458 Marianne Rødvei Aagaard SvJT 2023 konsumenträttens område eller skriver lagkommentarer till konsumenträttslig lagstiftning. Beslut fattas vid ett sammanträde där antingen ARN:s chef eller en av dessa externa beslutsfattare är ordförande för nämnden, som i övrigt består av två representanter från näringslivet och två representanter från konsumentorganisationer. Vid prövning av bankärenden utses dessa representanter av exempelvis Svenska Bankföreningen, Finansbolagens Förening, Konsumentverket och Sveriges Konsumenter.
    Ibland prövar ARN ärenden i utökad sammansättning. Då deltar tre domare i stället för en i beslutsfattandet, varav en alltid är ARN:s ordförande eller vice ordförande. I utökad sammansättning prövas tvister som anses vara av särskild betydelse för myndighetens rättstillämpning eller annars är av särskild vikt. De nio avgörandena från november 2022 avgjordes i utökad sammansättning.

2 HD:s dom ”BankID-bedrägeriet”
När man ska beskriva ARN:s verksamhet och hantering av ärenden gällande obehöriga transaktioner idag, är det lämpligt att ta avstamp i HD:s dom i ”BankID-bedrägeriet”. Domen har av vissa ansetts innebära inget mindre än en revolution i ansvarsfördelningen mellan kund och bank vid bedrägerier.5 Även om alla kanske inte vill gå så långt som att tala om en revolution, är det klart att HD:s klargörande av var gränsen mellan vad som är grovt oaktsamt och vad som är särskilt klandervärt går, innebär en viss förskjutning i förhållande till hur såväl ARN som underinstanserna tidigare har tolkat lagstiftningen. Det kommer också att påverka bedömningen av var gränsen mellan vad som är oaktsamt och grovt oaktsamt ska gå.6 Eftersom oaktsamhetsgraden är avgörande för om kunden ska betala endast en självrisk på 400 kronor eller 12 000 kronor, eller ansvara för hela beloppet som förts över genom obehöriga transaktioner, har denna gränsdragning stor praktisk betydelse.7 Inför att HD:s dom skulle meddelas valde ARN att avvakta med att fatta beslut i en del ärenden som gällde ansvarsfördelningen vid obehöriga transaktioner. När domen kom i juni 2022 fanns det därmed ett antal väntande ärenden. Mellan den 22 juni 2022 (dagen efter HD:s dom) och slutet av november 2022 fick ARN in ungefär 550 ärenden om obehöriga transaktioner. Som en jämförelse kom det under motsvarande period 2021 in lite drygt 100 ärenden. Ökningen var särskilt tydlig under oktober och november 2022, men har fortskridit även därefter.

5 Se Konsumentombudsmannens text ”Bankerna måste börja ersätta offren för bedrägerier” på DN Debatt den 27 november 2022. 6 I de nio novemberbesluten ansågs kundens beteende ha varit (som minst) grovt vårdslöst. Genom sina senare beslut i december 2022, ARN 2022-03446, ARN 202116194, ARN 2021-18725, ARN 2022-00229 och ARN 2021-16636 har ARN börjat identifiera vad som inte ens når upp till den nedre gränsen för grov vårdslöshet. 7 Se 5a kap. 2 och 3 §§ betaltjänstlagen.

SvJT 2023 ARN och obehöriga transaktioner 459 3 ARN:s nio novemberbeslut
3.1 Behovet av ytterligare vägledning
Den 9 november 2022 meddelade ARN beslut i nio ärenden som rörde obehöriga transaktioner. Det var fråga om nio olika varianter på bedrägerier som är vanligt förekommande i de anmälningar som inkommer till ARN.
    Någon kanske undrar varför tvisterna prövades i utökad sammansättning när HD redan och dessutom alldeles nyligen hade klargjort rättsläget. HD:s dom hade utan tvekan bidragit till ett klargörande, men det var endast ett fall som prövades. Även om HD i och för sig lade fram en metod för hur prövningen ska gå till, är det alltid omständigheterna i det enskilda fallet som blir avgörande för utgången. Behovet av ytterligare vägledning fanns alltså kvar även efter HD:s dom.
    Det riktades också tidigt en del kritik mot HD:s domskäl, bland annat för att HD radade upp en del omständigheter som kan få betydelse för bedömningar i enskilda fall, men som sedan inte på ett tydligt sätt tillämpades vid bedömningen av det aktuella fallet.8 HD uttalade också lite svepande, efter att domstolen kommit fram till att det inte hade varit fråga om ett särskilt klandervärt beteende, att kundens förfarande hade varit grovt oaktsamt. Det var inte klart om den aktuella situationen var ett ”typfall” av grov oaktsamhet, om beteendet var precis under gränsen för vad som är särskilt klandervärt eller var på skalan det annars skulle placeras. Det fanns mot denna bakgrund ett stort värde i att pröva fler tvister där den metod som HD lade fram i sin dom tillämpades på ett antal olika typsituationer som är vanligt förekommande i ARN.

