580 Ann-Sofie Henrikson m.fl. SvJT 2023

uppmärksamma hur det rättsliga skyddet är utformat när en e-legitimation utan samtycke från innehavaren används för att genomföra betaltjänster eller att ta fristående krediter i kvinnans namn.
    I den fortsatta framställningen kommer vi inledningsvis att kort presentera bakgrund och genomförande av intervjustudien. Därefter presenteras två verktyg, en smartphone och en e-legitimation, som vi i studien ser används för att utnyttja en partner ekonomiskt. Med utgångspunkt från de två verktygen identifieras sedan sådan obehörig användning genom betaltjänster och upptagande av fristående krediter, samt hur det rättsliga skyddet är reglerat för dessa. Den obehöriga användningen som analyseras har valts för att den är återkommande i våra intervjuer och konsekvenserna något som kan finnas kvar när den våldsamma relationen avslutats. Med denna indelning vill vi även visa att det ekonomiska utnyttjande som beskrivs i intervjuerna inte är isolerade gärningar utan framträder som delar i ett sammanhängande mönster av hot och våld. Artikeln avslutas med en sammanfattande analys om hur den ekonomiska risken bör fördelas mellan kunden respektive banker och finansinstitut.

Intervjustudie med kvinnor som varit utsatta för grov kvinnofridskränkning
Bakgrund till studien
Tidigare forskning visar att ett offer som utsatts för fysiskt-, psykiskt- och sexuellt våld av sin partner inte sällan även har utsatts för oegentliga handlingar som på olika sätt påverkat offrets ekonomi,1 handlingar som vi nedan kallar för ekonomiskt våld.2 Ekonomiskt våld som begrepp saknar dock en enhetlig definition och förekommer därför med varierande innebörd i olika sammanhang.
    Det sätt att definiera ekonomiskt våld som vi här valt utgår från att en man genom olika åtgärder kontrollerar sin kvinnliga partners ekonomi, inskränker hennes möjligheter att förvärva pengar, samt begränsar henne att använda sina egna och/eller familjens gemensamma ekonomiska resurser.3 Med att begränsa sin partners möjlig-

1 Sharp-Jeffs, N., & Learmonth, S. Into plain sight: How economic abuse is reflected in successful prosecutions of controlling or coercive behaviour. London: Surviving Economic Abuse (2017), och Stylianou, A. M., Postmus, J. L., & McMahon, S. Measuring abusive behaviors: Is economic abuse a unique form of abuse, Journal of interpersonal violence, 28(16), s. 3186-3204. 2 Termen ekonomiskt våld används nedan eftersom det är ett begrepp som exempelvis förekommer i Istanbulkonventionen, Europarådets konvention om förebyggande och bekämpning av våld mot kvinnor och av våld i hemmet, Europarådets fördragsserie — nr 210, Istanbul den 11 maj 2011, och i Europaparlamentets och rådets direktiv 2012/29/EU av den 25 oktober 2012 om fastställande av miniminormer för brottsoffers rättigheter och för stöd till och skydd av dem samt om ersättande av rådets rambeslut 2001/220/RIF. 3 Postmus, J L, et. al. Economic abuse as an invisible form of domestic violence: A multicountry review. Trauma, Violence, & Abuse, 21(2), s. 261-283 och Stylianou, A. M., Postmus, J. L., & McMahon, S. Measuring abusive behaviors: Is economic

SvJT 2023 E-legitimation som verktyg för… 581

heter att förvärva ekonomiska resurser, menas olika former av sysselsättningssabotage, handlingar som syftar till att hindra offret från att få eller behålla en anställning. Att begränsa sin partners användning av ekonomiska resurser omfattar en mängd olika åtgärder som leder till att kvinnans tillgång till pengar inskränks. Det kan exempelvis vara att kvinnan tvingas lämna pengar till mannen eller att han ingår kreditavtal i hennes namn. Fortsättningsvis i denna artikel kommer vi att behandla ekonomiskt våld som en särskild kategori av handlingar, skilda från andra våldsformer och som omfattar flera olika beteenden och taktiker som syftar till att hålla offret ekonomiskt beroende och socialt isolerat.4

Studiens genomförande
För att närmare förstå om, och hur, pengar och ekonomi kan användas för att kontrollera och tillfoga sin partner skada, har vi genomfört en intervjustudie med kvinnor som utsatts för grov kvinnofridskränkning.5 Urvalskriteriet gjordes bland domar angående grov kvinnofridskränkning som finns inlagda i databasen Juno och som var meddelade under åren 2009 till 2022. Sökningarna specificerades genom tillägg av olika ledord som pengar, kredit, BankID och bankdosa. Bland dessa valdes, genom ett slumpmässigt förfarande, ett större antal domar ut. Vi säkerställde att den angivna adressen var aktuell och att den tilltalade inte fanns skriven på samma adress. Målsäganden som saknade adress, hade skyddad identitet eller fortfarande levde med den tilltalade uteslöts. Vi skickade inbjudningar till cirka 170 kvinnor med en förfrågan om de upplevt att de blivit utsatta för ekonomiska oegentligheter av sin partner och om de ville delta i studien. Totalt intervjuades 17 kvinnor, varav tre av kvinnorna valde att lämna skriftliga svar eftersom de hade svårt att prata om sina upplevda erfarenheter. De skriftliga berättelserna var något kortare och mindre utförliga än de övriga, men har ändå betraktats som relevanta och viktiga informationskällor.
    De kvinnor som tackade ja till att bli intervjuade behövde själva kontakta forskargruppen och samtycka till att vilja delta i studien. Intervjuerna har, bortsett från vad som ovan redovisats, genomförts utan andra urval. Deltagarna har trots det geografisk spridning över hela landet och de bor både i större och mindre städer samt några i glesbygd. De representerar olika åldrar från 20 år till över pensions-

abuse a unique form of abuse, Journal of interpersonal violence, 28(16), s. 3186– 3204. 4 Jämför exempelvis Postmus, J L, et al. Economic abuse as an invisible form of domestic violence: A multicountry review. Trauma, Violence, & Abuse, 21(2), s. 261–283. 5 Studien är ett treårigt projekt finansierat av Brottsoffermyndigheten. Projektet är godkänt av Etikprövningsmyndigheten, beslut 2021-06-28, dnr: 2021-01639.

