Tredjemans svikliga förledande ­­— Kan en godkänd betalnings­transaktion vara obehörig?

 

 

Av docenten Marianne Rødvei Aagaard^[1]

 

Att ett stort antal bankkunder blir av med sina pengar genom bedrägerier är ett samhällsproblem. Specialregleringen i betaltjänstlagen erbjuder i vissa fall ett skydd för kunden, men bara när transaktionen som genomförts är obehörig. Gränsdragningen mellan behöriga och obehöriga transaktioner har därför mycket stor praktisk betydelse för den enskildes möjlighet att få sitt konto återställt efter ett bedrägeri. Men hur förhåller sig den betaltjänst­rättsliga specialregleringen till våra sedan länge gällande avtalsrättsliga ogiltighets­regler, och kan en i och för sig godkänd transaktion ändå be­dömas vara obehörig, därför att kunden har blivit svikligen förledd att godkänna transaktionen?

 

Inledning och frågeställning

Bedrägerier som genomförs med hjälp av elektroniska betalnings­instrument efter social manipulation fortsätter att öka. Bedragarna anpassar sina tillvägagångssätt allteftersom nya säkerhetsåtgärder vid­tas och implementeras av banker och myndigheter. Ett av de stora trend­brotten under senare år har varit att bedrägerier har gått från att (oftast) vara obehöriga transaktioner där bedragaren själv genomför transak­tionen efter att ha vilselett kunden att lämna ut nödvändiga uppgifter för att så ska kunna ske, till så kallade behöriga bedrägliga transaktioner där det istället är kunden själv som genomför transak­tionen i fråga.^[2] Under ett digitalt seminarium arrangerat av Svenska Bankföreningen 26 januari 2024 nämndes att så mycket som mellan 70 och 90 procent av alla bedrägerier mot vanliga bankkunder numera är sådana behöriga bedrägliga transaktioner.^[3]

I 5 a kap. 1 § betaltjänstlagen finns en skyddsregel som innebär att obehöriga transaktioner på en kunds konto som huvudregel ska återställas. Har transaktionen genomförts med hjälp av ett betalnings­instrument^[4] och möjliggjorts genom att kunden har brustit i att skydda sina personliga behörighetsfunktioner, kan kunden bli ansvarig för att täcka delar av eller hela beloppet.^[5] Skyddsregeln i 5 a kap. 1 § har i praxis från Allmänna Reklamationsnämnden (ARN) ansetts tillämplig endast när transaktionen ifråga har varit obehörig och därmed alltså inte vid de så kallade behöriga bedrägliga transaktionerna.^[6] Detta innebär att bankerna överlag, och i enlighet med ARN:s bedömning, avvisar krav om återställande för den sorts bedrägliga transaktioner som numera är vanligast förekommande.

Mot denna bakgrund är det inte oväntat att Konsumentombudsmannen (KO) har valt att som processombud föra en kunds talan mot en storbank för att få en tvist om en behörig bedräglig transaktion prövad i allmän domstol.^[7] Det som däremot är aningen överraskande, och ur juridisk synvinkel väldigt intressant, är att kunden genom stämningsansökan i första hand vill ha prövat huruvida nationella ogiltighetsgrunder, och då mer konkret 30 § avtalslagen om svikligt förledande, kan tillämpas på den instruktion som lämnats till banken genom att den bedrägliga transaktionen godkänts av kunden med hans mobila BankID.^[8]

Följden av att instruktionen var ogiltig på grund av svek skulle då vara att transaktionen inte har godkänts så som betaltjänstlagstiftningen kräver,^[9] och därmed vara obehörig med de följder för bankens skyldighet att återställa kontot som det leder till.^[10] Det huvudsakliga syftet med denna artikel är att utreda frågan om 30 § avtalslagen kan tillämpas på sådana transaktioner.

Även om frågeställningen har fått ytterligare aktualitet genom ovan nämnda stämningsansökan, är gränsdragningen mellan behöriga och obehöriga transaktioner en tematik som länge funnits bland de ämnen som behöver analyseras närmare.^[11] Den konkreta tvisten, och då främst förstahandsgrunden, har givit mig inspiration till att be­handla ämnet, men har inte i övrigt präglat arbetet.^[12]

 

Kort om gränsdragningen mellan behöriga och obehöriga transaktioner i betaltjänstlagen

Enligt min preliminära bedömning verkar det inte finnas anledning att ifrågasätta ARN:s bedömning avseende tillämpbarheten av 5 a kap. 1 § på de behöriga bedrägerierna.^[13] Fastän detta i strikt mening ham­nar lite på sidan av frågeställningen som ska behandlas, kan det vara bra att kort redovisa vad min bedömning i detta avseende bygger på.^[14] Orsaken är att detta kan ge en bakgrundsförståelse för regle­ringen som sedan är användbar att ha med sig in i de resonemang som an­knyter till ogiltighetsreglernas tillämpningsområde och tillämp­barhet i typfallet.

Betaltjänstlagen bygger på de EU-rättsliga betaltjänstdirektiven.^[15] Regleringen syftar bland annat till att skapa en effektiv inre marknad på betaltjänstområdet.^[16] Som så ofta inom unionsrätten, försöker man uppnå detta genom att skapa ett mer eller mindre heltäckande system uppbyggt kring många och ofta detaljerade definitioner. Genom regleringen skapas vad som kan uppfattas som en ”egen värld” inom vilken definitionerna är av avgörande betydelse. Detta är också avsiktligt eftersom direktivet är ett fullharmoniserings­direktiv. Vid närmare ana­lys av betaltjänstlagens regler är det alltså nödvändigt att tillämpa principerna för direktivkonform tolkning.^[17]

Betaltjänstlagen gäller för betaltjänster,^[18] och av särskild betydelse i detta sammanhang är de betaltjänster som är att anse som betalnings­transaktioner. En betalningstransaktion i lagens mening är enligt 1 kap. 4 § första stycket mom. 13 en ”insättning, uttag eller överföring av medel som initieras av betalaren eller betalningsmottagaren, oberoen­de av eventuella underliggande förpliktelser mellan betalare och betalningsmottagaren.” Den omständighet som behövs för att en betal­nings­transaktion ska genomföras, är en betalningsorder.^[19] Obehörig är transaktionen enligt samma bestämmelse mom. 34 om den har genom­förts ”utan samtycke från kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontot”. Läser man dessa regler som en helhet, framträder det tydligt att det underliggande rättsför­hållandet mellan betalare och betalningsmottagare är betal­tjänst­regleringen ovidkommande, och att det alltså inte är eventuella brister med anknytning till det underliggande rättsförhållandets giltig­­het som avses i definitionen av en obehörig transaktion.

Av 5 kap. 3 § framgår det att en betalningstransaktion ska betraktas som godkänd om betalaren uttryckligen har lämnat sitt samtycke till att den genomförs.^[20] Ordet samtycke har inte närmare definierats i betal­tjänstlagen, och det har lämnats till parterna (i praktiken betal­tjänst­leverantören) att genom avtal bestämma hur en betalningsorder ska initieras och godkännas.^[21] Att samtycket ska vara uttryckligt innebär för svensk rätts del ett tydligt undantag från regeln enligt allmän avtalsrätt att samtycke kan anses föreligga även då detta inte uttryckts entydigt. Det finns dock inga hållpunkter för att ordet ”samtycke” heller annars skulle kunna fyllas med ett avtalsrättsligt innehåll i egentlig mening.^[22] Antagligen måste det i begreppet ändå tolkas in krav på ett uttryck som uppfyller åtminstone grundläggande krav för en rättshandling. Det kommer normalt vara fallet om det föreligger en aktiv handling från kundens sida där det också av proceduren för godkännandet framgår vad som godkänns.^[23] I sådana situationer före­ligger en handlingsvilja, och vad som får betraktas som ett informerat och uttryckligt samtycke.^[24] Genom att krav på stark kundautentisering infördes för att begränsa obehöriga transaktioner och att reglerna om ansvar och återbetalning vid obehöriga transaktioner kan påverkas av om stark kund­auten­tise­ring har använts eller inte,^[25] är det i praktiken så att ett godkännande (samtycke) normalt förutsätter användning av stark kundautentisering, typiskt sett (mobilt) BankID.