3.2 Nio olika situationer
De nio avgörandena representerar alltså ett antal olika situationer. Kortfattat kan de beskrivas enligt följande.
    I fall 1 blev anmälaren uppringd av en man som utgav sig för att ringa från hennes bank. Bankdosan användes.9 I fall 2 blev anmälaren uppringd av en person som utgav sig för att ringa från ett inkassobolag på grund av en obetald faktura som hon påstods ha. Personen fick henne att tro att hon hade blivit utsatt för en identitetskapning och sa att han skulle koppla henne vidare till hennes banks säkerhetskontroll. Personen fick henne att använda bankdosan.10 I fall 3 blev anmälaren uppringd av en person som påstod sig ringa från hans bank och som sa att han precis hade blivit utsatt för ett bedrägeri. Personen sa också att banken var tvungen att spärra hans

8 Se exempelvis Aagaard, BankID-bedrägeriet, JT 2022–23 s. 63–80. 9 ARN 2022-03339. 10 ARN 2021-16843.

460 Marianne Rødvei Aagaard SvJT 2023 konto och att en representant för banken skulle komma hem till honom och hämta hans bankkort och kod.11 I fall 4 fick anmälaren ett sms som såg ut att komma från banken; det innehöll bland annat bankens logga och informationen verkade seriös. I sms:et stod det att banken misstänkte obehörig aktivitet på hans konto och att han uppmanades kontakta banken snarast på ett angivet telefonnummer. Han ringde upp numret och en person svarade i påstådd egenskap av bankens spärrservice. Mannen använde sin bankdosa och lämnade ut koder.12 I fall 5 blev anmälaren uppringd av en person som uppgav att han ringde från hennes banks säkerhetstjänst. Mannen lät mycket trovärdig och uppgav att någon höll på att få tillgång till hennes konto och ta ut hennes pengar. Mannen bad henne lämna ut kortuppgifter och koder för att lösa problemet.13 I fall 6 blev anmälaren uppringd av en person som utgav sig för att ringa från hennes bank. Mannen påstod att banken hade observerat att det pågick ett bedrägeriförsök på hennes konto och bad henne att ta fram sin bankdosa, som sedan användes.14 I fall 7 fick anmälaren ett sms som såg ut att komma från hans bank med information om att han behövde beställa ett nytt BankID, eftersom banken misstänkte bedräglig aktivitet på hans konto. Han ringde numret som stod i sms:et och kom, som han uppfattade det, till bankens växel. Mannen lurades till att ladda ner ett program som gav den utomstående möjlighet att fjärrstyra hans dator, samtidigt som han förmåddes att skapa ett nytt BankID.15 I fall 8 blev anmälaren uppringd av en man som felaktigt utgav sig för att ringa från anmälarens teleoperatör. Han lurades till att tro att han skulle tillgodoräknas en seniorrabatt och att han behövde logga in på sin internetbank för att där godkänna utbetalningen genom att legitimera sig med sitt BankID.16 I fall 9 kom anmälaren via en bostadsgrupp på Facebook i kontakt med en kvinna som hyrde ut en lägenhet. Kvinnan påstod att hon ville ta en kreditupplysning på anmälaren och i samband med detta uppmanade kvinnan anmälaren att skanna en QR-kod som BankID:et hade genererat.17

11 ARN 2021-19593. 12 ARN 2022-01950. 13 ARN 2022-02184. 14 ARN 2021-12666. 15 ARN 2022-03828. 16 ARN 2022-04140. 17 ARN 2022-03987.