582 Ann-Sofie Henrikson m.fl. SvJT 2023

ålder. Några har högskoleutbildning, andra inte. En del är anställda, andra har eget företag och någon är pensionär. Även deras socioekonomiska förutsättningar ser olika ut.
    Deltagarna har i djupintervjuer fått berätta om de upplevt ekonomiska oegentligheter, alltså ekonomiskt våld, från sin partner och hur det tagit sig uttryck.6 Intervjuguiden bestod av breda och öppna frågor som uppmuntrade deltagarna att berätta om sina erfarenheter.7 I texten nedan har deltagarna getts fiktiva namn. De hänvisningar till vad intervjupersonerna sagt görs i syfte att illustrera och konkretisera hur ekonomiskt våld kan ta sig uttryck i enskilda fall.

Förutsättningar för ekonomiskt utnyttjande
Användning av smarta digitala enheter
Ett återkommande tema i berättelserna var förekomsten och användningen av smarta enheter. Samtliga deltagare använde digitala enheter som mobiltelefon, dator eller surfplatta. Det vanligaste var att använda en smartphone och de hänvisningar som görs fortsättningsvis utgår samtliga från olika former av obehörig användning av en sådan.
    Via en smartphone ges tillgång till stora mängder information om dess användare och också uppgifter om innehavarens ekonomi. Telefonen är liten och behändig och dessa egenskaper gör att den i princip alltid finns tillgänglig vid sin användare. Just tillgängligheten i sig kan bidra till hur en partner kan ta eller tar enheten och använder den som ett verktyg i syfte att ta kontroll över sin partners eller familjens gemensamma ekonomiska resurser.
    I det närmaste alla intervjuer innehåller berättelser där det framkommer att gärningsmannen återkommande tar kvinnans mobiltelefon, gömmer eller förstör den. Eleonor berättar att partnern tog hennes telefon som påtryckning för att hon skulle ge honom pengar. Petras partner tog hennes telefon vid upprepade tillfällen. ”… Sedan tog han den bara och hade den i tolv timmar.” Att förlora kontrollen över sin telefon innebär inte bara att man mister sin telefon, i många fall är den stora förlusten den av viktig information som finns lagrad eller tillgänglig genom installerade applikationer, appar. Det kan vara inloggningsuppgifter till olika tjänster, kontaktuppgifter till vänner och anhöriga eller schemat för arbete eller studier. Utan digital uppkoppling blir kvinnan också isolerad från omvärlden och sin familj. Hon blir därmed i många avseenden utlämnad åt gärningsmannen och dennes kontrollerande och kränk-

6 Intervjuer genomfördes med 17 kvinnor under hösten 2021 och de första månaderna under 2022. Intervjuerna genomfördes via Zoom och Microsoft Teams och en intervju genomfördes med mobiltelefon. 7 Intervjuerna spelades in och har därefter transkriberats ordagrant. De har vidare bearbetats genom textanalys, och sorterats utifrån olika teman, se Braun & Clarke, Using thematic analysis in psychology, Qualitative Research In Psychology (2006).

SvJT 2023 E-legitimation som verktyg för… 583

ande beteenden. Exempelvis berättar Carola: ”Det är jättesynd att man har allt i telefonen. Han hade bevakning på allt”. Mia berättar att han hade kontroll på allt: vem hon ringt, sociala medier, internetsökningar, mejl och sms. Kajsa beskriver hur hennes sambo tog hennes smartphone och sim-kort så att hon varken kom åt telefon eller informationen som fanns på den. Elenors partner sökte igenom hennes kläder efter pengar och när han inte hittade några tog han hennes smartphone och sa att hon skulle ”få tillbaka den när jag berättade för honom om jag hade lite pengar”.
    Även när innehavaren har besittning och kontroll över sin enhet kan dess egenskaper bidra till att en förövare kan utföra kontrollerande och kränkande gärningar med hjälp av installerade appar. Han kan se var hon befinner sig och kan följa hur hon förflyttar sig. Intervjupersonerna berättar också hur de varit ständigt tillgängliga för sin partners ekonomiska krav. I telefonsamtal och sms framställdes krav på pengar, oberoende av dag eller tid på dygnet. När innehavaren inte svarade tillräckligt snabbt förstärkte mannen kravet med olika konkreta hot. Eleonor berättar om hur hennes pojkvän jobbade mycket och ”inbakat och väldigt gulligt”, bad om pengar till lunch eller cigaretter. När hon efter en tid inte längre hade mer pengar att swisha8, förändrades tongångarna. Initialt kom snälla meddelanden om att hon skulle skicka pengar och när hon inte lydde direkt kom konkreta hot att han skulle ta livet av sig. Med tiden förändras hoten och han hotade att döda henne, hennes djur och även hennes familj, och han började även misshandla henne fysiskt och sexuellt. Hon tog först alla sina sparade pengar och när de tog slut gick hon till banken och tog en större kredit för att finansiera mannens konsumtion. ”Det gick väldigt fort från att han var gullig till att det blev hot, allt var hot liksom.” Julia beskriver att hennes sambo krävde att hon skulle skicka pengar annars skulle han publicera nakenbilder av henne. Hon mottog cirka 50 sådana hot från honom.
    I berättelserna framkommer att förövarens krav på insyn ofta underbyggs av uttalat tvång och våld. Både Ofelia och Kajsa kände sig tvingande att redovisa sin ekonomi under hot om våld. Ofelia berättar att mannen krävde exakta uppgifter om utgifter för hyra, andra kostnader och hennes inkomst. Kajsa uppger: ”Jag var tvungen att visa honom mitt konto, mina transaktioner, visa det på min telefon.” Vid ett annat tillfälle skulle hon visa sina Swish-transaktioner. Mannen kunde kräva att få veta vems nummer hon hade ringt, och till eller från vem Swish-transaktioner kom. Tillmötesgick hon inte kraven blev han våldsam.

8 Swish är en betaltjänst som gör det möjligt att flytta pengar i realtid med hjälp av ett bankID. Användaren behöver bara ladda ner Swish-appen, logga in på sin internetbank och ansluta sitt mobilnummer till sitt bankkonto.

584 Ann-Sofie Henrikson m.fl. SvJT 2023

Med kvinnans mobiltelefon kan en våldsam man enkelt få åtkomst till den samlade privata information som finns i telefonen i allmänhet och om den privata ekonomin i synnerhet. Mannen kan på så sätt manifestera sin makt mot kvinnan samtidigt som kvinnans sårbarhet ökar när hon förlorar möjlighet att hålla kontakt med omgivningen och tillgång till helt nödvändig information, som exempelvis sitt arbetsschema.

