Obehörig användning av e‑legitimation: Rättsliga utmaningar och nordiska utvecklingslinjer
Av docent Marianne Rødvei Aagaard, professor Torbjörn Ingvarsson och jur.stud. Ludwig Irveland
Den 1 och 2 december 2022 anordnades konferensen Obehörig användning av e-legitimation: Rättsliga utmaningar och nordiska utvecklingslinjer i Uppsala. Under två dager samlades 16 föredragshållare och 115 deltagare från hela Norden för att diskutera några av de många och angelägna civilrättsliga frågor som uppkommit till följd av digitaliseringen av finansmarknaden.
Inledning
För inte så länge sedan krävde nästan alla bankärenden att man gick in på ett bankkontor och egenhändigt signerade en arbetsorder på papper. Utvecklingen har gått snabbt, och från de första stegen med engångskoder och kod-dosor har BankID och andra digitala verktyg blivit en självklarhet för att identifiera sig i många olika sammanhang. Med möjligheten att identifiera sig på detta enkla sätt har också risken för missbruk ökat. I domstolspraxis och i nämndpraxis finns många exempel på att enskilda ser ut att ha tagit lån de inte känner till, och att bankkontot tömts utan att kontohavaren alls vet var pengarna hamnat eller hur det hela har gått till. Problemen med bedrägerier till följd av obehörig användning av e-legitimation uppmärksammas också i dagstidningarna. Känslan är att det åtminstone en gång per vecka, eller till och med ännu oftare, finns nyhets- eller debattartiklar att läsa som rör ämnet.
Som vid andra angelägna samhällsutmaningar uppkommer också här en rad rättsliga frågor, och det är inte alltid som lagstiftaren eller domstolarna vare sig förmår eller vill hantera dem i den takt som aktörerna på marknaden skulle behöva. Det är inte vad utan hur saker görs, som främst har ändrats genom den numera omfattande användningen av e-legitimation och som leder till frågor om den rättsliga hanteringen. En särskild utmaning inom just detta område, vågar vi påstå, är kombinationen av gammalt och nytt, och en mellan dem oklar relation. De problem som uppstår till följd av obehörig användning av e-legitimation är av stor betydelse både för enskilda och för den finansiella branschen, samtidigt som de rättsliga frågor som uppkommer kan vara både komplexa och svårhanterliga.
Efter många år med punktinsatser i lagstiftningen och spretande avgöranden från Allmänna reklamationsnämnden och underinstanserna, börjar vi äntligen få prejudicerande domar från Högsta domstolen, både i Sverige och i övriga Norden. Det finns emellertid all fortsatt anledning att närmare diskutera de rättsliga frågor som uppkommer, och det är vad som gjordes i Uppsala 1 och 2 december 2022 under konferensen ”Obehörig användning av e-legitimation: Rättsliga utmaningar och nordiska utvecklingslinjer”.[1]
Tack vare generöst stöd från stiftelserna G Huselius och Emil Heijnes stiftelse för rättsvetenskaplig forskning, kunde konferensen genomföras i anrika Slottsbiografen och Hambergs festvåning i centrala Uppsala. Konferensen var fulltecknad med 16 föredragshållare och 115 deltagare från banker, intresseorganisationer, myndigheter, advokatfirmor och andra verksamheter som dagligen hanterar rättsliga frågor som uppstår vid obehörig användning av e-legitimation.[2] Föredragshållarna täckte tillsammans in en stor bredd av de frågor som uppkommer i komplexet, med ett särskilt fokus på de civilrättsliga och processrättsliga sidorna. På listan över föredragshållare stod såväl akademiker från Sverige och dess grannländer, som praktiker och representanter från myndigheter, och flera av dem lämnar också bidrag till vad som under våren 2023 kommer att bli ett temahäfte här i Svensk Juristtidning.
Om ämnet obehörig användning av e-legitimation
Förutom den stora frågan vad som egentligen är obehörig användning,[3] är en av utmaningarna när man ska diskutera rättsliga frågor om obehörig användning av e-legitimation att de problem som uppkommer inte låter sig avgränsas till ett, eller ens några få, specifika ämnen. Frågor kan uppkomma inom så gott som alla rättsliga ämnesområden, fastän fokus oftast riktas mot straffrätten, civilrätten och EU-rätten. De olika ämnesområdena påverkar också varandra.