När en betalningstransaktion har genomförts till följd av en betal­nings­order godkänd av betaltjänstanvändaren själv på det sätt som beskrivs i betaltjänstleverantörens ramavtal, är det enligt min upp­fatt­ning uteslutet att anse transaktionen som obehörig i betaltjänstlagens mening annat än i situationer då kunden har tvingats använda sitt betalningsinstrument så att ingen handlingsvilja kan anses ha före­legat.

Detta blir ytterligare tydligt om man beaktar hur 5 kap. 6 § och 5 a kap. 3 § betaltjänstlagen om kundens ansvar vid obehöriga transak­tioner har utformats, eftersom detta enligt lagstiftningen förutsätter att kunden har brustit i att skydda behörighetsfunktionerna till sitt betal­ningsinstrument. Att det inte finns regler om kundens ansvar när den själv har godkänt transaktionen har den enkla förklaringen att sådana transaktioner är behöriga och därför inte aktualiserar någon skyldighet att återställa kontot enligt 5 a kap. 1 § betaltjänstlagen. Det behövs då heller inte regler om kundens ansvar i dessa situationer, fastän kundens faktiska medverkan har varit avgörande för bedragarens framgång.

Det kan givetvis uppfattas som en brist att denna form av bedrägerier inte beaktas i regleringen, men det kan delvis förklaras med att regleringen är reaktiv och ursprungligen syftade till att hantera andra former av bedrägerier. Detta är en brist som till viss del förväntas bli åtgärdad genom uppdateringarna av PSD2,^[26] men för transaktioner som företas innan en sådan uppdaterad reglering träder ikraft är rättsläget tydligt: En transaktion som kunden frivilligt har godkänt på det vis som krävs enligt regleringen och avtalet med betaltjänstleverantören är behörig.

 

Nationella ogiltighetsreglers tillämpning på betalningsinstruktioner och förhållandet till betaltjänstlagstiftningen

Att nationella avtalsrättsliga ogiltighetsregler är tillämpliga också på det finansiella området, och även på betaltjänstlagstiftningens om­råde, är uppenbart när det gäller de avtal som sluts med betal­tjänst­leverantören om tjänsterna ifråga.^[27] Om detsamma ska gälla vid kund­ens nyttjande av tjänsterna som erbjudits är mer osäkert. Det finns som jag ser det huvudsakligen två orsaker till att allmänna avtalsrättsliga regler kanske inte bör vara tillämpliga.

En viktig orsak är att betaltjänst­lagstiftningen innehåller egna krav på procedurer för genomförande och godkännande av betalningar.^[28] Utan att gå in på frågan om de EU-rättsliga reglerna är till hinder för en tillämpning av nationella avtalsrättsliga regler i allmänhet och ogiltighetsreglerna i synnerhet,^[29] finns det därför anledning att göra några reflektioner om förhållandet mellan regelverken.

Särskilt kan noteras att de betaltjänsträttsliga procedurerna inte överhuvudtaget bygger på vilka avtalsrättsliga regler eller principer som finns inom EU:s medlemsstater, och att sådana inte heller verkar ha beaktats i samband med regleringens tillkomst. Det finns alltså inte hållpunkter för att det från EU-lagstiftarens sida har gjorts försök till att anpassa betaltjänstlagstiftningen till, eller placera den i, en för­mögen­hetsrättslig kontext. Inte heller vid den svenska implemen­te­ringen verkar relationen mellan betaltjänstlagstiftningen och den natio­nella förmögenhetsrätten i allmänhet eller förhållandet mellan de betaltjänsträttsliga krav på samtycke och de nationella reglerna om ogiltighet i synnerhet ha beaktats.^[30] Att komplettera betaltjänst­regle­ringen med nationella regler om ogiltighet riskerar därför att be­gränsa unionsrättens förmåga att säkerställa en effektiv inre marknad. Efter­som regelverken inte har anpassats till varandra, kommer tillämp­ning av nationella ogiltighetsregler därtill kunna föra med sig en risk för regelkonflikter och ökad osäkerhet om hur regel­efter­levnad ska ske.

Även om det finns hållpunkter som antyder att nationella avtals­rättsliga ogiltighetsregler inte kan tillämpas på typfallet utan att komma i konflikt med Sveriges unionsrättsliga förpliktelser, är det tydligt att den svenska lagstiftaren inte har vidtagit åtgärder för att förhindra sådan tillämpning.^[31] Det finns därför anledning att under­söka om de nationella ogiltighetsreglerna, i första hand 30 § avtals­lagen om svek, materiellt kan innebära att en transaktion som enligt betaltjänst­lag­stift­ningen är godkänd ändå kan anses vara obehörig, och hur bedöm­ningen i så fall ska gå till.^[32]

Avtalslagen, och därmed också tredje kapitlets regler om ogiltighet, är allmänt tillämplig på det förmögenhetsrättsliga området, även om reglernas rekvisit givetvis begränsar regleringens praktiska räckvidd. Normalt är det om motpartens beteende är sådant att ogiltighetsgrundens specifika rekvisit är uppfyllda som diskuteras närmare i framställningar om ogiltighet. I detta sammanhang kan det emellertid finnas anledning att börja med en annan, och ofta underförstådd eller rentav bortglömd, förutsättning som också framgår av bestämmelserna. Ogiltighetsgrunderna gäller nämligen rättshandlingars ogiltighet. Eftersom frågor om ogiltighet normalt uppkommer i klassiska avtalsrelationer, finns oftast ingen anledning att närmare problematisera närmare vad det egentligen är som blir ogiltigt. För frågan om ogiltighetsreglerna kan påverka bedömningen av om en transaktion är behörig eller obehörig enligt betaltjänstlagstiftningen kan det förhålla sig annorlunda. Det är därför lämpligt att i detta typfall först se närmare på vilken rättshandling det i så fall är som avses, och som ska bedömas med hjälp av ogiltighetsregeln.

En rättshandling kan i svensk rätt ha många olika skepnader men i grunden handlar det om något som uttrycker en bindningsvilja avseende att ”grundlägga, förändra eller upphäva ett rättsförhållande”.^[33] Att ett uttryck kan placeras i rättshandlings­terminologin behöver emellertid inte nödvändigtvis betyda att just det uttrycket i ett konkret fall också är den rättshandling som avses i ogiltighetsreglerna. I syfte att försöka närmare precisera vad detta innebär, tar jag utgångspunkt i ett exempel som torde vara träffande för just den sorts transaktioner som här avses: En bankkund som vill genomföra en betalning till en betalningsmottagare.

När en kund vill genomföra betalningar sker det normalt med hjälp av minst en, ofta flera, betaltjänstleverantörer och eventuella betalningsinitieringstjänster. Dessa aktörer fungerar som närmast mekaniska förmedlare och är därför, trots deras faktiska inblandning i genomförandet, att anse som utomstående i förhållande till de transaktioner som görs. Att en betalningstransaktion som koncept enligt betaltjänstlagstiftningen är oberoende av det underliggande förhållandet mellan betalaren och betalningsmottagaren framgår också uttryckligen av definitionen av betalningstransaktion i 1 kap. 4 § betaltjänstlagen.