SvJT 2023 ARN och obehöriga transaktioner 461 3.3 Om ARN:s prövningsordning
Det var i samtliga fall fråga om obehöriga transaktioner, vilket ARN inledde med att konstatera. ARN prövade därefter frågan om kontohavaren hade varit oaktsam i någon grad och denna prövning gjordes utifrån bankernas invändningar, vilket innebar att nämnden började med att pröva om kontohavaren hade varit särskilt klandervärd.
    Rent allmänt kan man säga att kontohavarens ansvar aktualiseras i tre situationer. Den första är om kontohavaren har varit medveten om att de obehöriga transaktionerna skulle komma att ske. Kunden har då agerat bedrägligt och haft uppsåt i förhållande till de obehöriga transaktionerna, typiskt sett i samråd med bedragaren. Att agerandet varit särskilt klandervärt och att kunden ska bära förlusten i dessa fall står klart. Den andra är om kontohavaren har agerat medvetet oaktsamt. Detta innebär att kunden varit medveten om risken för de obehöriga transaktionerna men ändå gjort som bedragaren har begärt. Också i dessa fall har agerandet varit särskilt klandervärt. Den tredje är om kontohavaren har agerat omedvetet oaktsamt. Kunden har alltså inte varit medveten om risken för de obehöriga transaktionerna, men borde ha insett denna. I denna situation har agerandet inte varit särskilt klandervärt, men det kan ha varit grovt oaktsamt.
    Den första situationen, det vill säga de bedrägliga fallen, är sällan aktuella. Vad ARN normalt sett har att bedöma är alltså om kontohavaren har agerat medvetet eller omedvetet oaktsamt. Att skilja de medvetet från de omedvetet oaktsamma fallen är inte alldeles lätt. Det är exempelvis svårt att föra bevisning om vad en person faktiskt har insett, och detta är även svårt att i realiteten bedöma.18 Det är därför nästan ofrånkomligt att man måste falla tillbaka på mer eller mindre objektiverade bedömningar. Detta har HD också uttalat och det blir särskilt tydligt i ARN:s praxis. Detta gäller alltså både för att bedöma om det är fråga om ett särskilt klandervärt agerande och om det är grovt oaktsamt. Det förhållandet att bedömningen i båda fallen blir i någon mån objektiverad anses också vara en ofrånkomlig följd av att aktsamhetsnormen är just en norm, även om den mer exakta innebörden av den kan variera från fall till fall.
    För ARN:s del finns det dessutom kanske ett särskilt behov av objektiverande eftersom någon muntlig bevisning inte förekommer, och möjligheten till att lägga mer individuella förhållanden till grund för att avgöra exempelvis vad någon faktiskt insåg om risken för obehöriga transaktioner är mer begränsad. Vid en sådan objektiverad bedömning får det särskild betydelse till vem kontohavaren uppfattade att den personliga behörighetsfunktionen lämnades ut.
    När man väl har bestämt om kontohavarens handlande ska bedömas som medvetet eller omedvetet oaktsamt kommer man till nästa led i

18 Se närmare Heuman i SvJT 2023 s. 470.

462 Marianne Rødvei Aagaard SvJT 2023 prövningen. Om agerandet har varit medvetet oaktsamt måste man ta ställning till om det finns några omständigheter som talar emot att bedöma agerandet som särskilt klandervärt. Olika omständigheter kan spela roll och i det här ledet kan mera personliga och specifika förhållanden få betydelse. Om agerandet i stället har varit omedvetet oaktsamt, återstår att pröva om oaktsamheten har varit grov eller inte.