Särskilt viktigt är det att påpeka att EU-rätten och civilrätten i många delar är — eller åtminstone är tänkta att vara — dels överlappande, dels sammanfallande. Främst gäller detta frågorna som idag regleras av betaltjänstlagen, men även mycket av den tekniska infrastrukturen på området är underställd detaljerad reglering från EU. Vi kanske inte alltid ser eller behöver analysera denna reglering i det dagliga livet, men som påpekades av föredragshållarna Mathias A. Bjerkhaug och Peter Carlstedt i relation till NJA 2017 s. 1105, kan det leda till problem i rättstillämpningen om den tappas bort. Något som kanske kan förvåna är också att implementeringen av rättsakterna från EU faktiskt skiljer sig åt mellan de nordiska länderna, fastän syftet med regleringen delvis är att skapa enhet på en inre marknad. Ett antal skillnader låter sig relativt enkelt identifieras, även där det åtminstone inte verkar finnas utrymme för skillnader i implementeringen. Exempelvis satte doktoranden Vebjørn Wold fingret på en intressant skillnad mellan Norge och Sverige gällande skyldigheten att återställa kundens konto efter en obehörig transaktion. Den svenska lagstiftaren har i 5 a kap. 1 § betaltjänstlagen begränsat bankens skyldighet att återställa kontot på ett sätt som kan framstå som diskutabelt. Den norska lagstiftaren har valt en annan, och enligt Wolds uppfattning mer korrekt, implementering, samtidigt som norska banker agerar som om regleringen motsvarade den svenska. Mer systematisk forskning på temat behövs.
Ett intressant, och får erkännas lite besvärande, särdrag med ämnet, är hur stor betydelse den enskilde bedragarens tillvägagångssätt kan få. Detta gäller inte bara i meningen att tillvägagångssättet spelar roll för huruvida bedragaren lyckas i sitt försök att få tag på pengar, utan även för vilken rättslig reglering som blir tillämplig och därmed hur relationen mellan de aktörer som utsatts för bedragaren ska hanteras och vilket skydd de kan förväntas få. Att det kan bli så, har samband med att EU-regleringen som mycket av den nationella regleringen bygger på har ett specifikt avgränsat tillämpningsområde, samtidigt som övriga frågor ofta regleras av mer allmänna civilrättsliga lagar och okodiferade regler. Att navigera mellan olika regleringar och att veta när man hamnar var, är inte i alla delar en alldeles lätt övning.
Närmare om konferensens — och det kommande temahäftets — fokusområden
Programmet under de två dagarna var uppdelat i fyra huvudsakliga block, med en övergripande tyngdpunkt på civilrättsliga frågor. Ämnet är dock brett och regulatoriska och EU-rättsliga frågor finns alltid med som förståelsebakgrund.
I det första blocket diskuterades de obehöriga transaktionerna, alltså då en e-legitimation har använts som betalningsinstrument för att genomföra transaktioner på ett konto. Här analyserades ansvarsfördelningen enligt betaltjänstlagens 5 a kapitel och motsvarande reglering i övriga nordiska länder, och professor Marte Kjørven (Oslo) diskuterade nyare praxis från Högsta domstolen i NJA 2022 s. 522 och norska Høyesteretts avgörande HR-2022-1752-A. Även betaltjänstleverantörens skyldighet att ha tillräckliga transaktionsövervakningsmekanismer, och potentiella civilrättsliga följder av brister i detta avseende, diskuterades under Ellen Brataas (Oslo) anförande.