Obehörig användning av e-legitimation
En e-legitimation är en elektronisk identitetshandling som har två funktioner; dels att identifiera innehavaren, så kallad kundautentisering, dels att framställa elektronisk underskrift.9 Till skillnad från en så kallad bankdosa, som enbart möjliggör inloggning i den egna banken, är det med en e-legitimation möjligt att identifiera sig och skriva under även mot andra aktörer.
    Den vanligaste e-legitimationen i Sverige är BankID som utfärdas av de stora bankaktörerna och av den anledningen refereras fortsättningsvis till användning av den.10 För att få ett BankID utfärdat krävs att användaren ingår ett avtal med utfärdaren. Därutöver krävs att man har ett svenskt personnummer, är kund i en bank som utfärdar BankID, godkänner användarvillkoren och vid beställningen laddar ner en särskild säkerhetsapp för BankID. Har användaren tillgång till sin internetbank kan BankID-appen laddas ner från den. För att logga in på internetbanken krävs att innehavaren kan legitimera sig med hjälp av sin bankdosa med tillhörande PIN-kod. Däremot krävs inget personligt besök på banken för att uppvisa en fysisk legitimationshandling. Vissa banker kräver dock att kunden ska skanna och ”blippa” koden på sitt svenska pass eller nationella ID-kort.11 Den senare åtgärden är en säkerhetsåtgärd som fungerar mot en bedräglig utomstående tredje man. Däremot skyddar åtgärden inte mot den risk för utnyttjande som finns inom en familj.
    När ett befintligt BankID redan finns, är det också möjligt att enkelt skapa ytterligare ett mobilt BankID med sin telefon. Det är

9 Prop. 2015/16:72 s. 34. Däremot framgår det inte av en e-legitimation vilken behörighet innehavaren har, det framgår istället av e-tjänsten. Det kan noteras att användning av begreppet e-legitimation har ifrågasatts eftersom det i själva verket handlar om en elektronisk identitetshandling, att jämföra med en legitimationshandling som även anger behörighet. Begreppet e-legitimation har dock ansetts vara ett inarbetat begrepp och används därför fortsättningsvis, se SOU 2019:14 s. 129 f. jämförd med SOU 2017:114 s. 171. 10 Följande banker anges 2023-02-13 utfärda bankID; Danske Bank i Sverige, Handelsbanken, Ica Banken, Länsförsäkringar Bank, Nordea, SEB, Skandiabanken, Sparbanken Syd, Swedbank och Ålandsbanken Sverige. Andra e-legitimationer på den svenska marknaden är Freja eID Plus (utgiven av Freja eID Group AB)AB Svenska Pass (utgiven av Skatteverket). På myndigheten DIGG:s hemsida anges att samtliga har granskats och godkänts av staten genom myndigheten DIGG, https://www.elegitimation.se/ per 2023-04-20. 11 www.bankid.com , per 2023-02-24.

SvJT 2023 E-legitimation som verktyg för… 585

således möjligt att ha flera BankID så länge de är nerladdade på olika enheter. Det enda som krävs är en tillhörande PIN-kod för att öppna BankID-appen.12 Utfärdarens ansvar för att skydda kontohavaren mot obehörig användning, sker bland annat genom att ett BankID är tekniskt utformad enligt en tvåfaktorsprincip som består dels av elektroniskt lagrad information som bara användaren ska inneha, dvs. själva PIN-koden, därtill något som användaren ska bruka för att aktivera legitimationen, den på mobiltelefonen personligt konfigurerade BankID-appen. Utformningen motsvarar det som i 5 kapitlet 6 § lag (2010:751) om betaltjänster, betaltjänstlagen, definieras som stark kundautentisering.13 Innehavaren å sin sida har också skyldigheter för att förhindra att e-legitimationen används obehörigt av andra. Av det andra betaltjänstdirektivet, PSD II, och 5 kapitlet 6 § i betaltjänstlagen framgår dessa skyldigheter: legitimationen ska användas i enlighet med avtalsvillkoren som uppställs av den bank som utfärdat den, banken ska underrättas om legitimationen på något sätt förlorats eller missbrukats, samt att innehavaren ska vidta alla rimliga åtgärder för att skydda sina personliga säkerhetsbehörighetsuppgifter.14 Motsvarande krav framgår av de användaravtal som de banker som utfärdar e-legitimation använder.15 Vi kommer att utveckla dessa krav närmare nedan i samband med beskrivningen av att BankID används för att genomföra obehöriga transaktioner.
    När en e-legitimation brukas utan innehavarens tillåtelse är det fråga om obehörig användning.16 En e-legitimation kan, som nämnts, användas både till identifiering och för underskrift. I de fall legitimationen enbart obehörigen används för identifiering innebär det att användaren kan få tillgång till information som inte är avsvedd för

12 www.bankid.com , per 2023-02-24. 13 Med stark kundautentisering avses att användningen ska grundas på två eller fler komponenter kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det förhållandet att någon har kommit över en av komponenterna inte äventyrar de andra komponenternas tillförlitlighet och som är utformad för att skydda autentiseringsuppgifterna mot obehörig åtkomst, prop. 2017/18:77 s. 113. 14 Art. 69.1 och 69.2 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG. 15 Se exempelvis användarvillkoren för Nordea, https://www.nordea.se /Images/ 39-14439/bankid-villkor.pdf respektive Swedbank,https://internetbank. Swedbank .se/ConditionsEarchive/download?bankid=1111&id=WEBDOC-PRODE 61639707, per 2023-02-20. 16 Ett sådant förfarande är även straffbelagt enligt bestämmelsen om olovlig identitetsanvändning i 4 kap. 6b § brottsbalken och utgör grund för att väcka talan om skadestånd för förmögenhetsskada vållad genom brott enligt 2 kap. 2 § lag (1972:207) skadeståndslagen. Problemet är dock att skadevållaren sällan har några pengar att betala ett skadestånd.