3.4 ARN:s bedömning i de aktuella fallen
När det gäller de bedömningar som ARN gjorde i de nio novemberbesluten så kan de delas in i några kategorier eller grupper.
    Den första frågan som ARN:s avgöranden bygger på är vem kontohavaren tror att han eller hon har lämnat uppgifterna till. Det måste dock i detta sammanhang särskilt framhållas att fallen huvudsakligen handlat om situationer där kontohavaren muntligen har lämnat ut personliga behörighetsfunktioner till en för honom eller henne okänd person. Det handlar alltså inte om att kontohavaren exempelvis trott att hen uteslutande har legitimerat sig via sitt BankID. Detta är viktigt eftersom betydelsen av till vem behörighetsfunktionen har lämnats ut, inte kan avgöras utan att också beakta vilken behörighetsfunktion det handlar om.19 Om kontohavaren trott sig tala med en företrädare för banken, har nämnden i de nio novemberfallen haft lättare för att anse att kontohavaren också trott att personen var behörig att hantera uppgifterna. Kontohavaren har då alltså inte medvetet lämnat uppgifterna till en obehörig person. Har kontohavaren i stället trott sig ha kontakt med en utomstående organisation eller person, det vill säga någon annan än banken, har nämnden i stället gjort bedömningen att kontohavaren varit medveten om att personen inte var behörig att hantera uppgifterna. Det innebar i sin tur att nämnden ansett att det rimligen måste krävas att man inser att det finns en påtaglig fara för obehörig användning. Detta tydliga fokus på huruvida samtalet ägt rum med någon som kunden trott var banken eller inte har samband med att det handlar om användning av, och koder från, just en bankdosa.
    I en sådan situation, alltså där kontohavaren lämnat ifrån sig koder till någon som inte ens påstått sig företräda banken, är det enligt nämnden mycket som talar för att agerandet ska bedömas som särskilt klandervärt. Dock måste, som i ett av novemberärendena,20 kontohavarens personliga omständigheter beaktas. I det fallet innebar kontohavarens ålder och funktionsnedsättningar att det inte rimligen kunde krävas att han skulle inse hur stor risken faktiskt var.

19 Olika verktyg och behörighetsfunktioner har lite olika användningsområden, vilket får stor betydelse för bedömningen av situationen och till vem det för kunden kan ha verkat förnuftigt att förlita sig på. 20 ARN 2022-04140.

SvJT 2023 ARN och obehöriga transaktioner 463 I en situation där kontohavaren har trott sig tala med företrädare för banken är nästa steg i bedömningen om det kan anses utrett att kontohavaren insett risken för obehöriga transaktioner. I de fall då svaret på den frågan blivit nekande, har nämnden inte bedömt agerandet som särskilt klandervärt.
    I de fall då nämnden kom fram till att agerandet inte kunde anses vara särskilt klandervärt (vilket var i åtta av de nio fallen) gick nämnden vidare till att avgöra om det i stället skulle bedömas som grovt oaktsamt.
    Nämnden har konstaterat att det rent allmänt finns en tydlig risk med att lämna ut koder till en annan person på ett sådant sätt att man helt förlorar kontrollen över hur koderna används eller sprids. Mot den bakgrunden måste det krävas av kontohavaren att denne ifrågasätter behovet och gör vad han eller hon kan för att kontrollera vem koderna överlämnas till. Har man inte gjort det, får agerandet enligt ARN:s bedömning i normalfallet anses vara grovt oaktsamt. Vid denna bedömning kan dock också beaktas hur många koder som har lämnats ut, hur de har lämnats,21 hur pressande situationen har uppfattats och hur förslaget bedrägeriet har varit.
    Fastän det inte gällde något av de nio novemberavgörandena ska också tilläggas att ARN redan nu ser att fler fall än tidigare bedöms tillhöra den lägsta graden av oaktsamhet där kontohavaren endast behöver stå för 400 kr av det frånlurade beloppet.22

3.5 Nämndens skiljaktiga meningar
Ovan har huvuddragen i nämndens prövningsordning redovisats. Nämnden var emellertid inte enig i besluten. Samtliga ledamöter var i de flesta fall överens om utgången, alltså hur beslutet skulle bli, men motiveringarna till besluten skiljde sig åt.
    De två ledamöter som var utsedda av Svenska Bankföreningen var skiljaktiga beträffande motiveringen i sju av nio beslut och beträffande utgången i två av besluten.
    De skiljaktiga bankledamöterna ansåg att man måste utgå från att konsumenten känner till vad en kod och en svarskod används till och har för funktion, och att bara konsumenten själv är behörig att hantera koderna. Med andra ord att man känner till att alla andra personer utom du själv är obehöriga att hantera dina koder. När man då lämnar ut koder till någon annan (oavsett vem) så lämnar man avsiktligen ut koden till en obehörig person, även om denna är (eller utger sig för att vara) banktjänsteman. Man inser då även att det innebär en risk för

21 Muntligen, genom att kontohavaren själv knappat in dem, eller, som i ett av avgörandena (ARN 2021-19593), fysiskt till bedragarna som kommit hem till kontohavaren för att hämta bankkort med tillhörande kod. 22 Se exempelvis ARN 2021-18725, ARN 2021-16194 och ARN 2022-03446 som avgjordes 15 december 2022 samt ARN 2022-00229 och ARN 2021-16636 som avgjordes 30 december 2022.