Det andra blocket fokuserade på några av de civilprocessuella frågor som uppkommer, med särskilt fokus på frågor om bevisbörda. Professor Lars Heuman (Stockholm) talade om bevisbörda vid obehöriga transaktioner, och professor Maria Hjort (Oslo) talade om bevisbördan vid ID-stöld. I gränsytan mellan processrätt och materiell civilrätt diskuterades även hur placeringen av processbördan kan påverka det materiella konsumentskyddet.[4] I skarven mellan dessa två block hade vi också förmånen att lyssna till chefen och ordföranden i Allmänna reklamationsnämnden (ARN), Marcus Isgren, som kunde berätta om nämndens roll som tvistelösare i mål gällande obehöriga transaktioner och hur nämnden under hösten 2022 avgjort ett stort antal sådana i utökad sammansättning för att följa upp Högsta domstolens avgörande i NJA 2022 s. 522. Samtidigt som ARN är väldigt betydelsefull för konsumenters möjlighet att få rätt, är det rent skriftliga förfarandet en utmaning eftersom dessa mål överlag är bevismässigt svåra att hantera.
Under det tredje blocket behandlades frågor om avtalsingående och bundenhet vid obehörig användning av e-legitimation. Den grundläggande utgångspunkten i nordisk rätt är trots allt formfrihet, och möjligheten till digitala avtalsslut är överlag både välkommen och praktisk, och förekommer numera inom en rad olika områden. När det gäller obehörig användning är de obehöriga transaktionerna flest till antalet och når upp till svindlande belopp varje år, men problem till följd av obehörig användning av e-legitimation för att signera avtal uppkommer också. Förlusterna per transaktion kan bli särskilt stora om det är kreditavtal som slutits genom obehörig användning av e‑legitimation. Genom föredrag från professorerna Henrik Udsen (Köpenhamn), Johan Bärlund (Helsingfors) och Christina Ramberg (Stockholm) fick vi en tydligare bild av de likhetsdrag och skillnader som finns inom Norden.
I dessa frågor har EU, än så länge, inte lagt sig i detaljerna,[5] utan det är istället främst de inhemska avtalsrättsliga och skadeståndsrättsliga reglerna som aktualiseras. Regler som, trots historiskt sett starkt gemensamt lagstiftningsarbete, visar sig bjuda på rätt stora skillnader de nordiska länderna emellan. Exempelvis har svenska Högsta domstolen i NJA 2021 s. 1017 ansett det som möjligt att anse ett överlämnande av behörighetsfunktioner till en närstående som en tillitsfullmakt,[6] medan danska Højesteret i ett antal avgöranden under de senaste åren istället diskuterat frågan i termer av bundenhet till följd av culpa.[7] I Norge har det rent skadeståndsrättsliga spåret med ett ordinarie culpaansvar som utgångspunkt använts av Høyesterett, men den norska lagstiftaren har i en ny finansavtalelov[8] bestämt att frågan om kundens ansvar i dessa fall från och med 1 januari 2023 ska följa samma bedömningsmönster som om det vore tal om obehöriga transaktioner. I Finland ser regleringen något annorlunda ut, men även där finns möjlighet att diskutera ansvar till följd av innehavarens vårdslöshet med att (inte) skydda sin e-legitimation. Även andra problem än frågor om skuldsättning och återbetalningsskyldighet kan uppkomma, och det kanske mest oroväckande exemplet gavs under Juridiska fakultetens dekanus, Anna Singer, välkomsttal under konferensmiddagen: Bekräftelse av faderskap kan numera ske digitalt med hjälp av e-legitimation.
Det fjärde blocket var mer av ett lim för helheten än ett eget block. Dels fick vi ett praktiskt viktigt perspektiv på problembilden från Sveriges största leverantör av e-legitimation, BankID, dels blev vi påminda om att det för den enskilde konsumenten kanske inte alls behöver vara just den obehöriga användningen av e-legitimation som är det största problemet, utan istället alla de bedrägerier som leder till vad vi idag ser på som behörig användning. Exempel på det senare är de fall då kunden luras att själv använda verktyget för att genomföra en disposition eller transaktion. Dessa fall hamnar idag helt utanför det konsumentskydd som erbjuds genom betaltjänstlagstiftningen, samtidigt som de leder till stora förluster och bygger på liknande social manipulation av innehavaren av en e-legitimation. Den utblick som Londonbaserade Andreas Eliasson från CallSign gav, skvallrar också om att det inte måste vara så att skyddet för kunden begränsas på detta vis, utan ett skydd kan också formas så att det famnar vidare.