Om man absolut vill sätta juridiska märklappar på betaltjänst­leveran­törens inblandning, skulle beteckningar som bud eller passiv utförare passa rätt väl. Eftersom det i praktiken är betaltjänst­leveran­törens system som är centralt, kan man emellertid likväl se på det hela som att betalaren har tillgång till ett verktyg (systemet) genom vilket denne kan genomföra betalningen. Betaltjänst­leveran­tören är alltså inte jämför­bar med en fullmäktig eller mellan­man i vanlig mening, utan tillhanda­håller en digitaliserad tjänst som möjliggör det faktiska genomförandet av transaktionen.

En betalning innebär, trots sin karaktär av att främst vara en faktisk handling, oftast att ett rättsförhållande förändras eller upphävs, exempelvis när ett köp fullgörs från köparens sida. Betalningen kan därför utan svårighet anses vara en rättshandling.^[34] Det innebär emellertid inte nödvändigtvis att alla steg som behövs för att rent praktiskt genomföra betalningen också ska behandlas som självständiga rättshandlingar som kan vara föremål för prövning enligt ogiltighetsgrunderna.

I detta sammanhang är det av intresse att se närmare på vilka aktörer som innehar relevanta funktioner i relation till den aktuella rätts­hand­lingen. I exemplet med en betalning är detta ganska enkelt: Betalaren är att anse som avgivare av rättshandlingen och betalningsmottagaren är att anse som mottagare, eller för att använda lagens terminologi: betalningsmottagaren är den ”gentemot vilken” rättshandlingen företogs. I detta sammanhang spelar det ingen roll om det tekniska genomförandet av betalningen involverar ytterligare aktörer, hur många eller vilka dessa i så fall är. Det är fortsatt betalaren och betalningsmottagaren som är de relevanta aktörerna när rättshandlingens existens och giltighet ska bedömas.

Kundens instruktion till sin kontoförvaltande betaltjänstleverantör kan också, åtminstone teoretiskt, placeras i en rättshandlingsterminologi. Instruktionen är en uppmaning till mottagaren om att genomföra en transaktion, även om det först är genom själva genomförandet som fordrings­förhållandet mellan kund och bank förändras.^[35] Fastän betalningsinstruktionen får betydelse också för rättsförhållandet mellan kund och bank, är det ganska tydligt att detta är en bieffekt av, och inte själva poängen med, den betalning som kunden gör. Detta blir än tydligare när man beaktar att betaltjänstleverantören som utgångspunkt inte får låta bli att genomföra transaktionen när kunden givit en betalningsorder. Kontrasten är stor till situationer då mottagaren är tänkt att själv härleda rättigheter från rättshandlingen.

Poängen ovan är att visa att det vid tillämpningen av 3 kap. avtals­lagens ogiltighetsregler inte räcker att identifiera ett uttryck som i och för sig, och abstrakt, kan uppfylla kriterierna för att vara en rätts­handling, utan bedömningen måste också beakta relationer och funktioner. Att relation och funktion är centrala vid bedömningen av vad som utgör en rättshandling framgår tydligt när just rättshand­lingskriterierna behandlas närmare i teoretiska framställningar: Det handlar om konkreta relationer där adressaten för rättshandlingen är den enligt handlingen tilltänkta löftesmottagaren. Det är också rätts­för­hållandet mellan avgivaren (betalaren) och just denna löftes­motta­gare (betalningsmottagaren) som rättshandlingen ska vara ägnad att ändra. Detta rättsförhållande står alltså betaltjänstleverantören utan­för, vilket den också måste göra om systemet ska fungera som tänkt.

Ett något mer analogt, men ändå talande, exempel kan illustrera samma poäng: En person sluter ett avtal om köp av en äldre begagnad bil för 250 000 kronor. Säljaren har förespeglat köparen ett högre värde och framhållit att bilen är ett sällsynt veteranexemplar i utmärkt skick, vilket givetvis inte stämmer. Tvärt om är bilen ifråga av sådant märke och modell att den inte ens som ny var värd summan. I textfältet som anger vad betalningen avser skrivs märke, modell och bilens produktionsår in. Att köparen här har förmåtts att sluta avtalet genom säljarens svikliga förledande är tydligt, vilket innebär att köparen kan göra invändning om ogiltighet gällande gentemot säljaren och kräva köpeskillingen åter. Att ifrågasätta giltigheten av betalningsordern som köparen givit till sin kontoförvaltande betaltjänstleverantör, och därigenom (också) kunna kräva medlen åter från betaltjänstleverantören, sticker däremot ut som klart felaktigt.^[36]

Det som i en kontext hanteras som en rättshandling kan i själva verket bestå av en mängd olika rättsfakta som teoretiskt sett kan delas upp i olika steg, och där flera av dessa kan placeras in i just rättshand­lingsbegreppet. Att spalta upp det som utgjorde en funktionell helhet i delar, för att därefter — utan hänsyn till helheten — analysera delarna var för sig, riskerar emellertid att leda till en rättstillämpning som tydligt avviker från hur reglerna var tänkta att fungera.

Fastän det inte finns auktoritativa rättskällor med uttalanden om frågan,^[37] är den bild som framträder om man försöker förstå ogiltighetsreglernas användning av rättshandlings­begreppet inte otydlig. Det som har sagts ovan leder mig därför till slutsatsen att situationer då en betaltjänstanvändare exempelvis svikligen har förletts av en bedragare till att genomföra en betalningstransaktion, inte kan hanteras som en fråga om tredjemans svikliga förledande i relation till betaltjänstleverantören eftersom betaltjänstleverantören inte alls är ”den, gentemot vilken rättshandlingen företogs”. En sådan konstruktion förutsätter tvärt­­emot att man växlar fokus mellan olika rättsfakta på ett sätt som leder till en mycket ansträngd, och enligt min uppfattning också felaktig, regeltillämpning.

 

Närmare om bedömningen av ond tro som förutsättning för en invändning om ogiltighet

Grundläggande utgångspunkter

Skulle man bortse från diskussionen och slutsatsen ovan, och ändå vilja försöka tillämpa 30 § avtalslagen på den instruktion som kunden ger betaltjänstleverantören i och med betalningsordern, finns det ett antal frågor att diskutera närmare som alla anknyter till bedömningen av betaltjänstleverantörens goda eller onda tro.

Till en början kan det konstateras att förutsättningen för ogiltighet enligt 30 § avtalslagen är att betaltjänstleverantören insåg eller borde ha insett att rättshandlingen hade framkallats genom ett svikligt för­ledande. Detta framgår uttryckligen av lagtexten och innebär att det dels måste göras en analys av vad löftesmottagaren borde ha insett, vilket också innebär ett behov av att diskutera hur en sådan bedöm­ning ska göras, dels måste klarläggas närmare vad löftesmottagaren mer exakt ska ha varit i ond tro om, och vilken sorts kunskap som är relevant vid bedömningen. Dessa delfrågor kan inte fullt ut hållas isär.

Bedömningen av om ond tro föreligger ska, vilket också uttryckligen framgår av 39 § avtalslagen, ske mot bakgrund av den kunskap som banken hade eller borde ha haft vid den tidpunkt som rättshandlingen mottogs. Information som inhämtats efter att transaktionen har genomförts får inte beaktas.^[38] Fastän detta är en banal poäng är den helt central om en korrekt tillämpning av ogiltighetsreglerna ska kunna uppnås.  

En annan grundläggande utgångspunkt att ha med sig, är att ogil­tig­hetsgrunderna (förutom 28 § avtalslagen om råntvång) i allt väsent­ligt bygger på tillitsteorin. Man måste därför ha löftesmottagarens perspek­tiv och fokusera på dennes tillit, snarare än att diskutera löftesgivarens vilja.^[39] Det senare är väsentligt när det gäller frågan om förfarandet överhuvudtaget är sådant att ogiltighetsgrunden kan aktualiseras, men alltså inte vid bedömningen av löftesmottagarens goda eller onda tro.