464 Marianne Rødvei Aagaard SvJT 2023 obehöriga transaktioner att lämna ut koden till denna person, oavsett vem personen är.23 Med denna utgångspunkt ansåg de skiljaktiga ledamöterna att det krävs något mer som talar för att konsumenten i det aktuella fallet inte insett att personen varit obehörig. Det kan exempelvis handla om att bedrägeriet varit särskilt förslaget, att personen har hög ålder, har en funktionsnedsättning eller är ovan eller okunnig vad gäller användning av bankdosa, BankID eller liknande. Någon sådan omständighet var alltså enligt bankledamöterna nödvändig för att konsumenten inte skulle anses ha agerat särskilt klandervärt.24 I det ärende där majoriteten ansåg att kontohavaren hade varit särskilt klandervärd genom att lämna ut information till någon som hon visste inte var en banktjänsteman, var en ledamot från konsumentsidan skiljaktig.25 Ledamoten ansåg i denna situation att nämnden inte kunde konstatera att kontohavaren varit medveten om att hon lämnat ut uppgifterna till en obehörig person bara för att det inte rört sig om en banktjänsteman. Det krävdes enligt konsumentledamoten mer än så för att konstatera att man varit likgiltig inför risken för obehöriga transaktioner.
    I just detta sista fall är det för en utomstående inte alldeles lätt att få grepp om hur det hela rent faktiskt gått till. Det verkar, mot bakgrund av referatet, som om kunden dels hade lämnat ut kortnummer till ett betalkort, dels använt sitt BankID för att skapa ett nytt mobilt BankID. Fastän det kan finnas situationer då det är rimligt att förvänta sig att även någon annan än en banktjänsteman begär att man legitimerar sig, är det svårt att se hur kundens förklaring och agerandet i det aktuella fallet går ihop.
    Man kan sammanfatta det hela med att skillnaderna i bedömningarna rör vad man kan ha för underförstådda presumtioner i oaktsamhetshänseende. Bankledamöterna ställde alltså högst krav på vad kontohavaren ska känna till när det gäller hanteringen av sina koder: alla utom de själva är obehöriga att hantera deras koder och det förväntas de veta. Majoriteten ansåg att man rimligen bör känna till att man inte får lämna ut koder från en bankdosa, som alltså till skillnad från BankID endast används vid kontakter med sin bank, till någon person eller organisation utanför banken (exempelvis ett telefonbolag eller en uthyrare av en lägenhet), men däremot inte nödvändigtvis att man inte får lämna ut dem till företrädare för banken. Konsument-

23 Denna uppfattning är dock inte utan vidare lätt att förena med HD:s bedömning i ”BankID-bedrägeriet” eftersom kunden i det fallet inte ansågs ha varit medveten om att koden lämnats ut till en obehörig person, fastän det rent objektivt var vad som skett. 24 Se utfallet i ARN 2021-12666 där det inte var fråga om ett förslaget bedrägeri och där inga personliga omständigheter förelåg, varför kontohavarens agerande enligt bankledamöterna var att anse som särskilt klandervärt. 25 ARN 2022-03987.