586 Ann-Sofie Henrikson m.fl. SvJT 2023

denne. Det kan exempelvis vara uppgifter om allt ifrån tillgångar på bankkonton eller vårdkontakter. Med BankID är det också möjligt att skriva under för att genomföra vissa betaltransaktioner, bland andra betalningar via Swish, överföringar via internetbanken och direktbetalningar.17 Slutligen är det också möjligt att ingå avtal, exempelvis kreditavtal genom att underteckna med sin e-legitimation.
    I vår studie återger flera av intervjupersonerna att mannen olovligen haft tillgång till deras BankID och det framkommer olika förklaringar till att det blivit så. Julia beskriver att hennes partner hade ett bra sifferminne och kunde memorera hennes pinkoder. Carola berättar att hon aldrig aktivt gav sin man uppgifterna, men eftersom de levde nära varandra lärde han sig uppgifterna efter hand. Ingas sambo hade hennes BankID installerad på sin egen telefon. Andra kvinnor beskriver att mannen haft tillgång till hennes befintliga BankID och ersatt den med en ny som han laddat hem och som bara han haft koden till. Även om inget våld förekom i den aktuella situationen, måste man ha i åtanke att dessa kvinnor då levde i våldsamma relationer och till synes subtila handlingar för att få tillgång till ekonomiska uppgifter var underbyggda av hot, våld och tvång.
    Trots att det inte görs någon kontroll att den som ansöker om BankID också rent faktiskt är densamma som den som har legitimerat sig, anses BankID motsvara säkerhetsnivå 3 (väsentligt) enligt EU:s förordning om elektronisk identifiering, eIDAS18.19 För att nå upp till säkerhetsnivå 4 finns krav som en mobil lösning inte kan uppfylla. Exempelvis skulle identifiering av användaren och utgivning av elegitimation kräva ett personligt besök hos den utfärdande banken, såväl vid första tillfället som vid varje förnyande.20 Företaget bakom BankID hävdar att BankID:s popularitet i Sverige i förhållande till andra länder, beror på att den är enkel att anskaffa, installera och använda, något som den inte skulle kunna vara om den behövde uppfylla säkerhetskrav 4.21

17 Se definition i 1 kap. 4 §, som insättning, uttag eller överföring av medel som initieras av betalaren eller betalningsmottagaren, oberoende av eventuella underliggande förpliktelser mellan betalaren och betalningsmottagare som regleras i lag (2010:751) om betaltjänster. 18 Art. 3.11 och 26 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 19 SOU 2019:14 Ett säkert statligt ID-kort — med e-legitimation, s. 136 f. och BankID:s hemsida, https://www.bankid.com/assets/bankid/files//HAR-2021print.pdf, per 2023-02-14. 20 https://www.bankid.com/foretag/saker-digital-identifiering, per 2023-02-18. Se även prop. 2017/18:14 s. 132 f. 21 https://www.bankid.com/foretag/saker-digital-identifiering, per 2023-02-23. Ett påstående som möjligen kan ifrågasättas utifrån begreppen korrelation och kausalitet.

SvJT 2023 E-legitimation som verktyg för… 587

Enkel användning framstår därmed som prioriterat på bekostnad av skydd mot obehörig användning. De risker för bedrägerier som beaktas av såväl utförare som av lagstiftare förefaller också vara begränsade till utomstående bedragare. Det tycks således i första hand vara hotet från en okänd tredje man, och inte risken för bedrägeri inom familjen, som beaktas. Med tillgång till någon annans pin-kod är det således möjligt att ladda ner en annan persons BankID på sin egen telefon och använda den parallellt med innehavaren, men också möjligt att då ersätta den befintliga pin-koden och därigenom frånta innehavaren vidare tillgång. Sammanfattningsvis innebär förfogande över sin kvinnliga partners BankID tillgång till ett effektivt verktyg för en man som vill använda och ha kontroll över kvinnans eller familjens gemensamma ekonomiska resurser.

Tillvägagångssätt och det rättsliga skyddet
Inledning
Av intervjuerna framgår att med den smarta telefonen och den digitala legitimationen som verktyg skapas nya tillvägagångssätt för en våldsam och kontrollerande man att utnyttja sin kvinnliga partner ekonomiskt. I intervjuerna återfinns i huvudsak handlingar som rättsligt kan indelas i två huvudgrupper: obehöriga transaktioner från innehavarens konto respektive obehörigt träffade (bedrägliga) kreditavtal. Den rättsliga regleringen för dessa situationer skiljer sig något åt, men har det gemensamt att rättsläget i vissa avseenden är oklart.
    Vissa mer oväntade transaktioner framträder i intervjuerna och som också kan nämnas för att visa variationen på obehöriga handlingar med BankID för att komma åt kvinnans egendom. Carola berättar hur hennes våldsamme man tog hennes telefon och använde hennes BankID för att skriva över äganderätten till hennes bil på sig själv. Hade hon bytt lösenord hade han inte tillåtit henne att ha en telefon. Julia berättar att hon hade lämnat en fullmakt till sin man för att han skulle hjälpa henne med ekonomin i hennes enskilda firma. När han märkte att det fanns pengar på skattekontot tömde han det innan betalningen gick vidare, med följd att skatten inte betaldes i tid och hon fick betalningsanmärkningar. Betalningsanmärkningarna fick senare konsekvenser för hennes förutsättningar att driva verksamheten.

Obehöriga transaktioner från innehavarens konto
I betaltjänstlagen finns bland annat regler för ansvarsfördelningen mellan kontohavare och betaltjänstleverantörer vid obehöriga transaktioner. Lagen omfattar transaktioner som genomförts med hjälp av kontokort eller något annat personligt instrument eller personlig

