Uppgifter om händelseförloppet
Kunden har mottagit ett samtal från kriminella den 20 februari 2024 i bankens namn och har därmed fallit offer för ett bedrägeri, varigenom kriminella har kunnat logga in på kundens internetbank. Säkerhetsgränsen för kundens konto har ändrats i kundens internetbank och en överföring på 12 000 euro har gjorts från kundens konto till en extern part kl. 13:22. Inloggning i kundens internetbank, höjning av säkerhetsgränsen och den ovannämnda betalningen har bekräftats med bankens identifieringsapplikation som kunden använder. Kundens bankkoder har stängts den 20 februari 2024 kl. 15:51.19.
Kundens yrkanden hos FINE
Kunden yrkar på att banken ersätter för den uppkomna förlusten, med avdrag för självrisk enligt lag.
Händelseförlopp
Den 20 februari 2024 blev kunden utsatt för ett telefonbedrägeri. Bedragaren påstod sig ringa från banken och informerade kunden om att hennes bankkoder behövde bytas ut. För att genomföra bytet uppgav bedragaren att kunden måste lämna ut sina bankkoder. Bedragaren meddelade också att ett fysiskt uppföljningsmöte med kunden bankkontakt, Y på banken, skulle äga rum två dagar senare. Bedragaren uppgav att han bokade detta möte.
Ett par timmar senare blev kunden misstänksam och kontaktade banken via sin dotter. Banken kunde då konstatera att 12 000 euro hade förts över från kundens konto. Beloppet motsvarade kundens samtliga besparingar.
Vid tidpunkten för kontakten med banken hade pengarna ännu inte mottagits av någon, men transaktionen kunde trots detta inte stoppas. Några veckor senare meddelade banken att pengarna hade överförts till en namngiven person i Tyskland.
Bedömning
I 4 kap. 38 § betaltjänstlagen anges att en betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig. Kunden har blivit förledd genom en brottslig gärning och kan därmed inte anses ha gett sitt samtycke till de aktuella transaktionerna.
I 7 kap, betaltjänstlagen finns bestämmelser som reglerar ansvar och återbetalning. Enligt förarbetena till lagen (RP 169/2009, s. 76) tar den första punkten i 62 § sikte på frivillig och medveten överlåtelse av betalningsinstrumentet. Kunden har till följd av ett sofistikerat bedrägeri lämnat ut sina bankkoder till vad hon uppfattade vara banken. Det är således inte fråga om en sådan frivillig överlåtelse som avses i första punkten. Frågan är i stället om kunden i enlighet med andra punkten kan anses ha försummat sina skyldigheter enligt 53 § 1 mom., som bland annat stadgar att innehavaren av ett betalningsinstrument ska använda det i enlighet med villkoren för beviljande och användning samt vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsuppgifter. Även om kunden kan anses ha använt betalningsinstrumentet i strid med villkoren, är hennes ansvar enligt 7 kap. 62 § 2 mom. begränsat till högst 50 euro, förutsatt att hon inte har handlat avsiktligt eller grovt vårdslöst.
För att bedöma om kunden har handlat grovt vårdslöst måste följande beaktas. Enligt förarbetena (RP 169/2009, s. 77) anges:
"Med grov vårdslöshet avses i bestämmelsen sådan synnerligen allvarlig oförsiktighet som tyder på uppenbar likgiltighet för säkerhetsriskerna i samband med besittning och användning av betalningsinstrument."
"För att vårdslösheten ska kunna betraktas som grov måste betalningsinstrumentets innehavare emellertid handla på ett sätt som klart och väsentligt avviker från de krav som ställs på ett omsorgsfullt handlande. Det är fråga om en helhetsbedömning där man kan beakta i synnerhet hur stor skaderisken är och möjligheten att vidta försiktighetsåtgärder."
Kunden handlade i god tro efter att ha vilseletts genom ett trovärdigt och sofistikerat bedrägeri. Bedragaren utgav sig för att representera banken och hänvisade till intern information samt bokade ett möte med kundens faktiska bankkontakt, vilket skapade ett starkt intryck av äkthet. Kunden uppfattade att hon skyddade sina pengar på bankens uppmaning och följde instruktioner i förtroende för banken. Ett sådant agerande kan inte anses uttrycka likgiltighet för säkerhetsrisker, utan tvärtom normal försiktighet.