SvJT 2023 ARN och obehöriga transaktioner 465 ledamoten ansåg däremot att det inte allmänt kan förväntas att man är medveten om att personer är obehöriga bara för att de inte är banktjänstemän.
    Majoritetens resultat försöker balansera en svår gränsdragning mellan dessa ytterpunkter, men har också kritiserats i efterhand. Till exempel har det framhållits att ett så tydligt fokus på om bedrägeriet utförts av någon som påstått sig ringa från banken eller från någon annan aktör kan tänkas ge ett olyckligt incitament för kunderna att i sina anmälningar anpassa beskrivningen av hur bedrägeriet gått till, vilket utan möjlighet till vittnesförhör under sanningsförsäkran torde vara mer eller mindre omöjligt för bankerna att motbevisa. Det är också tveksamt om det var ett sådant ”antingen banken eller någon annan”tänk som HD syftade på när domstolen i ”BankID-bedrägeriet” p. 27 uttalade att det i bedömningen av kundens beteende kan förväntas spela stor roll vem bedragaren utgett sig för att vara.26 Som utomstående är det inte svårt att ur en mer principiell synvinkel förstå vare sig bankledamöternas eller konsumentledamöternas skiljaktiga meningar gällande betydelsen av till vem kunden trott att koderna har lämnats. Å ena sidan ska koder och dylikt vara rent personliga behörighetsfunktioner som aldrig ska lämnas till någon annan. Å andra sidan används numera olika e-legitimationer, i synnerhet BankID, i många olika sammanhang och gentemot många olika sorters verksamheter. Den kund som är van vid att använda sitt BankID för att komma åt information om sitt mobiltelefonabonnemang, kanske inte reagerar mer på att ett telefonbolag begär koder från en bankdosa, än att banken begär detsamma. Fastän det rent objektivt finns större anledning att reagera på att någon annan än banken vill att du lämnar ut bankkoder än att banken begär detsamma, är det inte alldeles säkert att de flesta människor har tillräcklig stor förståelse för hur olika e-legitimationer och betalningsinstrument fungerar för att inse skillnaden.
    Dessutom är det, som nämnts ovan, inte alldeles lätt att ur referaten få helt tydligt för sig exakt vad som egentligen har hänt, och om det verkligen bara handlar om att koder från bankdosan har lämnats ut, eller om det också rör annat. När det faktiska tillvägagångssättet anses ha betydelse för hur de objektiverade bedömningarna formuleras, är det överlag önskvärt att tvistelösaren uttryckligen formulerar förutsättningarna för olika nivåer av (o)aktsamhet.

4 Bevismässiga utmaningar för ARN
Eftersom handläggningen i ARN är helt skriftlig saknas vissa av de redskap och möjligheter som finns i domstol. ARN kan exempelvis inte

26 Man kan också notera att HD:s uttalande i p. 27 endast avser det ena av de två typfallen som beskrivs, nämligen det som Heuman i SvJT 2023 s. 470 mot bakgrund av HD:s domskäl i p. 27 omtalar som likgiltighetsfallet, och alltså inte avsiktsfallet som behandlas i HD:s domskäl p. 26.

466 Marianne Rødvei Aagaard SvJT 2023 hålla en muntlig förberedelse för att reda ut oklarheter och bevisläge. ARN kan inte höra parter och vittnen muntligen och därmed inte heller under sanningsförsäkran eller ed. Dessa omständigheter innebär naturligtvis utmaningar och svårigheter för processen i ARN.
    Eftersom en oaktsamhetsbedömning behöver göras är det viktigt att ha så mycket information om händelseförloppet som möjligt. ARN begär regelmässigt in polisanmälningar och beslut från banken. Behovet av fullständig information måste dock alltid vägas mot kravet på opartiskhet. När det gäller bevisläget i ARN:s prövning, skiljer sig situationen något åt i de olika delarna som ska prövas. När det gäller frågan om transaktionen har genomförts med kontohavarens betalningsinstrument är det banken som ska ge in underlag som visar detta. Detta kan utan problem göras skriftligen genom att ett tekniskt underlag ges in och banken kan också i skrift förklara hur transaktionen har gått till rent tekniskt. I den här delen är det alltså banken som har bevisbördan och det är i allmänhet inga problem att prestera erforderlig skriftlig bevisning. Nästa steg är att konsumenten måste göra antagligt att transaktionen varit obehörig, det vill säga göra antagligt att det inte är kunden själv, eller någon med kundens samtycke, som genomfört transaktionen.27 Även på denna punkt kan skriftlig bevisning ge ett relativt gott beslutsunderlag. Med hjälp av konsumentens skriftliga berättelse och det av banken ingivna underlaget är det oftast inte förenat med alltför stora svårigheter att bedöma om det är konsumenten själv som har utfört transaktionen eller inte. Här är det alltså konsumenten som har bevisbördan.
    En komplicerande faktor, som än så länge inte hanterats uttryckligen i praxis, är att ett underlag som visar att ett BankID kopplat till kontohavarens namn har använts inte nödvändigtvis är detsamma som att det är just kontohavarens betalningsinstrument som använts. Det kan trots allt handla om ett bedrägligt BankID. Om det inte är banken själv som är utgivare av det BankID som har använts, har banken på grund av gällande sekretesslagstiftning inte tillgång till teknisk information om när BankID:et skapades och kan därför ha mycket svårt att lägga fram bevisning som visar att det faktiskt är kundens betalningsinstrument som använts.28 Samtidigt har kunden behörighet att ta fram information om alla BankID som upprättats på kundens personnummer, vilket gör att kunden — om än kanske med behov av hjälp och vägledning — kan bidra med relevant bevisning.