588 Ann-Sofie Henrikson m.fl. SvJT 2023

rutin som enligt avtal används för att initiera en betalningsorder, ett så kallat betalningsinstrument.22 Transaktioner med betalningsinstrument kan exempelvis vara betalning med kontokort, BankID eller bankdosa.23 Reglerna avser att skydda en kontohavare mot obehöriga transaktioner. En transaktion är obehörig när den genomförs utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda det.24 Huvudregeln vid obehöriga transaktioner är att kontohavarens betaltjänstleverantör, vanligen banken, ska återställa kontot som om transaktionen inte skett.25 Med andra ord ska kontohavaren få tillbaka de pengar som försvunnit till följd av den obehöriga transaktionen.
    Flera av intervjupersonerna berättar att det ekonomiska exploaterandet inledningsvis utgått från att utnyttja hennes befintliga tillgångar. Julia berättar att henne ex-man tog hennes BankID och utan hennes vetskap tömde familjens och barnens sparkonton. Annars var användandet är betalningsappen Swish en gemensam nämnare för de flesta av de intervjuade. I vissa fall var det kvinnan själv som efter påtryckningar och hot överförde medel till mannen. Andra gånger var det mannen som swishade pengar från kvinnans konto till sig själv. I Carolas fall tog sambon efter att ha slagit henne, hennes telefon med våld och swishade sedan de sista av pengarna hon hade på sitt konto till sitt eget. Julia hade samtyckt till att hennes sambo hade hennes BankID på sin smartphone, men inte till alla de transaktioner som han därefter gjorde i hennes namn. Även obehörig användning av kvinnans betal- eller kreditkort förekommer i intervjuerna. Toras man tog återkommande hennes företagskort, i början lämnade han tillbaka det efter användning för att efter en tid bara behålla det. Kortet använde han för att finansiera sin egen konsumtion. Många av de intervjuade kvinnorna berättar att mannen använt deras betal- och kreditkort, ibland med deras medgivande men ibland utan. Liknande berättelser förekommer i de flesta intervjuerna om hur mannen med hjälp av kvinnans BankID beställt nya kreditkort i hennes namn, som sedan utnyttjats för konsumtion på kredit. När kvinnan tagit tillbaka kortet eller spärrat det, har han utan hennes vetskap med hennes BankID beställt nya kort i hennes namn.
    Förutsättningarna att få tillbaka pengarna med stöd av betaltjänstlagen i dessa situationer är dock små. En första begränsning i skyddet är att transaktionen ska ha varit obehörig, vilket förutsätter att transaktionen ska ha genomförts utan samtycke från kontohavaren eller

22 Prop. 2017/18:77 s. 370 som hänvisar till definitionen av betalningsinstrument i 1 kap. 4 § betaltjänstlagen. 23 Exemplen är hämtade från Allmänna reklamationsnämndens praxis. Dölling, Anders, Betaltjänstlagen (20 april 2023, JUNO) kommentaren till 5a kap. 1 §. 24 1 kap. 4 § betaltjänstlagen och prop. 2017/18:77 s. 333. 25 5a kap. 1 § och 1 kap. 2 § betaltjänstlagen.

SvJT 2023 E-legitimation som verktyg för… 589

någon annan som enligt kontoavtalet är behörig att använda kontot.26 Högsta domstolen, HD, har genom NJA 2017 s. 1105 prövat bevisfrågan vid obehörig användning av e-legitimation. I domen konstateras att till skillnad från en underskrift på papper, går det inte med en elektronisk underskrift att veta om det faktiskt är innehavaren som använt den. Bedömningen av vem som signerat transaktionen måste därför göras i två steg. Först prövas om kreditgivaren kan visa att det är den påstådda elektroniska underskriften som använts, så att den inte är manipulerad med hjälp av teknik. Är detta visat, prövas i steg två om transaktionen tillkommit genom obehörig användning. Det är innehavaren av e-legitimationen som ska göra antagligt att användandet av underskriften skett obehörigen.27 Av betaltjänstlagen följer även vissa skyldigheter för kontohavaren för att förhindra obehörig användning.28 Kontohavaren måste skydda sina personliga behörighetsfunktioner som är knutna till betalningsinstrumentet, exempelvis betal- eller kreditkortet. Det innebär konkret att kontohavaren är skyldig att skydda sin PIN-kod eller användningen av biometrisk information om sådan nyttjas. Biometrisk information kan exempelvis vara när en betalning bekräftas med ett fingeravtryck.29 Vidare ska kontohavaren vid vetskap om att betalningsinstrumentet kommit bort eller obehörigen använts, snarast anmäla det till betaltjänstleverantören. Slutligen är kontohavaren också skyldig att i övrigt följa de villkor som enligt avtalet gäller för användning. I förarbetena nämns inget om att dessa skyldigheter kan var svåra att efterleva inom en familj och hur obehörig användning ska bedömas i en sådan situation.30 Bankernas avtalsvillkor om hur innehavaren ska skydda sina uppgifter är utförliga och ställer höga krav på användaren. Av exempelvis Nordeas avtalsvillkor för BankID framgår bland annat att endast innehavaren får använda legitimationen och nödvändiga åtgärder ska vidtas för att skydda den från obehörig användning. Det finns bland annat en skyldighet välja en säkerhetskod med omsorg samt att hålla

26 Definition i 1 kap. 4 § betaltjänstlagen och art. 69 i PSD II. 27 I NJA 2017 s. 1105 prövade HD bevisfrågan när ett bankID eller motsvarande teknik obehörigen har använts för att ingå ett kreditavtal. Bakgrunden var att en kredit hade upptagits med svarandens bankdosa. Pengarna utbetalades till hennes konto, för att därefter överföras till hennes sons konto. Svaranden uppgav under sanningsförsäkran att bara hon hade tillgång till bankdosa med tillhörande kod och en polisanmälan angående bedrägeri, om än något vag angående den aktuella transaktionen, hade gjorts. Sammantaget ansågs svaranden inte ha gjort antagligt att hennes avancerade elektroniska underskrift använts obehörigen av någon annan. 28 5 kap. 6 § betaltjänstlagen som genomför art. 69.1 och 69.2 i PSD II. Se även prop. 2017/18:77 s. 199 f och s. 354 f. 29 Art. 4.31 i PSD II, 1 kap. 4 § betaltjänstlagen, prop. 2017/18:77 s. 199 f. och Dölling, Anders, Betaltjänstlagen (20 april 2023, JUNO) kommentaren till 5a kap. 2 och 3 §. 30 Prop. 2009/10:122 och prop. 2017/18:77.