Utgångspunkten som regleringen bygger på, och syftar till att ta tillvara, är att den medkontrahent som inte själv har påverkat löftesgivaren genom ett svikligt förledande, inte heller ska kunna mötas med en invändning om ogiltighet. För att undvika stötande resultat och kringgåenden skyddas emellertid bara den löftesmottagare som inte är i ond tro.^[40] Det är alltså den onda tron som behöver styrkas om löftesgivaren ska kunna göra tredjemans svikliga förledande gällande mot löftesmottagaren, och bevisbördan för detta åvilar i vanlig ordning löftesgivaren.^[41]

När ogiltighetsreglerna ska tillämpas är det också nödvändigt att ha en grundläggande förståelse för förutsättningarna för ett avtalsslut, efter­som dessa utgjorde grunden för utformningen av ogiltighets­reglerna. I korthet kan man säga att det handlar om kommunikation^[42] mellan människor som syftar till att påverka rättsförhållandet mellan dessa, eller mellan de aktörer som de involverade människorna före­träder. Det sagda är inte alls till hinder för att reglerna ska kunna tillämpas och fungera även i en digital kontext, utan tvärtemot är reglerna teknikneutrala och till stor del anpassningsbara för nya sam­hällsförhållanden. Det är ändå viktigt att ha med sig att reglerna förut­sätter att det finns och kan identifieras personer som vid tidpunkten för mottagandet av rättshandlingen antingen hade, eller borde ha haft, kunskap om att rättshandlingen hade framkallats genom ett svikligt förledande.

Utgångspunkten är alltså att löftesmottagaren har rätt att förlita sig på rättshandlingen om det inte visas att mottagaren har varit i ond tro. Som har nämnts tidigare syftar ondtrosrekvisitet till att förhindra stötande resultat, och tröskeln för att ond tro ska anses föreligga är därför ganska hög. Detta stöds bland annat av förarbetena till andra ogiltighetsregler i 3 kap. avtalslagen.^[43] Reklamationsregeln i 28 § andra stycket motiveras i förarbetena med att den är nödvändig för att skydda den godtroende medkontrahenten (mottagaren av rättshandlingen), eftersom denne annars saknar förutsättningar för att känna till problemet. Orsaken till att någon reklamationsregel inte intogs i 29–31 och 33 §§ avtalslagen var att dessa förutsätter att mottagaren är i ond tro, varför mottagaren av rättshandlingen inte ansågs ha behov av någon reklamation för att bli varse de relevanta omständigheterna.^[44]

Fastän bedömningen av vad löftesmottagaren borde ha insett förutsätter att en aktsamhetsbedömning görs, handlar det alltså inte om en allmänt fri aktsamhetsvärdering där löftesmottagarens beteende eller verksamhet i största allmänhet är föremål för bedömning, utan om en skyddsventil som utlöses endast om löftesmottagaren har haft, eller borde ha haft, kunskap om ett konkret förhållande.

Med den transaktionsvolym som präglar betaltjänstmarknaden, är det en nödvändighet att systemet bygger på digitaliserade och auto­matiserade processer, oftast helt utan manuell hantering av den en­skilda transaktionen.^[45] Givetvis kan ingen aktör genom att auto­ma­tisera sina processer skydda sig mot att kunna anses ha varit i ond tro.^[46] Men om inte någon fysisk person med kunskap om de relevanta omstän­dig­heterna kan identifieras, måste det som minimum vara möjligt att peka på att en sådan person borde ha funnits. Därtill måste en bedömning göras om en sådan person borde ha insett att betal­ningsordern eller godkännandet av transaktionen hade fram­kallats genom tredjemans svikliga förledande.

 

Ond tro om vad?

Som har nämnts ovan följer det av lagtexten att den onda tron ska vara kopplad till den konkreta omständighet som lagtexten gäller, alltså existensen av ett svikligt förledande. Ond tro om andra, lag­texten ovid­kommande, omständigheter, är som utgångspunkt irrele­vant.^[47] Detta är av betydelse eftersom det påverkar vad som kan utgöra rele­vanta omständigheter som väcker misstanke om ett svik­ligt förledande, vilka är av betydelse för bedömningen av vad löftes­mottagaren borde ha insett.

Omständigheterna måste vara sådana att de, var för sig eller tillsammans, leder till att betaltjänstleverantören, vid den tidpunkt som instruktionen gavs, hade konkreta skäl att misstänka att just denna transaktionen hade initierats till följd av ett svikligt förledande.^[48] Detta ställer ganska höga krav på informationen eftersom ett i största allmänhet avvikande eller till och med konstigt beteende inte alls behöver indikera ett svikligt förledande. Endast om sådana omständigheter föreligger, att det mot bakgrund av dessa vore i strid med god affärssed att inte göra närmare undersökningar, kan en eventuell undersökningsplikt avseende rättshandlingens tillkomst åläggas löftesmottagaren.^[49]

Även om det är välkänt att vissa grupper i befolkningen är väsentligt mer utsatta för bedrägerier än andra, är det därmed svårt att se hur uppgifter om exempelvis betalarens ålder i sig, ens tillsammans med tekniska data om transaktionen, skulle kunna indikera ett konkret svikligt förledande, vilket är vad ondtrosbedömningen enligt 30 § avtalslagen förutsätter.^[50]

Utöver att betalaren givetvis är känd^[51] är det objektivt konstaterbara och tekniska data om transaktionen och dess godkännande som till en början kan beaktas. Betaltjänst­leverantören har inte, och förväntas heller inte ha, insyn i vad kunden företar sig eller varför, vem den umgås med, vilka den känner etc. I detta sammanhang är det också viktigt att ha med sig att en betaltjänstleverantör egentligen inte har något att göra med vad kunderna lägger sina pengar på så länge pengarna har ett legitimt ursprung och det inte föreligger misstanke om terrorfinansiering. Även transaktioner som sticker ut i jämförelse med kundens vardagliga betalningar är oftast fullt legitima,^[52] och för de flesta vanliga konsumenter är det ordinärt snarare än konstigt att sällan göra av med stora belopp.^[53] Härtill kommer att bedragarna inte bara försöker få ut ”stora belopp” utan väl så gärna flera små, och att de bedrägliga transaktionerna är få sett till det totala antalet transak­tioner som genomförs.^[54] Statistiska data är därför inte särskilt väl lämpade för att avgöra vilka konkreta misstankar betaltjänst­leveran­tören borde ha haft avseende kundens bakomliggande skäl till att ge en betalnings­order.^[55]

 

Avgränsning av subjektet vars kunskap ska bedömas och förhållandet mellan information och kunskap

Vid bedömning av en löftesmottagares goda eller onda tro måste man hålla isär information och kunskap. Ond tro förutsätter kunskap (fak­tisk eller att man borde ha haft den) och att subjektet kände till, eller borde ha känt till, relevansen av den kunskap som fanns.^[56] Kunskapen ska därtill ha funnits hos en relevant person. När en juri­disk person är löftesmottagare innebär det sagda ett behov av att identifiera vem, eller vilka, vars kunskap ska bedömas närmare. Att det inom en juridisk persons verksamhet som helhet kan ha funnits, eller borde ha funnits, information som hade potential för att leda till relevant kun­skap, är alltså inte detsamma som att denna information också är relevant att beakta vid bedömningen av ond tro i ett specifikt ärende.

När subjektet för den goda tron är en juridisk person kan också subjektet som sådant behöva avgränsas närmare. Här är det inte möjligt att ge allmänna riktlinjer för hur avgränsningen ska ske eftersom det beror på aktörens interna organisation. Som en utgångspunkt kan emellertid sägas att tillräknande av kunskap endast kan ske inom ramen för relevant ansvarsområde.^[57] Det kan exempelvis innebära att varje verksamhetsgren eller avdelning bedöms för sig, givetvis med undantag för den sorts information som ledande företrädare eller särskilt utsedda ansvariga förväntas ha.