27 Dessa två steg, och att kunden bara måste göra antagligt att transaktionen varit obehörig, följer bland annat av NJA 2017 s. 1105. 28 I NJA 2022 s. 522 hade de obehöriga transaktionerna utförts med ett bedrägligt BankID. Det uppmärksammades dock inte särskilt i domskälen, utan bedömningen av kundens ansvar gjordes mot bakgrund av kundens brister i att skydda det som bevisligen var hans e-legitimation, vilket möjliggjorde att ett bedrägligt BankID skapades varefter obehöriga transaktioner genomfördes.

SvJT 2023 ARN och obehöriga transaktioner 467 Nästa steg är frågan om vem som ska bära förlusten för den obehöriga transaktionen. För att banken inte ska stå för så gott som hela eller en stor del av förlusten måste banken visa att konsumenten varit grovt oaktsam eller särskilt klandervärd. Det är framför allt här som svårigheterna med ett skriftligt förfarande kommer in. Här kan utgången nämligen hänga på vad konsumenten skrivit i sin anmälan.
    Om anmälaren, som muntligen lämnat ut koder från en bankdosa, uppger att hen trodde att koderna lämnades till någon från banken så talar mycket för att kontohavaren ska anses vara grovt oaktsam och endast stå för 12 000 kr. Om anmälaren i stället uppger att det var en elektronikkedja eller ett telefonbolag som ringde och som koderna lämnades ut till, då kommer bedömningen kanske i stället leda till att hen är att se som särskilt klandervärd och därmed får kontohavaren stå för hela förlusten själv. Ett annat exempel är om anmälaren, medvetet eller omedvetet, lämnat vaga, ofullständiga eller motstridande uppgifter om hur transaktionen eller bedrägeriet genomfördes. Särskilt problematiskt kan det bli om otydligheten gäller om anmälaren lämnat ut koder muntligen, eller om det handlar om legitimering eller signering med ett BankID.
    Detta är problematiskt ur flera synvinklar, men här ska bara nämnas två exempel från två olika perspektiv. För det första kan ett behov av att uttrycka sig tillräckligt exakt och fullständig utgöra en risk för en anmälare. I kombination med att ARN är ett lågtröskelserbjudande där man normalt inte upplever sig behöva ombud, kan detta tänkas leda till att konsumenten inte får rätt, fastän hen borde ha fått det, till följd av bristande förmåga att tillräckligt tydligt förklara i skrift vad som hänt. För det andra är det i normalfallet svårt, för att inte säga i princip omöjligt, för bankerna att föra någon form av bevisning för ett annat händelseförlopp än det som kunden påstår sig ha utsatts för. Om den här bedömningen i stället skulle göras i en domstol skulle man kunna hålla förhör med kontohavaren och ställa en rad frågor för att utreda exakt vad som hänt och vad som sagts under bedrägeriet. Det är naturligtvis mer rättssäkert.
    En annan fråga som uppkommer i anslutning till detta är vem som kan sägas ha bevisbördan för förmildrande omständigheter vid oaktsamhetsbedömningen. Eftersom ARN:s prövning endast är skriftlig och konsumenten inte kan höras, får konsumenten i praktiken en bevisbörda för att komma med omständigheter som talar i mildrande riktning, exempelvis personliga förhållanden. Man måste också vara observant på att en kontohavare potentiellt faktiskt kan utnyttja det faktum att nämnden inte kan hålla förhör under sanningsförsäkran genom att lämna felaktiga uppgifter om både händelseförlopp och egen situation.

