Riskerna med bankidentifikation har ökat

Publicerad 4.6.2019  Uppdaterad 5.9.2019

Konsumentens ansvar för missbruk av nätbankskoder kan vara överraskande stort. Koderna gör det möjligt att använda kontomedel och krediter. Dessutom kan man höja den dagliga uttagsgränsen på betalkortet och ansöka om stora snabbkrediter. Pengarna kan snabbt flyttas utom konsumentens räckhåll. Banken svarar inte ens delvis för skadan, om konsumenten har varit grovt vårdslös. Inga identifikationsmetoder avlägsnar hela risken för missbruk.

Konsumenterna har lärt sig att skydda sina bankkort, PIN-koder och nätbankskoder. De är dock inte alltid tillräckligt omsorgsfulla, och koderna kommer att användas olovligt av främmande eller av någon person i närkretsen. Även om identifikationsmetoderna utvecklas och förbättras, finns det alltid en risk för missbruk. Det finns inte säkerhetssystem som är helt vattentätt och kan utesluta möjligheten till vårdslöshet.

En avsevärd ny risk är snabbkrediter, som kan tas till stora belopp med hjälp av nätbankskoderna och flyttas över till missbrukarens konto. Utöver att konsumenten kan förlora pengarna och kreditsaldot på sitt konto, kan hen blir tvungen att ansvara för helt nya lån. Skadorna kan uppgå till flera tiotusentals euro. Om missbrukaren också har konsumentens bankkort och dess PIN-kod, kan kontot tömmas snabbt genom att ändra den dagliga uttagsgränsen.

Om bankkundens vårdslöshet inte har varit grov, utan s.k. vanlig vårdslöshet, begränsas kundens ansvar enligt betaltjänstlagen till 50 euro och banken svarar för resten. Om konsumenten har förfarit grovt vårdslöst, måste hen stå för hela skadan själv utan att banken ansvarar för någon del av den.

Konsumenttvistenämnden har i två färska pleniavgöranden tagit ställning till om konsumenten har förfarit grovt vårdslöst och således ansvarar själv för hela skadan.

I det första avgörandet hade konsumenten släppt in en okänd person i sin bostad. Personen hade tillbringat en längre tid i bostaden och hittat konsumentens bankkort och dess PIN-kod. Dessutom hade personen kommit åt konsumentens nätbank antingen med hjälp av konsumentens nätbankskoder eller när konsumenten lämnat en nätbankssession öppen. I konsumentens nätbank hade personen höjt den dagliga uttagsgränsen till tiotusen euro och gått till automaten och tömt konsumentens hela konto. Konsumentens skada uppgick till 9 500 euro. Eftersom det i praktiken inte är möjligt att ta reda på PIN-koden till ett bankkort genom att pröva sig fram, ansåg nämnden det uppenbart att konsumenten hade förvarat koden i sin bostad så att den hade varit lätt att komma åt och kombinera med kortet. Detta i kombination med att bankkortsinnehavaren hade låtit en främmande person handla fritt i bostaden betraktades som ett grovt vårdslöst förfarande enligt betaltjänstlagen. Därför behövde banken inte återbetala de förlorade medlen till konsumenten till någon del.

I det andra avgörandet hade konsumenten släppt in två okända personer i sin bostad. I den ena främmande personens åsyn hade hen öppnat sin nätbank och lämnat koderna framme så att de kunde fotograferas medan hen befann sig i ett annat rum. Med bankkoderna lyfte de okända personerna senare en kortkredit och ett brukslån från banken och snabbkrediter från andra tjänsteleverantörer. De medel, 12 200 euro, som man på detta sätt fick in på kontot flyttades bort från konsumentens konto, igen med hjälp av konsumentens bankkoder. Nämnden ansåg att konsumentens förfarande tydligt och väsentligt skilde sig från ett omsorgsfullt tillvägagångssätt och visade på en likgiltig attityd till riskerna med att använda bankkoder. Konsumenten hade varit grovt vårdslös enligt betaltjänstlagen och ansvarade därför själv för alla kontoöverföringar. En minoritet ansåg att skadan för snabbkrediternas del (sammanlagt 7000 euro) hade varit oförutsebar för konsumenten och att konsumenten inte var ansvarig för dem till fullt belopp i förhållande till banken.

"Ansvarsfördelningen mellan banken och konsumenten är orimligt skarpt avgränsad. I fall av vårdslöshet är konsumentens ansvar i regel 50 euro, men om tröskeln till grov vårdslöshet överskrids, finns det i princip inget tak för konsumentens eget ansvar. Ansvarssystemet är oklart också på grund av att det är två olika lagar som tillämpas", konstaterar konsumenttvistenämndens ordförande Pauli Ståhlberg.

Ansvarsfördelningen mellan banken och konsumenten gäller endast de fall där missbruket sker genom att man utnyttjar konsumentens bankkonto eller andra tjänster som banken tillhandahåller. Den som missbrukar nätbankskoder kan dock lyfta medlen utan någon koppling till banken eller konsumentens bankkonto. Missbrukaren kan t.ex. ta en snabbkredit utan att medlen går via konsumentens bankkonto. Då är banken utomstående i ärendet, och det är inte betaltjänstlagen som tillämpas på situationen utan lagen om stark autentisering och elektroniska signaturer (autentiseringslagen). Autentiseringslagen har i sin tur ingen sådan begränsning av konsumentens ansvar (50 euro) som betaltjänstlagen har för bankkunder. Därför kan en konsument bli tvungen att ansvara för hela kreditbeloppet inför snabbkreditbolaget, även om konsumenten inte har varit grovt vårdslös. Konsumentens risk för skadan är då alltså betydligt större än vid missbruk enligt betaltjänstlagen. Skillnaden mellan betaltjänstlagen och autentiseringslagen är ägnad att medföra oklarhet i fråga om ansvaret vid missbruk av nätbankskoder.