Även i detta sammanhang spelar det praktisk roll att betaltjänstleverantören står utanför själva transaktionen. En viktig aspekt av rättshandlingsbegreppets kriterier anknyter trots allt till mottagaren, som är tänkt att kunna förlita sig på rättshandlingen. Att identifiera vilken eller vilka personer som är relevanta aktörer vid bedömningen av den juridiska personens goda tro vid mottagandet av rättshandlingen, och därmed vems eller vilkas kunskap om relevanta omständigheter som kan påverka rätten att göra rättshandlingen gällande, är normalt helt oproblematiskt. Så är det exempelvis när en bank sluter avtal med en företagskund om att bevilja en kredit som ska säkras med en skötselborgen. Det är i ett sådant fall inte svårt att identifiera vilken eller vilka anställda som har, eller borde ha, hanterat ärendet och vars kunskap kommer att vara relevant vid bedömningen av om banken kan anses ha varit i ond tro avseende rättshandlingarnas giltighet.^[58] Detta är väsentligt svårare, för att inte säga omöjligt, när det istället handlar om att bedöma betaltjänstleverantörens kunskap avseende en enskild betalningstransaktion eftersom det vid en normal hantering inte kommer att vara möjligt att påvisa att någon manuell kontroll eller sådan person borde ha funnits vid tidpunkten för genomförandet av transaktionen.

Därtill kommer ett annat särdrag med betaltjänstsituationen, som i förbigående nämnts tidigare, nämligen att betaltjänstleverantören inte fritt kan välja att låta bli att genomföra transaktionen. Antag att det ändå förekommit personlig kontakt med en kund, exempelvis därför att kunden vill höja beloppsgränsen för Swish mer än vad det digitaliserade systemet tillåter. Den bankanställda skulle i ett sådant fall förhoppningsvis lyckas avvärja ett eventuellt bedrägeri, men det vore uteslutande i syfte att försöka skydda kunden, inte för att skydda banken mot en möjlig invändning om ogiltighet. Och även om den bankanställda under samtalet skulle få en misstanke om att kunden höll på att bli utsatt för ett bedrägeri av något slag, skulle den bank­anställda inte ha rätt att överpröva kundens instruktioner.^[59]

Förhållandet till andra regler vars efterlevnad ger information

I förlängningen av det nyss sagda kommer vi in på betydelsen av andra skyldigheter och information inhämtad i samband med efterlevnaden av sådana. Detta är särskilt intressant eftersom banker och andra betal­tjänstleverantörer lyder under ett omfattande regelverk som i många delar förutsätter både informationsinhämtning och analys av inhämtad information. Det är inte alls otänkbart att information som kan tyda på bedräglig påverkan kan finnas hos betaltjänst­leveran­tören som resultat av att dessa andra regler efterlevs.^[60] Frågan är alltså om man vid bedöm­ningen av betaltjänstleverantörens kunskap i rela­tion till tredjemans svikliga förledande också ska beakta all informa­tion och kunskap som aktören har fått i andra sammanhang.

Också detta är en sorts tillräknandeproblematik där man som utgångspunkt kan säga att olika delar av en verksamhet inte förväntas dela information med varandra, om inte sådan informationsdelning följer av lag och syftar till att ta tillvara de intressen som skyddas av regleringen i fråga.^[61] Här är det av betydelse att de skyldigheter som åvilar aktören främst är av tydligt regulatorisk karaktär.^[62] De handlar i stort om att skydda intresset av tillgängliga och säkra system eftersom det digitaliserade betaltjänstsystemet är en samhällskritisk infrastruktur av betydelse för finansiell stabilitet. För att uppnå detta är det också nödvändigt att begränsa de risker som kunderna utsätts för, exempelvis i form av risk för bedrägerier.

Även om efterlevnaden av regulatoriska regler givetvis också rent faktiskt har stor betydelse för kunderna, och att reglerna ständigt ut­vecklas i syfte att bli effektivare också när det gäller möjligheterna till att förhindra och upptäcka bedrägerier, är det kunderna som kollek­tiv, inte den enskilde kunden, som är skyddsobjekt.^[63] Mot bakgrund av det sagda är det tydligt att den information och de system som en betal­tjänstleverantör förväntas ha, inte egentligen syftar till att betaltjänst­leverantören ska erhålla kunskap om den enskilda transak­tionen i syfte att kunna avslöja om den har föranletts av en tredjemans otillbörliga påverkan. Istället är bristfällig efter­levnad av sådana regler något som är relevant inom ramen för tillsynsärenden.^[64]

Det är inte otänkbart att allvarliga åsidosättanden av skyldigheter som syftar till att säkra systemet kan åberopas av en kund i en civilrättslig tvist. Kunden har en berättigad förväntan om att betaltjänstleverantören följer de regler som finns i syfte att det system som erbjuds ska vara säkert och ständigt utvecklas med målet att hantera operativa risker, däribland bedrägeririsken. Har brister i regelefterlevnad, åtmin­stone om reglerna delvis syftar till att skydda kunderna mot bedrägerier, orsakat skada, kan det finnas utrymme för ett skadeståndsansvar mot bakgrund av det ramavtal som har slutits mellan parterna. Denna sorts brister har emellertid enligt min mening ingen direkt betydelse för bedömningen av betaltjänstleverantörens goda eller onda tro avseende enskilda transaktioner som genomförs med hjälp av tjänsten.

 

Avslutande reflektioner

När jag först tog mig an frågan om 30 § avtalslagen kunde tillämpas på en betalningsinstruktion, trodde jag att svaret åtminstone princi­piellt skulle bli bekräftande, även om svårigheterna med att konsta­tera ond tro hos betaltjänstleverantören stod ut som påtagliga. Nästan ”vad som helst” kan ju trots allt vara en rättshandling, och ogiltig­hets­grunderna gäller just rättshandlingar. I försöket att motivera denna principiella ståndpunkt insåg jag emellertid behovet av att omvärdera min ursprungliga uppfattning. 

Alla ogiltighetsgrunder i 3 kap. avtalslagen förutsätter att man identifierar vilken rättshandling det är som ska bedömas närmare, och som ska ha kommit till på närmare angivet sätt. I denna process räcker det dock inte att identifiera ett valfritt uttryck som i och för sig och bedömt isolerat sett kan anses som en rättshandling. Man måste identifiera vad som utgör den i sammanhanget relevanta rättshandlingen, och vilka som enligt denna är relevanta parter. Vid genomförandet av betalningstransaktioner är betalningen den relevanta rättshandlingen och betalningsmottagaren den gentemot vilken rättshandlingen företogs. Detta gäller oavsett om betalningen sker med hjälp av kontanter, kontokort, Swish, internettbank eller på annat vis, som alla förutsätter ytterligare steg och åtgärder som var för sig också kan placeras in i en rättshandlingsterminologi. Betaltjänstleverantören står emellertid tydligt utanför den centrala relationen, och tillhandahåller bara ett verktyg för ett automatiserat genomförande.

Denna position som utanförstående till den aktuella rättshand­lingen påverkar också bedömningen av betaltjänstleverantörens goda eller onda tro, om man trots det sagda vill försöka pressa in typfallet i ogiltighetsfacket. Ogiltighetsgrunderna i avtalslagen kräver ond tro avseende den omständighet som innebär att ogiltighetsgrundens gär­nings­beskrivning är uppfylld. Det är endast konkret misstanke om sådana förhållanden vid tidpunkten för mottagandet av rättshandlingen som kan leda till en undersökningsplikt, vars åsidosättande kan leda till att ond tro anses föreligga. Regeln ger alltså inte anvisning om någon fri culpabedömning, där mottagarens beteende eller kunskap i största allmänhet beaktas, och inte heller öppnar regeln för en intresse­avvägning, där den rika banken ställs mot den ömkansvärda kunden.