468 Marianne Rødvei Aagaard SvJT 2023 ARN ska vara opartisk och får inte ge för mycket vägledning åt någon av parterna. Samtidigt innebär avsaknad av uppgifter eller alltför vaga uppgifter att ARN riskerar att komma längre ifrån ett materiellt riktigt beslut än vad man hade kunnat göra i domstol. I den mån ARN mot bakgrund av de skriftliga underlagen får anledning att misstänka att tvisten inte lämpar sig för nämndens prövning, exempelvis till följd av att det finns ett starkt behov av muntlig bevisning, har nämnden möjlighet att avvisa ärendet. I normalfallet är det emellertid inte heller bra för parterna om ARN avvisar tvisten, eftersom de då inte får någon utomstående rättslig prövning utan att behöva vända sig till domstol, med de risker för kostnader som det för med sig. ARN försöker därför så långt som möjligt att pröva ärendena, men detta är en balansgång där man får väga två mycket viktiga intressen mot varandra och det är många gånger inte lätt. ARN försöker också skriva tydliga motiveringar så att det står klart för parterna varför utgången har blivit på ett visst sätt, men precis som för andra författare av beslut är det svårt att på förhand identifiera vad läsarna kommer att haka upp sig på.
    Förutom den justering i den materiella rättstillämpningen som kan spåras efter HD:s avgörande i NJA 2022 s. 522, kan man ana sig till att ARN numera oftare låter tvisten avgöras genom ett konstaterande att ena parten inte har fullgjort sin bevisbörda. Det kan då också i något fall ge en indikation om att en prövning i domstol skulle kunna leda till ett annat resultat.

5 Slutord
På detta tema kommer man nu osökt in på den fråga som egentligen är den man börjar med, men som här kommer till sist: Frågan om transaktionen är behörig eller obehörig.
    Enligt betaltjänstlagen är en transaktion obehörig om den genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot. En enkel väg skulle vara att säga att eftersom konsumenten har blivit lurad så har hen knappast samtyckt till transaktionen. Och då är det per automatik alltid en obehörig transaktion. Detta anser bankerna av förklarliga skäl vore helt orimligt. Frågan har varit föremål för ARN:s överväganden alltsedan lagen kom till. Under 2020 meddelade ARN ett antal beslut i utökad sammansättning där nämnden uttalade sig vägledande om hur ARN ser på om en transaktion är att se som behörig eller obehörig.29 Enligt denna praxis är transaktioner som kontohavaren själv har godkänt med till exempel sitt mobila BankID eller bankdosa inte obehöriga transaktioner.30 Detta gäller även om kontohavaren har lurats

29 Se ARN 2019-14354, ARN 2019-11253 och ARN 2019-08258. 30 ARN tog i besluten avstamp i NJA 2017 s. 1105. Obehörig användning är sådan användning som sker av någon annan än innehavaren av underskriften utan att denne haft innehavarens samtycke till användningen eller annars haft rätt att använda

SvJT 2023 ARN och obehöriga transaktioner 469 till att godkänna transaktionen. Det spelar inte heller någon roll om kontohavaren har en felaktig uppfattning om vad transaktionen innebär, eller vad hen över huvud taget gör när hen använder sitt betalningsinstrument. När transaktionerna helt eller delvis utförts av bedragaren, i de flesta fall med hjälp av ett nyskapat Mobilt BankID som kontohavaren lurats till att aktivera åt bedragaren, blir det dock en annan situation. Eftersom det då är någon annan än kontohavaren själv, som självständigt eller med hjälp av kontohavaren, utfört de transaktionerna anses kontohavaren inte ha samtyckt till transaktionerna.31 Det ska sägas att Konsumentombudsmannen inte delar denna bedömning. Hon har därför informerat om att hon planerar att via KObiträde försöka få domstolsprövning av om även transaktioner där konsumenter förleds att genomföra samtliga moment själv, exempelvis via Swish, är att betrakta som obehöriga transaktioner. Konsumentombudsmannen har möjlighet att under vissa förutsättningar hjälpa enskilda konsumenter i tvister med företag och blir då konsumentens ombud vid domstolsprocessen. Det krävs då att tvisten bedöms ha betydelse för hur lagen tillämpas inom ett särskilt område och att tvisten berör ett stort antal konsumenter, vilket nog ingen skulle betvivla att just denna fråga gör.
    Det är alltså utan tvekan spännande tider, och mycket kvar att reda ut. Det enda som i nuläget är säkert, är att mer praxis på området kommer framöver.

underskriften. En liknande formulering användes i NJA 2021 s. 1017 (”Låneavtalet med Svea Ekonomi”) p. 11. 31 Se exempelvis ARN 2019-08258.