Kunden har blivit utsatt för ett utstuderat bedrägeri där bedragaren använde sofistikerade metoder, inklusive hänvisning till en verklig kontakt på banken och en bokad tid. Detta förstärkte trovärdigheten i bedrägeriet och gör det rimligt att kunden inte misstänkte något onormalt. Enligt FINE:s tidigare beslutspraxis (t.ex. FINE-068552 och FINE-071859) har avancerade bedrägerier medfört att den som utsatts för bedrägeriet inte ansetts ha agerat grovt vårdslöst.
FINE:s beslutspraxis bekräftar dessutom att fall av social manipulation och nätbedrägerier där bankkoder använts inte per automatik innebär grov vårdslöshet från kundens sida. I flera tidigare ärenden har Banknämnden bedömt att kunden visserligen varit oaktsam, men inte grovt vårdslös, varför banken fått stå för huvuddelen av förlusten — efter avdrag för självrisk på 50 euro enligt lag (jämför FINE-068552 och FINE-071859). Kundens situation är fullt jämförbar med dessa avgöranden, och Banknämndens tidigare praxis talar därför starkt för att kunden har rätt till ersättning. Kundens agerande inte anses uppfylla rekvisiten för grov vårdslöshet i lagens mening. Även om hon kan anses ha varit oförsiktig, har det skett genom utstuderat vilseledande och alltså utan grov vårdslöshet från hennes sida.
Kunden har i bankens KYC-formulär uttryckligen angett att hon inte gör utlandsbetalningar. Banken borde ha övervakat detta och reagerat omedelbart på en ovanlig eller oväntad transaktion. Under hela sitt långa kundförhållande på 40-50 år har kunden endast genomfört en mindre betalning till Sverige för en prenumeration. Därtill bör det beaktas att kunden är över 90 år och att den aktuella överföringen omfattade hela hennes besparingar. Transaktionen avviker därmed tydligt från kundens normala transaktionsmönster och borde ha signalerat en risk till banken. Banken borde ha kontaktat kunden direkt för att bekräfta en avvikande utlandsbetalning innan den genomfördes, särskilt med tanke på hennes tidigare uttryckta begränsningar.
Enligt 63 § 1 mom. betaltjänstlagen ska tjänsteleverantören, om betalningstransaktionen har genomförts olagligt och i enlighet med 62 §, återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
Banken bör följaktigen ersätta kunden med ett belopp motsvarande det som har obehörigen har lyfts från hennes konto, dock så att kunden själv ansvarar för 50 euro. Således bör banken till kunden i första hand erlägga ett belopp om 11.950 euro. I andra hand bör banken åtminstone stå för en betydande del av kundens förlust, då transaktionen tydligt avvek från hennes normala beteende och det fanns dokumenterade begränsningar för utlandsbetalningar.
FINE har vid upprepade tillfällen efterfrågat konkret information om vad som faktiskt visades i kundens ID-applikation vid godkännandet av den aktuella transaktionen samt vid höjningen av kontots dygnsgräns. Bankens svar återger dock endast vad som normalt visas och inte vad som faktiskt visades för kunden i det aktuella ärendet.
Eftersom banken inte har kunnat ge en specifik redogörelse för vad kunden faktiskt såg i sin applikation, kvarstår osäkerhet om hon överhuvudtaget kunde förstå att hon godkände en utlandsbetalning. I enlighet med allmänna principer om bevisbörda i konsumentförhållanden bör denna osäkerhet tolkas till bankens nackdel.
Enligt banken visades bland annat texten "Jag identifierar mig till [banken]"i ID-applikationen. Detta bekräftar kundens uppfattning att hon just identifierade sig till banken — något hon också uttryckligen blev uppmanad att göra av bedragaren, i syfte att "skydda kontot". Hennes användning av appen skedde således i god tro och under föreställningen att hon följde bankens säkerhetsinstruktioner, vilket även styrks av den standardtext som banken hänvisar till.
Banken uppger också att följande text visades vid godkännanden med e-ID: "Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken." Men denna säkerhetsinstruktion förutsätter att kunden har ett korrekt bekräftelse-ID att jämföra med — vilket kunden aldrig hade. Hon initierade inte själv någon transaktion, utan följde en bedragare som utgav sig för att representera banken. Eftersom hon inte fick något ID att jämföra med, saknade varningen praktisk betydelse. Att hänvisa till denna text kan därför inte läggas henne till last.
Det centrala i detta ärende är att kunden blev uppringd av en person som utgav sig för att vara banktjänsteman. Denne hänvisade till information om hennes bankkontakt och ett bokat möte, vilket skapade en trovärdig situation. Kunden handlade under övertygelsen att hon samarbetade med banken för att skydda sina tillgångar.