Att ondtrosbedömningen regelbundet lär falla ut i betaltjänstleverantörens favör kanske gör att någon kan ifrågasätta nyttan av att diskutera den principiella frågan om betalnings­instruktionen kan vara den ur ogiltighetsgrundens synvinkel relevanta rättshandlingen. Detta handlar dock inte bara, eller ens primärt, om vilken slutsatsen i en konkret tvist blir, utan om vad som utgör en korrekt rättstillämpning.

Att ett stort antal människor utsätts för bedrägerier är ett samhällsproblem. Det är som sig bör att ett stort ansvar för detta åläggs de som har varit pådrivande och även tjänat på digitali­seringen på området. Det är lätt att gripas av grymheten i de konkreta situationer där en­skilda förlorat sina livs besparingar, för att de av bedragare lurats att använda verktyg som de inte bett om att få och i praktiken måste använda för att kunna genomföra vardagliga betalningar. Kanske bör betaltjänstleverantörerna mot bakgrund av dessa iakttagelser åläggas ett större ansvar för olika bedrägliga transaktioner än vad som är fallet idag. Mot detta synsätt talar att det stora antalet bedrägerier har möjliggjorts genom vad som får betraktas som ett systemfel skapat av en rad samverkande orsaker, där brister i specialregleringen av banktjänster och betaltjänster har en betydande roll. Detta handlar nämligen inte bara, eller ens främst, om den stora stygga banken i mötet med den lilla människan. Väl så stort ansvar vilar på lagstiftaren som under många år brustit i att förhålla sig till de mål- och regelkonflikter som den utsatt betaltjänstleverantörerna för. I detta står många intressen mot varan­dra, och målkonflikterna måste lösas och kunderna skyddas. Det görs dock inte genom att tänja på nationella ogiltighetsregler för att täcka för brister i specialregleringen.

 

---

[1]  Universitetslektor och docent i civilrätt vid Juridiska institutionen, Uppsala universitet. Tack till forskningsamanuens jur.stud. Ludwig Irveland för alltid pålit­lig korrekturläsning och värdefull hjälp med att överblicka ett stort EU-rätts­ligt material.

[2]  Se bild 6 i Johan Sekoras, Global head of Financial Crime Prevention på SEB, presentation från Svenska Bankföreningens digitala seminarium den 26 januari 2024 för en illustration. https://www.swedishbankers.se/media/5753/240126-johan-sekora-seb.pdf (senast läst 1 februari 2024).

[3]  Uttalandet gjordes ca 6 minuter och 50 sekunder in i seminariet under Johan Sekoras presentation. 

[4]  Av 1 kap. 4 § mom. 9 betaltjänstlagen framgår att ett betalningsinstrument är ”ett kontokort eller något annat personligt instrument eller en personlig rutin som enligt avtal används för att initiera en betalningsorder”.

[5]  Har kunden grovt vårdslöst åsidosatt skyldigheterna som följer av 5 kap. 6 § betaltjänstlagen ansvarar kunden enligt 5 a kap. 3 § första stycket för hela be­loppet, men enligt andra stycket endast för 12 000 kronor om kunden är konsu­ment. Har kunden handlat särskilt klandervärt svarar den för hela beloppet, även om det handlar om en konsument. HD har i NJA 2022 s. 522 givit närmare ledning för hur rekvisitet särskilt klandervärt ska förstås. Se Aagaard, BankID-bedrägeriet, JT 2022 s. 63–80 för en närmare analys av domen.

[6]  Se ARN:s vägledande avgörande 2019-11253. Som framgår av ARN:s avgörande 2022-17634 har tillkomsten av NJA 2022 s. 522 inte påverkat denna bedömning.

[7]  Stämningsansökan med Konsumentombudsmannens diarienummer 2023/161 skickades in till Stockholms tingsrätt 7 december 2023, där ärendet har fått målnummer T 18737-23.

[8]  I andra hand har kunden anfört att banken har åsidosatt sina skyldigheter som syssloman och därför har ett skadeståndsrättsligt ansvar för den skada som kunden har lidit.  

[9]  En betalningstransaktion ska betraktas som godkänd om betalaren uttryckligen har lämnat sitt samtycke till att den genomförs, 5 kap. 3 § första stycket betal­tjänst­lagen.

[10]  Det anförs i stämningsansökan att kunden i ett sådant fall inte ska ansvara för någon del av beloppet eftersom kunden inte har brustit i att skydda sina person­liga behörighetsfunktioner. Det finns inte utrymme att här gå närmare in på fråge­ställningen, men detta kan inte vara en korrekt uppfattning.

[11]  Jag har tidigare själv haft anledning att kort beröra gränsdragningen mellan behöriga och obehöriga transaktioner, om än med annat fokus och utan att be­handla frågan som sådan närmare. Se Aagaard, Låneavtalet med Svea Ekonomi, SvJT 2023 s. 541 på s. 559–560, Aagaard, ARN och obehöriga transaktioner, SvJT 2023 s. 457 på s. 468–469, Aagaard, BankID-bedrägeriet, JT 2022–23 s. 63–80 på s. 76, Aagaard, Obehörig användning av e-legitimation och läran om misstags­betalning, JT 2021–22 s. 866–890 på s. 880–881 (fotnot 52). Inom ramen för SODI-projektet vid Universitetet i Oslo finns också en forskningsamanuens som skriver examensarbete om gränsdragningen mellan behöriga och obehöriga transaktioner enligt den norska regleringen. Gränsdragningen uppmärksammas också kort i en artikel av Kjørven, Wold, Fosdahl, Brataas och Skar Eide som våren 2024 är under publicering i Jussens Venner.

[12]  Efter att ha tagit del av svarande parts kompletterande svaromål som enligt dagboksbladet gavs in till Stockholms tingsrätt 6 februari 2024 finns anledning att påpeka att största delen av min framställning tillkom under december 2023 och januari 2024.

[13]  Notera att när jag i Låneavtalet med Svea Ekonomi, SvJT 2023 s. 541 på s. 559–560 problematiserade om en tillitsfullmakt enligt linjerna som drogs upp i NJA 2021 s. 1017 kan uppfylla kravet på samtycke enligt betaltjänstlagens regler efter­som ”ordalagen tyder … på att ett samtycke som täcker den aktuella dispositionen är nödvändigt för att transaktionen ska vara behörig” alltså inte har uttalat mig om vad som eventuellt krävs av samtycket som sådant.

[14]  Det verkar vara allmänt vedertaget på EU-nivå att behöriga bedrägliga transak­tioner inte omfattas av den befintliga regleringen. Eftersom de behöriga bedräg­liga transaktionerna inte alls omfattas, finns frihet att i nationell rätt ge regler om hanteringen av sådana. Se Parliamentary question E-000775/2023(ASW), Answer given by Ms McGuinness on behalf of the European Commission (4.5.2023). Det kan noteras att det inte finns hållpunkter för att den svenska lagstiftaren har för­sökt göra annat än att enligt bästa förmåga implementera EU-regleringen.

[15]  Europaparlamentets och rådets direktiv 2007/64/EG (PSD1), Europa­parlamen­tets och rådets direktiv (EU) 2015/2366 (PSD2).

[16]  Se exempelvis skäl 19 och 41 till PSD2 där den allmänna viljan till ”homogenous interpretation of the rules throughout the internal market” respektive ”a coherent application and interpretation of this Directive” kommer till uttryck.