590 Ann-Sofie Henrikson m.fl. SvJT 2023

denna hemlig och skyddad. Därtill ska legitimationen användas på ett sätt som inte ger annan än innehavaren möjlighet att använda den för legitimerings- och underskriftsändamål. Vidare får innehavaren inte använda en säkerhetskod som innehåller personliga uppgifter som t.ex. person- eller telefonnummer. Skulle säkerhetskoden för Mobilt BankID ha antecknats, ska det inte framgå att det är en PIN-kod. Anteckningen får inte heller förvaras i eller i anslutning till den mobila enhet där Mobilt BankID finns.31 De skyldigheter som uppställs för kontohavaren kan förefalla rimliga i avseende mot en utomstående bedragare, men desto svårare inom hemmet. Inom hemmets väggar finns ofta en outtalad tillit till varandra. Att hitta på koder som man sedan ska komma ihåg, utan att koppla till andra sifferkombinationer som är bekanta, eller komma ihåg givna koder utan att anteckna dem, är i allmänhet ett inte ovanligt problem. Det förefaller ganska uppenbart att det för många sammanboende rent faktiskt kan vara svårt att efterleva de uppställda villkoren. Ett hovrättsavgörande som prövade frågan om återbetalningsskyldighet efter obehörigt användande av BankID kan illustrera en sådan svårighet.32 En kvinna som åberopat ett arbetsintyg som visade att hon arbetat när det aktuella kreditavtalet ingicks, bedömdes ändå vara återbetalningsskyldig då hon inte redogjort för hur hennes pojkvän fått tillgång till hennes BankID eller koden till denna. Att föra bevisning om något man inte vet om är dock ganska svårt.
    Det finns ett övergripande intresse i samhället att verka för minskad kontanthantering genom att uppmuntra till användning av olika betalningsinstrument, utifrån både samhällsekonomiska och brottsförebyggande aspekter.33 Det finns därför även anledning att skydda kontohavaren från risken att drabbas alltför hårt ekonomiskt om obehörig användning ändå skett. Kontohavarens eget ansvar vid obehöriga transaktioner delas in i tre nivåer efter hur oaktsamt kontohavaren agerat. Den första nivån utgår från att kontohavaren inte skyddat sin personliga behörighetsfunktion och denne ansvarar då för högst 400 kr, i en slags självrisk. Den andra nivån anger kontohavarens ansvar när denne genom grov oaktsamhet anses ha åsidosatt skyldigheten att skydda sin behörighetsfunktion. Kunden få då själv stå för hela förlusten, för en konsument är dock ansvaret begränsat till 12 000 kronor. Den tredje ansvarsnivån utgår från att kontohavaren har agerat särskilt klandervärt. Denne får då ansvara för hela beloppet.34

31 https://www.nordea.se/Images/39-14439/bankid-villkor.pdf, per 2023-02-21. 32 Svea hovrätt 2019-10-31 i T-12895-19. 33 Prop. 2009/10:122 s. 15 f. 34 5a kap. 2 och 3 § § betaltjänstlagen samt Dölling, Anders, Betaltjänstlagen (20 april 2023, JUNO) kommentaren till 5a kap. 2 och 3 §. Notera att art. 74 i PSD II istället använder termerna bedrägligt, avsiktligen eller av grov vårdslöshet.

SvJT 2023 E-legitimation som verktyg för… 591

I NJA 2022 s. 522 har Högsta domstolen prövat vilka handlingar som kan anses särskilt klandervärda respektive grovt oaktsamma vid telefonbedrägerier utförda av en utomstående främmande part.35 Vi har däremot inte kunnat hitta något domstolsavgörande där innehavaren begärt återbetalning från betaltjänstleverantören efter att ha lämnat ut sin behörighetsfunktion som en följd av att ha varit utsatt för hot och fysiskt våld i nära relation.
    Vad gäller de situationer när någon beställt nya kreditkort i någon annans namn är det inte troligt att en sådan transaktion överhuvudtaget omfattas av betaltjänstlagen. Avtalet har ju i dessa situationer ingåtts mellan kontohavaren och banken och det nya kortet beställs med stöd av det befintliga avtalet. Skulle kreditkortsavtalet däremot ha ingåtts obehörigen blir situationen en annan. De transaktioner som genomförs med det nya kreditkortet kan däremot vara obehöriga enligt betaltjänstlagen och frågan blir då i vilken omfattning kontohavaren skyddat sina behörighetsfunktioner mot obehörig användning.36

Återkrav på avtalsrättslig grund och misstagsbetalningar
En kreditgivare som beviljat ett lån och som därefter inte får betalt i enlighet med kreditavtalet kommer med stor sannolikhet att vända sig mot den vars BankID med tillhörande behörighetskod har använts för att godkänna avtalet, för att få pengarna tillbaka. En förutsättning för att det ska uppkomma en bindande rättshandling är dock att det inte är fråga om obehörig användning av e-legitimationen. För de fall att legitimationen använts obehörigt, och det inte finns någon fullmakt eller annan form av samtycke för att ingå det aktuella avtalet, saknas gemensam partsvilja och avtalet är inte rättsligt bindande.37 Mia berättar att pengarna gick till mannens spelande istället för till räkningar och mat. Han kunde hennes kod och tog lån i hennes namn. Hon litade på honom och hade aldrig kunnat tro att han skuldsatt henne. Pengarna hade gått in på hennes konto, men han hade hennes bankdosa och flyttade över pengarna till sig själv utan

35 Avgörandet har kommenterats av Aagaard, M, BankID-bedrägeriet, JT 2022–23 s. 63 f.f. 36 5a kap. 2 § betaltjänstlagen. Se även Kjørven Eisand M, Who Pays When Things Go Wrong? Online Financial Fraud and Consumer Protection in Scandinavia and Europe, s. 27 f. 37 Frågan om överlämnande av en e-legitimation till annan i syfte att den skulle användas för vissa ändamål skulle bedömas som en fullmakt och i så fall vilken behörighet en sådan fullmakt gett prövades av Högsta domstolen i NJA 2021 s. 1017. En man hade lämnat sin e-legitimation till sin sambo för att hon skulle betala hushållets räkningar. Sambon ingick ett låneavtal utan hans tillåtelse. Domstolen kom fram till att en s.k. tillitsfullmakt uppkommit och avgörande var om tredje man hade befogad tillit till att rättshandlingen vidtogs av en behörig person. Mannen ansågs bunden med hänsyn till att den aktuella transaktionen bedömdes vara ordinär.