Kunden har därför inte agerat med den uppenbara likgiltighet inför säkerhetsrisker som krävs för att grov vårdslöshet ska anses föreligga enligt 7 kap. 62 § betaltjänstlagen.
Tjänsteleverantörens bemötande
På basen av sin utredning har banken gjort bedömningen att kunden har försummat sina skyldigheter enligt bankens allmänna villkor för digitala tjänster ("Allmänna villkoren") i sådan grad att transaktionerna inte omfattas av ersättningsskyldigheten i 62 § betaltjänstlagen.
Enligt beskrivningen och utredning så har kunden gett ut sitt användar-ID samt själv verifierat transaktionen med ID-applikationen. Både inloggningen till nätbanken och transaktionerna har skett genom bekräftelse med kundens egna ID-applikation. Även höjningen av kontots dygnsgräns har bekräftats med ID- applikationen. Vid betalning och höjning av dygnsgräns har det exakta beloppet samt vad kunden är på väg att göra och godkänna framgått tydligt. För betalningar är texten följande: "Jag identifierar mig till [banken]", "Godkänn betalningen XX EUR" samt mottagare för betalningen.
Banken har levererat en bild som illustrerar hur informationen ser ut för kund. För ändring av kontots dygnsgräns framgår det tydligt att det är dygnsgränsen som ändras. Inloggningen har skett med ID-applikationen och texten som visas vid inloggning med ID-applikationen ser ut enligt som ses i bilden banken levererat.
Ytterligare vill banken tillägga att följande text har visats för kunden vid samtliga godkännande med ID- applikationen: "Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken."
Banken har redovisat för de texter som visats för kunden vid tidpunkten. Som även konstaterats i kundens bemötande förutsätter texten "Om bekräftelse-ID inte överensstämmer, avbryt din händelse och ta kontakt med banken." att kunden kan jämföra de koder som visas med varandra. Om kunden inte kan bekräfta att de överensstämmer ska kunden i enlighet med texten kontakta banken och inte bekräfta händelsen.
I det ifrågavarande fallet bekräftade kunden själv händelsen utan att bekräfta att de koder som visats överensstämde med varandra. Således anser banken fortsättningsvis att banken inte har någon återbetalningsskyldighetför transaktionerna som kunden själv godkänt trots uppmaningen om att inte bekräfta händelsen.
Kunden har själv verifierat transaktionen genom användningen av sitt eget ID- applikation. Eftersom kunden själv har godkänt transaktionen med ID-applikationen är transaktionen inte en sådan obehörig transaktion som omfattas av ersättningsansvaret i 62§ i Betaltjänstlagen. Även höjningen av kontots dygnsgräns har godkänts med kundens eget ID-applikation. Banken kan inte med säkerhet på basen av sin utredning ta ställning till om det är kunden själv som loggat in på bankens Internetkontor eller om detta gjorts av en utomstående part som fått inloggningsinformationen av kunden.
Kundens ålder utgör i sig inte ett godtagbart skäl för att avvika från normal praxis, om det inte finns ett objektivt och proportionerligt underlag för det. Eftersom kunden godkände transaktionerna genom användningen av eget ID-applikation, fanns det inte skäl för banken att misstänka transaktionens riktighet.
I villkoren för digitala tjänster punkt 1. Allmänt står att kunden kan använda bankens digitala tjänster (såsom Internetkontoret) genom att styrka sin identitet med sin digitala underskrift. Det är endast kunden själv som har rätt att använda sin digitala underskrift och kunden får aldrig avslöja sin digitala underskrift för någon utomstående.
Mot bakgrund av ovan anser banken sig inte vara skyldiga att ersätta kunden för de transaktioner som utförts med kunden ID-applikation.
Utredningar
Förutom parternas skrivelser som gäller klagomålet har andra handlingar inte getts in till nämnden.
Beslutsrekommendation
Frågeställning
För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden först avgöra om det kan anses att kunden har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till kontoöverföringen i fråga eller om betaltransaktionen bör betraktas som obehörig. Om det i fallet anses vara fråga om obehörig användning av betalningsinstrument behöver nämnden bedöma huruvida den obehöriga användningen av betalningsinstrumentet kan anses ha berott på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankkoderna samt graden av kundens eventuella vårdslöshet.