[17]  European Banking Federation (EBF) och European Banking Authority (EBA) har i olika sammanhang haft anledning att uttala sig om möjligheten att frångå direktivet i nationell rätt och har bl.a. uttalat att ”PSD2 is a maximum harmoni­sation Directive, in which flexibility given to Member States in how they transpose the provisions into national law is minimal” (EBF PSD2 Guidance (2019) s. 88) och “the aspects related to contractual consent given by the PSU to the AISP in accordance with Article 67(2)(a), including its revocation, are governed by the PSD2” (EBA/RTS/2022/03 s. 28). Att principen om direktivkonform tolkning därmed aktualiseras här är därmed tydligt.

[18]  Se 1 kap. 3 § betaltjänstlagen för definitionen av betaltjänster.

[19]  Definierad i 1 kap. 4 § första stycket mom. 11 som ”varje instruktion som en be­talare eller betalningsmottagare ger sin betaltjänstleverantör om att en betal­nings­transaktion ska genomföras.”

[20]  I förarbetena kommenteras frågor såsom till vem samtycket ska ges, att sam­tycket ska vara uttryckligt och vissa frågor gällande återkallande av samtycke. Det sägs emellertid inget som ger ledning till hur samtyckeskravet eventuellt förhåller sig till allmänna avtalsrättsliga regler. Se prop. 2017/18:77 s. 152 (avsnitt 7.2.5).

[21]  Se 4 kap. 10 § första stycket 5. Se också 1 kap. 4 § första stycket mom. 11 (som definierar betalningsorder) läst i samband med mom. 9 (som definierar betal­nings­instrument). Till stöd härför kan också hänvisas till 5 kap. 33 § som anger att betaltjänstleverantören som huvudregel inte får vägra att genomföra en transak­tion som har godkänts i enlighet med det ramavtal som gäller mellan betaltjänst­leverantör och betaltjänstanvändare. Ramavtal är enligt definitionen i 1 kap. 4 § mom. 37 ”ett avtal om betaltjänster som reglerar genomförandet av kommande enskilda och successiva betalningstransaktioner och som kan innehålla skyldig­heter och villkor för att öppna ett betalkonto.” Se också art. 64.2 och 64.4 i PSD2 och Prop. 2009/10:220 s. 211 om implementeringen av art. 54.2 i PSD1 om parternas avtal som avgörande för formen för godkännandet.

[22]  Inte ens i förarbetena till den nu upphävda lag (2010:738) om obehöriga transak­­tioner finns det antydan till att något annat än situationer då någon annan hade använt betalningsinstrumentet åsyftades, se prop. 2009/10:122.

[23]  Se liknande Golecki, Digitalisation of Banking and the Consumer Protection: The Regulation of Unauthorised Payments from the Perspective of Institutional Law and Economics, conference paper, part of the book series Economic Analysis of Law in European Legal Scholarship (EALELS, volume 15) s. 429–442 på s. 432.

[24]  Undantaget blir då situationer där kunden tvingats ge, eller godkänna, en betal­nings­order på ett sådant sätt att handlingen inte alls varit frivillig. Föreligger ingen handlingsvilja, vilket exempelvis kan anses vara fallet i de situationer som kvali­ficerar som råntvång, är det tveksamt om det kan anses föreligga ett nödvändigt samtycke fastän avtalad procedur har följts. Detta beror emellertid i så fall inte på en tillämp­ning av 28 § avtalslagen. Se ARN:s beslut i mål 2022-13993 som verkar bygga på samma förståelse. Att ARN inte alls lyfter in reklamationsregeln i 28 § andra stycket avtalslagen i sitt avgörande, antyder också att deras resonemang trots jämförelsen med råntvångsregeln inte bygger på en tillämpning av nationella ogiltig­hetsregler.

[25]  Se 5 a kap. 5 § jfr 5 b kap. 4 § betaltjänstlagen.

[26]  Förslagen som lades fram 28 juni 2023 avsåg dels ett uppdaterat direktiv (PSD3), dels en ny förordning (PSR). I förslaget till förordningen art. 59 ingår ett förslag om att inkludera vissa behöriga bedrägerier i skyddsregleringen, dock bara under förutsättning att kunden inte har agerat bedrägligt eller grovt vårdslöst. Förslaget innebär alltså inte att dessa transaktioner ska hanteras på samma sätt som obe­hö­riga transaktioner när det gäller ansvarsfördelningen, utan skyddet förutsätter att kunden inte har varit grovt vårdslös. Det återstår dock att se hur den slutliga regle­ringen blir i detta avseende.

[27]  Exempelvis framgår det uttryckligen att ramavtalet som kunden ingår med en betaltjänstleverantör kan vara ogiltigt enligt nationella regler. Se PSD2 art. 55.5 och 55.6 samt prop. 2017/18:77 s. 293. Samma regel framgick av PSD1 art. 45 5, se prop. 2009/10:122 s. 66

[28]  Se avsnitt 2 ovan för en kortfattat beskrivning.

[29]  Vilket en del hållpunkter alltså talar för att de är. Utöver vad som har nämnts i avsnitt 2 ovan, kan noteras att EBA har uttalat att en kontoförvaltande betaltjänst­leverantör inte får kräva att kundens samtycke ska uttryckas också gente­mot denne, när samtycket har givits till en leverantör av en betalnings­initierings­tjänst. Se EBA-2018-4123 (final Q&A) och att kontoförvaltande betaltjänst­leveran­tör inte ens får göra ytterligare kontroller av samtycket när det väl har lämnats i enlighet med av­talade krav till exempelvis leverantören av en betalnings­initierings­tjänst efter­som det kan begränsa sådana tjänsteleverantörers möjlighet att agera på marknaden på lika villkor som kontoförvaltande betaltjänstleverantörer. Se EBF PSD2 Guidance (2019) s. 56.

[30]  Jag kan inte hitta några spår av sådana resonemang vare sig i samband med implementeringen av PSD1 (se prop. 2009/10:122 och prop. 2009/10:220), implementeringen av PSD2 (prop. 2017/18:77) eller senare ”förtydliganden” (prop. 2021/22:202). Det enda jag kan finna med viss anknytning till frågan är ett uttalande i SOU 2005:108 s. 113, men då med sikte på situationen att det handlar om en god man som använder huvudmannens kontokort och går utanför sitt uppdrag och utan huvudmannens samtycke.

[31]  Eftersom lagstiftaren inte verkar ha uppmärksammat risken för att frågan skulle kunna uppkomma, är det inte överraskande att inga åtgärder vidtogs vid imple­menteringen. Då är det mer överraskande att lagstiftaren inte i samband med de ”förtydliganden” som diskuterades i prop. 2021/22:202 har uppmärk­sammat frågans existens.

[32]  Orsaken till det är främst att jag anser att en närmare analys av typfallet lämpar sig väl för att leda fram till fördjupad förståelse för de nationella ogiltighets­reglerna som sådana, av betydelse även för andra typfall.

[33]  Se Förslag till lag om avtal och andra rättshandlingar på förmögenhetsrättens område (Stockholm 1914) [Förslag (1914)] s. 116. För en väsentligt mer djup­lodande beskrivning och diskussion av rättshandlingsbegreppet, med omfattande vidare hänvisningar, se Mossberg, Rättshandlingsbegreppet — kriterierna, JT 2023–24 s. 72–118.

[34]  I Förslag (1914) s. 117 används också en betalning av en skuld som exempel på en rättshandling.

[35]  Fastän det handlar om abstrakta fordringsförhållanden genom inlåning till banken, gör kundens rätt att förfoga över medlen att det åtminstone ur praktisk och funktionell synvinkel är mer träffande att tala om ”kundens medel”.