592 Ann-Sofie Henrikson m.fl. SvJT 2023

hennes vetskap. ”Det kom ett brev med krav och sen var det bara att börja betala.” Julias man var hemma på dagarna och tog hand om posten med följd att hon blev varse att han lånat pengar i hennes namn först när han frihetsberövats och det kom krav från Kronofogden.
    Vid obehöriga transaktioner är det bedragaren som är betalningsansvarig. Allt som oftast är dock bedragaren både svår att hitta och saknar betalningsförmåga. Kreditgivare har då i ett flertal fall istället vänt sig mot den som är innehavare av den använda e-legitimationen och som stöd för sin talan om återbetalning åberopat läran om misstagsbetalningar, även kallad condictio indebiti.38 Läran om misstagsbetalningar finns inte lagreglerad utan har utarbetats i praxis och doktrin.39 Vid misstagsbetalningar är huvudregeln att den aktuella betalningen ska gå åter. Från denna huvudregel kan undantag göras, förutsatt att betalningen mottagits i aktsam god tro, mottagaren har inrättat sig efter betalningen i fortsatt god tro och att det framstår som rimligt efter en sammanvägd helhetsbedömning att låta mottagaren behålla pengarna. Ett klassiskt exempel på en misstagsbetalning är när en arbetsgivare betalat heltidslön till någon som arbetat deltid.
    Mot den bakgrunden kan det förefalla märkligt att använda läran om misstagsbetalningar på krediter som tagits obehörigt, eftersom utbetalningen egentligen inte gjorts av misstag utan i enlighet med kreditavtalet. Följaktligen har domstolarna visserligen inte ansett läran om misstagsbetalningar vara direkt tillämplig, men har trots det i flera fall inte funnit något hinder mot att tillämpa den.40 Att läran kan tillämpas i dessa situationer kan förklaras genom att en förmögenhetsförskjutning utan rättsgrund uppkommit till mottagarens förmån, det vill säga. att kontohavaren fått en inbetalning som denne inte har rätt till.41 Hur läran tillämpats av hovrätterna skiftar och det är svårt att dra några generella slutsatser.
    Vi har hittat två hovrättsavgöranden som prövar frågan om en kontoinnehavares betalningsansvar för en fristående kredit som upptagits med kontoinnehavarens BankID, men under hot från en våldsam partner. Frågan om återbetalningsskyldighet till följd av en miss-

38 Se Aagaard, M, Obehörig användning av e-legitimation och läran om misstagsbetalning, JT 2021–22 s. 866 ff., för en utförlig genomgång av condictio indebiti i allmänhet och i synnerhet, hovrättspraxis på området. 39 Läran om condictio indebiti har behandlats utförligt i många sammanhang och för grundläggande genomgång med hänvisning till praxis och doktrin hänvisas till exempelvis till Ingvarsson, T, Condictio indebiti, Ingvarsson, T, Fordringsrätt, andra uppl., s. 133 f. och Mellqvist, M och Persson, I, Fordran och skuld, version 12, s. 36 ff. 40 NJA 2021 s. 1017 p. 14 och exempelvis Svea hovrätts dom 2022-04-20 i mål T 3630-21. 41 Aagaard, M, Obehörig användning av e-legitimation och läran om misstagsbetalning, JT 2021–22 s. 874.

SvJT 2023 E-legitimation som verktyg för… 593

tagsbetalning prövades i det ena.42 I målet bedömdes en kvinna vara skyldig att återbetala ett lån på 180 000 kr som upptagits i hennes namn och som utbetalts till hennes bankkonto. I målet var ostridigt att det fanns ett förundersökningsprotokoll avseende brottslighet som kvinnan påstod sig varit utsatt för av sin före detta pojkvän. Det var också känt att samme före detta pojkvän förekom i brottmålsdomar avseende liknande brottslighet. Enligt kvinnan hade den före detta pojkvännen tvingat henne att lämna över sitt BankID med kod till honom vartefter han tog kontroll över hennes konto, gjorde en egen bankdosa och tog flera större krediter i hennes namn. Ett utdrag från kvinnans konto visade att stora summor gått in och ut på hennes konto. Kvinnan uppgav att hon under den korta period relationen pågick upplevde att hon inte hade något annat val än att lyda sin pojkvän och att hon fruktade för sitt liv. Kvinnans berättelse fick stöd av två vittnen som beskrev hur kvinnan hållits isolerad med den nye mannen och att hon mått allt sämre psykiskt. I tidsmässig anslutning till att kvinnan försökt ta sitt liv gjordes en polisanmälan b.la angående bedrägerier, misshandel, olaga tvång och övergrepp i rättssak. Det ena vittnet hade också fotograferat blåmärken på kvinnans kropp som mannen påstods ha åsamkat. Hovrätten gjorde mot denna bakgrund bedömningen att kvinnan gjort antagligt att det är den före detta pojkvännen som upptagit lånet i hennes namn. Kvinnan hade visserligen möjliggjort för honom att skaffa ett nytt BankID i hennes namn, medveten om att han skulle använda det till att ta lån. Det konstateras dock ha skett när hon stått under hård psykisk press som en följd av i vart fall underförstådda hot. Eftersom det inte fanns något giltigt avtal mellan kreditgivaren och kvinnan, prövades om hon var återbetalningsskyldig enligt läran om misstagsbetalningar. Domstolen kom fram till att kvinnan var återbetalningsskyldig då hon vetat att medlen kommit in på hennes konto och att hon varit medveten om att pengarna fanns där. Hon ansågs därmed parallellt med pojkvännen haft möjlighet att komma åt sitt bankkonto och använda pengarna. Hon ansågs inte heller ha mottagit medlen i god tro eftersom hon visste att hon inte hade rätt till dem.
    Domstolens slutsats är utifrån omständigheterna egentligen inte särskilt anmärkningsvärd. Det hade också gått tre månader innan kvinnan underrättade kreditgivaren om att det inte var hon som tagit krediten. Om man däremot betraktar kvinnans agerande utifrån en större kontext och betraktar en mobiltelefon och ett BankID som verktyg för att kontrollera och utnyttja sin partners ekonomi, kan

42 Svea hovrätts dom 2022-02-02 i T 3618-21, som refereras här. I Svea hovrätts dom 2021-04-06 i T 12895-19 har svaranden inte gjort antagligt att hennes bankID använts obehörigt, med följd att domstolarnas bedömning stannar där och kvinnan anses återbetalningsskyldig.

