I en nyligen avkunnad dom i Högsta Domstolen (T 4623-21) har domstolen klargjort vad som är ”grovt vårdslöst” och vad som är ”särskilt klandervärt” i sammanhang där en bankkund som är konsument har blivit av med eller lämnat över inloggningsuppgifter, koder eller till och med sitt Bank-ID.
Varför är detta då så viktigt? Jo, det är nämligen så att om någon olovligen överför pengar från en kunds konto så är huvudregeln att banken ska återställa saldot på kontot om inte kunden är konsument och på något sätt bidragit till den olovliga transaktionen.
Om konsumenten inte har skyddat sin personliga behörighetsfunktion ska konsumenten stå för högst 400 kr av skadan.
Om konsumenten har varit grovt vårdslös ska konsumenten stå för högst 12 000 kr av skadan.
Om konsumenten har agerat särskilt klandervärt ska konsumenten stå för hela skadan.
Det innebar i detta fall att om konsumenten ”bara” agerat grovt vårdslöst så skulle banken betala tillbaka 385 000 kr till konsumenten, men om kunden agerat särskilt klandervärt så behövde banken inte betala tillbaka någonting alls.
Tingsrätten ansåg att konsumenten bara agerat grovt vårdslöst och ansåg att banken skulle betala tillbaka allt utom de 12 000 kronor som kunden skulle stå för, Hovrätten i sin tur ansåg att kunden agerat särskilt klandervärt och befriade banken från betalningsskyldighet. Högsta domstolen, som alltid har rätt per definition, ansåg att kunden bara varit grovt vårdslös och dömde banken till att betala tillbaka beloppet till konsumenten.
Resonemangen om vad som är grovt vårdslös eller särskilt klandervärt kretsar kring en subjektiv bedömning om kunden var likgiltig inför risken att det sker en olovlig överföring eller ej.
I detta fall blev kunden uppringd av en person som uppgav sig ringa från kundens banks säkerhetsavdelning och som meddelade att kunden snart skulle få sina konton stängda då han inte besvarat information om GDPR till banken. Bedragaren kunde lösa detta om kunden identifierade sig med Bank-ID. När kunden identifierade sig med bank-ID konstaterade bedragaren att Bank-ID:t var gammalt men att de kunde lösa problemet när kunden kommit hem och hade tillgång till sin bankdosa. Väl hemma från arbetet och med bankdosan tillgänglig så började bedragaren att skaffa ett nytt Bank-ID med hjälp av kunden och koderna som han återgav från sin bankdosa. Med det nya Bank-ID:t kunde bedragaren sedan tömma kundens konton.
Rätten anser att bedragaren varit mycket förslagen och förtroendeingivande och att kunden helt enkelt blivit lurad. Att lämna ut sina koder är grovt vårdslöst, men inte särskilt klandervärt i detta fall då kunden inte på något sätt hade visat likgiltighet inför att några överföringar skulle ske. Det ska nu bli spännande att se hur många lurade personer som kommer att kontakta sina banker för att de bara varit grovt vårdslösa, men inte särskilt klandervärda. ARN har på kort tid rekommenderat ett antal banker i specifika ärenden att återföra belopp som olovligen förts från deras kunders konton.
Allt står att läsa i Högsta domstolens dom T 4623-21