Frågorna som uppkommer i samband med obehörig användning av e-legitimation är av betydelse för alla aktörer som antingen själva, eller genom sina företrädare, använder sig av en e-legitimation. Fokus, både från lagstiftarens och praktikerns sida, har dock än så länge främst riktats mot konsumentfallen. När man samtidigt befinner sig på det finansiella området är det svårt att bortse från den roll Högsta domstolen har spelat för att utveckla inte bara mer allmänna principer utan även konsumentskyddet. Denna utveckling har inte främst handlat om (obehörig) användning av e-legitimation, men som professor Torbjörn Ingvarsson visade genom sitt anförande, kan man med fog anse att Högsta domstolens avgörande från sommaren 2022 faller väl in i linje med en rad andra avgöranden från de senaste trettio åren. Det leder till frågan om det går att utvinna fler allmänna konsumenträttsliga principer på området, som kan tänkas ge oss viss ledning inför framtida fall.
En ständigt underliggande fråga som verkar genomsyra hela ämnet, är hur förhållandet till EU-rätten ser ut utanför de punktinsatser som gjorts av EU-lagstiftaren. Fastän EU historiskt sett har haft ett relativt begränsat inflytande på den allmänna förmögenhetsrätten, börjar regleringen nu bli så omfattande att även sådana frågor i allt större mån påverkas. Kanske kan det diskuteras huruvida önskemålet att skydda kunderna i vissa avseenden kan ”smitta över” på hur vi hanterar andra, mer allmänna frågor.
Framtiden
När man samlar 130 kunniga människor som alla är genuint intresserade av ett ämne i samma rum, är det ofrånkomligt att goda idéer föds och vidareutvecklas. Så har också varit fallet denna gång. Ett fundament för samverkan och samarbete har förstärkts, och det kommande temahäftet med därtill hörande inspelningar av de flesta av föredragen som hölls under konferensen, är ett första steg på vägen att dela några av de reflektioner som uppkom under konferensen med en bredare publik och förhoppningsvis väcka ytterligare intresse och engagemang för ämnet.
[1] Arrangörer för konferensen var docent i civilrätt Marianne Rødvei Aagaard och professor i civilrätt Torbjörn Ingvarsson med solid hjälp från forskningsamanuens jur.stud. Ludwig Irveland, alla verksamma vid Juridiska fakulteten och institutionen vid Uppsala universitet.
[2] Ett tjugotal svenska banker var representerade. De flesta av deltagarna var bankjurister, men även bedrägeriutredare m.fl. deltog. Från myndigheterna var Konsumentverket, Finansinspektionen, Allmänna reklamationsnämnden och Polisen representerade med deltagare.
[3] De flesta är överens om att det är obehörig användning när någon annan, utan samtycke från innehavaren, använder e-legitimationen. Exakt hur användningen går till, och hur mycket faktisk medverkan innehavaren själv bidrar med, kan dock variera beroende på olika tekniska lösningar. Det pågår också en diskussion kring huruvida innehavarens egen användning i vissa fall kan klassificeras som obehörig.
[4] Vebjørn Wold diskuterade i sitt anförande huruvida bankerna har rätt att låta bli att återställa konto efter en obehörig transaktion och låta det vara upp till kunden att gå till nämnd eller domstol för att uppnå återbetalning, eller om PSD 2 egentligen kräver att banken först, utom de fall då kunden själv misstänks ha förfarit svikligt, ska återställa kontot och därefter själv rikta krav mot kunden.
[5] Som Mathias A. Bjerkhaug och Peter Carlstedts anförande visade, finns det emellertid all anledning att fundera över hur exempelvis HD i NJA 2017 s. 1105 i sin bedömning verkar ha bortsett från viktiga förutsättningar som gäller för de olika nivåerna av säkerhet för en e-legitimation enligt eIDAS-förordningen.
[6] Avgörandet diskuterades inte i någon större omfattning under konferensen, men har kommenterats av Marianne Aagaard i det kommande temahäftet.
[7] Se U.2019.1192, U.2019.1197, U.2021.2320 och U.2022.414.
[8] Se Lov 18 december 2020 nr. 146 om finansavtaler (finansavtaleloven) § 3–20.
A published version of this content is available
Choose if you want to access the published version or continue reading this preprint.