594 Ann-Sofie Henrikson m.fl. SvJT 2023

situationen förefalla annorlunda. De personer vi intervjuat ger snarast uttryck för att den tidigare partnern inte bara tagit och utnyttjat hennes betal- och kreditkort samt tagit fristående krediter i deras namn, utan att han också kontrollerat henne i allmänhet och hennes privata ekonomi i synnerhet.
    Exempelvis trodde Ofelia att hon hade kontroll över ekonomin, men partnern tog gradvis över. Han tryckte ner henne psykiskt och knäckte hennes självkänsla med följd att hon tappade kontrollen. Kajsa uppger att hon efter uppbrottet från mannen bara har en målsättning; att bli skuldfri. Julia säger att det fysiska våldet var kopplat till ekonomi — han blev aggressiv och våldsam när han inte fick pengar och han hade total kontroll över hennes ekonomi. Han tog lån i hennes namn och all kontakt med kreditgivarna skedde elektroniskt utan hennes kännedom.
    Återkrav kan enligt läran om misstagsbetalning bara riktas mot den som faktiskt mottagit betalningen. Innehavaren av kontot är den som mottar det belopp som faktiskt överförts, och det är normalt innehavaren som därefter kan förfoga över pengarna, så länge återbetalning inte sker.43 I den aktuella domen bedömde hovrätten att kvinnan haft möjlighet att parallellt med den före detta pojkvännen disponera kontot, och därför ansågs hon vara betalningsmottagare. Mot bakgrund av omständigheterna i målet som de redovisats finns det dock anledning att överväga om det förelegat faktiska möjligheter att disponera pengarna på kontot. Hennes möjligheter att disponera pengarna på kontot förefaller snarast vara rent teoretiska. Att kvinnan först efter tre månader kontaktar banken i anledning av att det inte var hon som upptagit krediten kan verka vara en lång tid, men förefaller mer rimlig mot bakgrund av att det är först då som hon tycks ha lämnat den våldsamme pojkvännen. Det faktum att det finns en förundersökning mot mannen angående våld i nära relation torde även kunna utesluta att kvinnan och mannen i någon slags maskopi skulle försöka lura kreditgivaren.
    I de fall en kredit obehörigen tagits och pengarna efter insättning direkt förts vidare från innehavarens konto, skulle det vara möjligt för innehavaren att vända sig mot betaltjänstleverantören och begära att kontot återställs enligt betaltjänstlagen. När en transaktion är obehörig och i övrigt uppfyller förutsättningarna i betaltjänstlagen skulle det vara ett alternativ för att undgå betalningsansvar. Möjligheten begränsas dock genom den tidsbegränsning som finns och som innebär att kontohavaren så snart denne fått vetskap om transaktionen underrättar sin bank samt de krav som ställs på kunden att förhindra

43 Aagaard, M, Obehörig användning av e-legitimation och läran om misstagsbetalning, JT 2021–22 s. 888.

SvJT 2023 E-legitimation som verktyg för… 595

obehörig användning.44 Kvinnorna som intervjuats har dock inte haft förmågan att agera förrän mannen frihetsberövats i anledning av att han utövat våld mot henne.

Sammanfattande slutsatser
Med ovanstående redogörelser har vi velat belysa hur digital teknik, och då särskilt obehörig digital identifiering och obehörig användning av digital underskrift tillsammans med andra våldsformer, kan brukas i olika syften. Särskilt har vi velat belysa sådana handlingar som används för att ekonomiskt kontrollera och utnyttja en partner eller tidigare partner och hur det rättsliga skyddet är utformat. Med digital teknik har nya sätt tillkommit som inte alltid är kända. Genom att lägga beslag på sin partners smartphone kan en våldsutövande man visa sin makt och utöva kontroll. Han kan även på olika sätt komma över kvinnans PIN-koder; att hon av tillit till honom visar dem eller genom något annat förfarande. Vill han förstärka kontrollen kan han enkelt ladda ner hennes BankID och till och med byta hennes kod utan hennes vetskap. När han skaffat sig verktygen kan han på olika sätt ta kontroll över sin partner och även hennes ekonomi. Det krävs inte heller några fysiska möten med bank eller kreditgivare för att visa vem som genomför transaktionen. De tidigare begränsningar som fanns i tid och rum är nu borta och pengar kan införskaffas dygnet runt och var som helst.
    Utifrån de intervjuer vi genomfört kan det konstateras att användandet av digital teknik som för många fungerar utmärkt, kan innebära livslång skuldsättning för andra. Flertalet av de kvinnor vi intervjuat berättar om att de innan det destruktiva förhållandet inleddes haft en ekonomi i balans och förvånansvärt många har också haft avsatta sparpengar. Nästan alla har lämnat förhållandet med tömda besparingar och några också med stora skulder. För många har det ekonomiska utnyttjandet börjat med att kvinnan svarat för mat och hyra, för att därefter övergå till hon även betalat hans konsumtion. När hennes lön och besparingar inte längre räckte tog han hennes kreditkort för att slutligen ta fristående krediter i hennes namn. Relationen har också många gånger kantats av bråk om pengar och när hon inte tillmötesgått hans krav, har han tagit till hot och våld. Flera av kvinnorna vittnar om en livssituation med fysiskt och psykiskt våld som är helt irrationell och därför kan framstå som obegriplig för en utomstående. Det tycks i många fall vara först vara när mannen frihetsberövats i anledning av att ha utövat våld mot henne som hon förmår se över sin egen situation och då inser hur den ekonomiska situationen ser ut. En del av intervjupersonerna menar att de nu i efterhand har kunnat

44 5a kap. 6 §, 5a kap. 3 § jmf. 5 kap. 6 § 1 st. 2 betaltjänstlagen.

596 Ann-Sofie Henrikson m.fl. SvJT 2023

bearbeta det fysiska våldet, men att de varje månad när räkningarna kommer påminns om det ekonomiska våld de varit utsatta för.
    Ingen av de intervjuade kvinnorna har heller bestritt betalningsansvar, trots att de i vissa fall inte anser sig själva ha någon del i skulderna. Många uppger att de skäms för att de nu inser att de varit lurade. De flesta pratar om att de vill göra rätt för sig och betalar. Nästan alla har fått ekonomisk hjälp av familj och vänner och några har kommit överens om avbetalningsplaner med borgenärerna.
    Den rättsliga regleringen som ska skydda den som utsatts för betaltjänst- och kreditbedrägerier mot ekonomiska förluster är som visats ovan, i vissa delar oklar. Vidare utgår den regleringen, i den mån den överhuvudtaget beaktar riskerna, i huvudsak från behovet av att skydda användare mot yttre faror och inte från obehörig användning av en familjemedlem. Användarvänliga lösningar har prioriterats framför skydd mot obehörig användning. Mot den bakgrunden, samt att det finns många olika skäl som i allra högsta grad talar för fortsatt digital användning, finns det anledning att reflektera över vilken av parterna som ska ansvara för en eventuell förlust och när det ansvaret ska aktualiseras. Det förefaller rimligt att låta ett större ekonomiskt ansvar bäras av den part som har bäst möjlighet att sprida riskerna och som också drar störst ekonomisk nytta av att kunderna inte längre behöver komma in på ett fysiskt kontor för att göra sina ärenden. Att låta betaltjänstleverantören bära ett större ekonomiskt ansvar för bedrägliga transaktioner skulle även ge incitament för att utveckla säkrare lösningar.