Tillämplig lagstiftning och villkor
I 38 § (Betalarens samtycke till att en betalningstransaktion genomförs.) i betaltjänstlagen föreskrivs följande i 1 mom.:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.
I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsupgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.
I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3)har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings-instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner.) föreskrivs följande:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
Vad som föreskrivs i 1 mom. tillämpas inte om tjänsteleverantören har grundad anledning att misstänka en avsiktlig felaktig underrättelse eller något annat sådant bedrägligt förfarande och tjänsteleverantören skriftligt informerar Finansinspektionen om detta och om orsakerna till misstanken.
Valuteringsdagen för kreditering av betalkontot ska vara senast den dag då den obehöriga transaktionens belopp debiterades.
Om en betalningstransaktion har initierats via en leverantör av betalningsinitieringstjänster, föreligger återbetalningsskyldighet enligt denna paragraf för den tjänsteleverantör som förvaltar betalkontot i fråga. Bestämmelser om den kontoförvaltande tjänsteleverantörens rätt till återkrav gentemot leverantören av betalningsinitieringstjänster finns i 74 §.
Bedömning
Enligt de utredningar som banken gett i ärendet bekräftades inloggning i kundens nätbank den 20 februari 2024, ändring av kontots dygngräns och den ifrågavarande kontoöverföringen med bankens identifieringsapplikation som kunden använder. Banknämnden har inte anledning att tvivla på att den av banken framlagda utredningen, som baserar sig på bankens systemuppgifter, stämmer.
I identifieringsappen visades texten ”Ändring av kontots dygngräns” innan ändringen av säkerhetsgränsen bekräftades. Respektive innan betalningen bekräftades visades i identifieringsappen som sig bör texten ”Godkänn betalningen" innan betalningen bekräftades, och likaså visades uppgifter om betalningen, däribland beloppet i euro och betalningsmottagarens kontonummer.
Banknämnden har i sin vedertagna avgörandepraxis ansett att i fall där ett brottsoffer som blivit lurat själv har godkänt de omtvistade betalningarna, t.ex. genom bankens mobilapp som installerats i kundens telefon, och uppgifterna om den betalning som ska bekräftas har visats i appen innan bekräftelsen getts, har banken inte rekommenderats att gottgöra kunden för den skada som uppkommit. I sådana fall har det ansetts att fastän kunden har vilseletts av brottslingar att bekräfta betalningarna har ändå kunden själv gett sitt i 38 § i betaltjänstlagen och i de tillämpliga villkoren avsedda samtycke till betalningarna, och betaltransaktionerna är då inte obehöriga på det sätt som avses i betaltjänstlagen. Därför har det inte heller funnits någon grund för att betrakta banken som ansvarig för den skada som kunden lidit genom betalningarna.
Banknämnden har inte anledning att bedöma det aktuella fallet på något annat sätt. Trots att kunden bekräftade kontoöverföringen därför att hon hade blivit vilseledd av brottslingar saknar detta betydelse i förhållandet mellan kunden och banken. Banknämnden anser att kunden gett sitt i 38 § i betaltjänstlagen avsedda samtycke till genomförande av betaltransaktionen och sitt i villkoren för användning av bankkoder avsedda samtycke till bankens debitering av betaltransaktionen från hennes konto. Därmed anser nämnden att betaltransaktionen i fråga inte är obehörig på det sätt som avses i betaltjänstlagen och att det i fallet därmed inte finns någon grund för att betrakta banken som ansvarig för den skada som drabbat kunden i och med kontoöverföringen.
Angående bankens förfarande
Kunden har i fallet också hänvisat till att banken borde ha övervakat transaktioner och reagerat omedelbart på en tydligt avvikande transaktion.
Banknämnden konstaterar att bankerna enligt regleringen om betaltjänster ska ha tillgång till sådana mekanismer för övervakning av betalningstransaktioner med vars hjälp de kan upptäcka transaktioner som är obehöriga och bedrägliga. Den här skyldigheten har ändå ingen direkt inverkan på ansvarsfördelningen mellan banken och kunden vad gäller obehörig eller bedräglig användning av betalningsinstrument. Banknämnden anser att banken därmed inte är skyldig att ersätta kundens skada på den grunden att banken inte stoppade betalningen och inte heller reagerade på den på något annat sätt.
Slutledningar
Med hänvisning till vad som sägs ovan rekommenderar Banknämnden inte gottgörelse i ärendet.
Banknämnden var enhällig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Hidén
Medlemmar:
Atrila
Makkonen
Piilo
Punakivi