uttryck för att ett visst antal ageran- den alltid innebär ett särskilt klandervärt handlande, men enligt beslut från ARN kan tre aktiva åtgärder från kontohavaren vara tillräckligt för att handlandet ska anses som särskilt klandervärt.

114 _{Polisen, Antalet fullbordade bedrägerier mot äldre halverade, https://polisen.se/aktuellt/ny-}

36 5.4.2.6 Likgiltighet

Lagstiftaren likställer ett särskilt klandervärt handlande med att kontohavaren varit närmast likgiltig inför risken för att en obehörig transaktion kunde ske. När är då en kontohavare att anse som närmast likgiltig inför risken för obehöriga transaktioner? Enligt min mening finns inget rakt svar. Vid en sammanlagd bedömning av ARNs avgöranden blir det tydligt att en likgiltighetsbedömning oftast görs som en samman- vägning av samtliga aktuella omständigheter, vilket mynnar ut i en avslutande be- dömning kring om kontohavaren ska stå för den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri. Om bedrägerisituationen präglats av flera faktorer som alla verkar i försvårande riktning för kontohavaren har ARN oftare funnit att kontohavaren varit likgiltig, än i tvister där endast en försvårande omständighet varit för handen, vilket är logiskt. Det är exempelvis svårt att dra slutsatser om en konto- havare varit likgiltig i en situation där en kontohavare endast vid ett enstaka tillfälle agerat på uppmaning av en bedragare. Under stress eller med anledning av okunskap är det inte alltid lätt att direkt uppfatta att ett bedrägeri är för handen. Om kontohava- ren istället under en lång tidsperiod aktivt vid ett flertal tillfällen genomfört hand- lingar på uppmaning av en annan person utan att kontrollera bedragarens identitet, ifrågasätta syftet och inte minst fatta misstankar om att ett bedrägeri skulle kunna vara för handen, tyder det på att kontohavaren måste varit till viss del likgiltig inför vad agerandet skulle kunna komma att få för konsekvenser.

I det första redovisade beslutet där kontohavarens handlande bedömts som särskilt klandervärt, men även i flera av de fall som använts för den fördjupande redogörel- sen av omständigheter som ARN beaktat, har ARN använt ett stycke text som skild- rar ARNs praxis för vad som är ett särskilt klandervärt handlande. I texten beskrivs att kontohavaren handlat på ett särskilt klandervärt sätt om kontohavaren varit närm- ast likgiltig eller passiv inför risken för obehöriga transaktioner.115 Passiv är inget be- grepp som förekommer i lagstiftning eller förarbeten. Det är svårt att definiera precis vad begreppen närmast likgiltig och passiv består i, men enligt min mening har be- greppen i vart fall inte identisk betydelse. Enligt min åsikt blir det än en gång otyd- ligt från ARNs sida vad som faktiskt tas i beaktning vid beslutsfattandet. Det är otyd- ligt om ARN anser att begreppen avser samma sak och om inte saknas någon redogö- relse för vad en kontohavares passivitet kan bestå i. Avsaknad av konsensus bidrar till otydlighet, då det varierar från beslut till beslut vilken formulering som används. Ibland beskrivs en kontohavare som handlat särskilt klandervärt som närmast likgil- tig, ibland endast passiv och ibland både och. Här frångår ARN det som framgår ge- nom lagstiftning och förarbeten, varpå det vore högst lämpligt med en tydlig redogö- relse för vilket förhållningssätt ARN har.

Det är inte möjligt att dra en generell slutsats kring när en kontohavare varit närmast likgiltig inför risken för obehöriga transaktionen och därmed handlat på ett särskilt                                                                                                                

115 _{Se t.ex. ARN 2018-16024, ARN 2019-00638, ARN 2018-17772, ARN 2019-00609 och ARN}

37 klandervärt sätt, då likgiltighetsbedömningen görs unik i varje fall. Lagstiftaren an- såg att rekvisitet inte krävde någon närmare definition vid reformeringen i samband med andra betaltjänstdirektivet. Enligt min mening är definitionen inte tillräcklig för att säkerställa att tillämpning sker i enlighet med lagstiftarens avsikt. Syftet med lag- stiftningen och åläggande av ansvar på kontohavaren är att avskräcka kontohavare från att åsidosätta sina skyldigheter enligt lag. För att lagstiftningen ska verka all- mänpreventivt är det viktigt att lagstiftningen är tydlig så att kontohavarna förstår vad de riskerar vid ett eventuellt åsidosättande av sina skyldigheter, vilket lagstift- ningen inte åstadkommer enligt min mening. Lagstiftaren har vid flera tillfällen fått chansen att utveckla och förtydliga vilka handlingar som ska ses som särskilt klan- dervärda, men har valt att avstå från revidering vilket tyder på att lagstiftaren inte de- lar min åsikt, alternativt att lagstiftaren bedömer att det inte finns någon möjlig insats för att åtgärda bristen.

5.4.2.7 Omständigheter som inte behandlats

Genom framställningen blir det tydligt att ARN återkommande behandlar liknande omständigheter i sina beslut. Vid genomläsning av beslut från ARN har två olika aspekter identifierats, som enligt min mening skulle kunna bli relevanta vid bedöm- ning av om en kontohavare ska stå för den ekonomiska skada som uppkommit till följd av ett vishingbedrägeri. En aspekt som ARN inte har tagit upp i något av de re- dovisade besluten är vilket betalningsinstrument som kontohavaren använt. De van- ligast förekommande betalningsinstrumenten är troligtvis BankID och säkerhetsdosa. Om kontohavaren använder sig av säkerhetsdosa vid ett vishingbedrägeri krävs att kontohavaren lämnar ut koder för att bedragaren ska kunna genomföra bedrägeriet. Om kontohavaren använder BankID lämnas inga koder ut, utan kontohavaren möj- liggör inloggning åt bedragaren i kontohavarens internetbank elektroniskt genom att kontohavaren själv slår sin kod. Vid användande av BankID gör elektroniken dock det möjligt att varna eller informera kontohavaren, något som inte är möjligt vid an- vändning av säkerhetsdosa.

Att det vid användning av BankID framgår i klartext vad som är på väg att ske, me- dan användande av säkerhetsdosa förutsätter att kontohavaren förstår hur säkerhets- dosan sammankopplar med internetbanken elektroniskt bör exempelvis kunna ha viss inverkan på vad ARN kan förvänta sig att kontohavaren har förstått. Enligt min me- ning är det rimligt att utgå från att varje användare av BankID tar del av den inform- ation som står, medan jag ställer mig mer tveksam till om varje kontohavare faktiskt förstår hur användning av säkerhetsdosa fungerar. Givetvis bör varje kontohavare som använder en säkerhetsdosa sätta sig in i hur den fungerar, men i ett realistiskt perspektiv är jag tveksam till om varje kontohavare verkligen blir tillräckligt infor-