[36]  Den avtalsrättsliga relationen mellan säljare och köpare påverkas givetvis inte av vad som händer i relationen mellan betalaren och dennes betaltjänstleverantör. En konstruktion som den exemplifierade skulle i förlängningen också öppna för en rad andra frågeställningar som kan bidra till att visa hur otänkbar en sådan rättstillämp­ning är: (i) Köparen kan kräva tillbaka köpeskillingen från säljaren, givetvis mot att lämna tillbaka bilen till säljaren och samtidigt kräva kontot åter­ställt från banken. Köparen/bankkunden har då återfått två gånger beloppet, och ingen bil. (ii) Köpa­ren struntar i säljaren eftersom kontot ändå återställs av banken. Den bedrägliga säljaren slipper undan, betalaren får medlen tillbaka från banken och behåller bilen. I både (i) och (ii) sticker resultatet i ögonen, och kanske skulle man kunna göra något åt det med hjälp av läran om obehörig vinst. Som nästa steg blir då, i båda fallen, att banken tvingas rikta anspråk mot kunden på sådan grund. Något stöd i reglering för att hantera frågorna finns inte.

[37]  Fastän det finns ett antal framställningar som behandlar ogiltighetsregler, rätts­handlingsbegreppet och andra grundfrågor inom avtalsrätten är perspektivet ett annat, med tydligt fokus på den traditionella partskonstellationen där det är tydligt vem som är löftesgivare respektive löftesmottagare. Fastän dessa kan bidra till förståelsen av vad som är kärnan i en avtalssituation avser de inte den frågan mer konkret.

[38]  Se NJA 1999 s. 575 där förutsättningarna för att tillämpa re integra-regeln när en betalningsmottagare kort tid efter mottagandet fått reda på att betalningen föranletts av ett svikligt förledande diskuterades. Eftersom re integra-regeln förut­sätter att löftesmottagaren har fått (eller borde ha fått) relevant kunskap innan rättshandlingen har inverkat på hans handlingssätt, är det svårt att se att regeln kan få någon tillämpning i typfallet med banken som betaltjänstleverantör, eftersom transaktionen normalt kommer att ha effektuerats innan betaltjänst­leverantören har sådan kunskap. Att tillämpa re integra-regeln här skulle därmed innebära en väsent­lig utvidgning av ogiltighetsreglerna.

[39]  Se exempelvis Förslag (1914) s. 124 där det i samband med regeln om lindrigt tvång uttalas att “[e]n rättshandling, som företages under trycket av sådant hot, är visserligen ej heller den resultat av den handlandes fria vilja, men denne har dock här större möjlighet att reagera mot den påtryckning, varför han är utsatt. Att det oaktat låta honom undandraga sig rättshandlingens fullgörelse gentemot en per­son, som saknat all kännedom om de omständigheter, varunder den tillkommit, skulle illa överensstämma med den tendens att skydda förvärv i god tro, som genomgår hela den moderna lagstiftningen.”

[40]  Eftersom ogiltighetsreglerna, som de norska förarbetena uttrycker det (Ot.prp.nr.63 (1917) s. 18 och 19), är till för att råda bot på de missbruk som avtals­friheten kan öppna för och förhindra ”utsugelser”, skulle det innebära stöt­an­de resultat om invändningen inte kunde göras gällande mot en medkontrahent i ond tro.

[41]  Se Förslag (1914) s. 127–128.

[42]  Kommunikation används här i ordets vidaste betydelse, och innefattar givetvis språklig kommunikation, handlingar och underlåtenheter, och allt annat som kan tänkas utgöra relevanta rättsfakta i en bedömning av om en rättshandling före­ligger.

[43]  Förarbetena till avtalslagen är skrivna på så vis att man, om man vill förstå hur saker var tänkt att fungera, behöver läsa (som minst) hela resonemang avseende de olika delkapitlen, men helst även förarbetena som helhet.

[44]  Blickar man ut till typfallet där en betalning som har genomförts med hjälp av en betaltjänst har framkallats genom ett svikligt förledande, är det emellertid helt uppenbart att en reklamation från kunden är nödvändig för att den konto­för­valtan­de betaltjänstleverantören ska bli varse de relevanta, och reella, omständig­heterna.

[45]  Exempelvis gjordes drygt 84 miljoner betalningar med Swish fördelade på drygt 9 miljoner olika kunder bara under november 2023. Fastän transaktionerna belastar konton i en rad olika banker, säger det något om transaktionsvolymen. Härtill kommer också alla andra betalningar, exempelvis kortbetalningar som år 2022 gjordes 3865 miljoner gånger. Istället för manuell hantering finns högt ställda krav på säkerhet, bl.a. i form av krav på användning av sträng kundautentisering och tekniskt driftsäkra system.

[46]  Att betaltjänstleverantören är förpliktad att genomföra transaktioner som har god­känts enligt överenskommen procedur, och att automatiserade system är nöd­vändiga för att fullgöra denna skyldighet, gör emellertid att det inte ens till en början är lämpligt att se på existensen av automatiserade system som ett försök till att begränsa det egna ansvaret från betaltjänstleverantörens sida. 

[47]  Se Aage Thor Falkanger, God tro, Oslo (1999) [Falkanger] s. 116 som drar slutsatsen att fastän det kan upplevas som orimligt att skydda en aktör som är i ond tro om annat, är det så reglerna är utformade och det finns inte stöd för att frångå dem. I sin analys har Falkanger beaktat bl.a. en synpunkt som framförts i svensk doktrin om att frågan är osäker och att, med Adlercreutz ord, ”tämligen starka skäl” talar mot att låta lagtextens formulering väga tyngst. Se (oförändrad) Adler­creutz, Gorton & Lindell-Frantz, Avtalsrätt 1, 14 upplagan (2016) s. 286–287. För­utom att Falkangers analys är väsentligt mer djuplodande än annan doktrin om frågan, har hans slutsats också tydligt bättre stöd i avtalslagens förarbeten och den avvägning mellan olika intressen som lagstiftaren åsyftade med regleringen i 3 kap. avtalslagen än övriga.

[48]  I kommentarerna till 39 § avtalslagen i de norska förarbetena, Ot.prp.nr.63 (1917), på s. 96 framgår det att de av avtalslagens regler som låter det vara avgör­ande om den ene eller andra parten hade eller borde ha haft viss kunskap inte bygger på ett särskilt strängt godtroskrav. Saknas positiv kunskap är det om han ”har en saa sterk mistanke om at det foreligger, at han efter god forretningsskik pligter at undersøke saken. Gjør han ikke det, anses det som om han har været i ond tro.”

[49]  På denna punkt skiljer sig situationen, och bedömningen, tydligt åt från vad som var fallet i NJA 2010 s. 467. I rättsfallet hade en aktör förvärvat ett stort antal löpande skuldebrev och i vanlig ordning krävt betalning. Gäldenären invände att inbetal­ningar på skulden hade gjorts innan överlåtelsen och bestred skyldigheten att betala igen. Frågan var alltså om gäldenären enligt 15 § skuldebrevslagen var förhindrad att göra invändning mot förvärvaren om att skulden redan hade betalats. Mer konkret var frågan om förvärvaren hade varit i god tro vid förvärvet, vilket HD kom till att den inte varit. Eftersom det inom branschen var vanligt att inte göra an­teckning på skuldebrevet vid extraamorteringar (alltså tvärtemot vad skulde­brevs­lagen förutsätter), hade förvärvaren inte anledning att förlita sig på en under­sökning av skuldebrevet som sådant. Förvärvarens kunskap om att man i praktiken inte följde skuldebrevslagens krav i detta avseende, gjorde alltså att för­värvaren inte kunde ha befogad tillit till att eventuella amorteringar skulle ha antecknats, utan tvärt om hade anledning att misstänka att så inte skulle ha skett. I en sådan situation skulle ytterligare undersökningar krävas för att förvärvaren skulle kunna anses vara i god tro. 

[50]  Här kan en anekdotisk parallell göras till snabblån med riktigt dåliga villkor. De som tar sådana lån är ofta i en utsatt position så att det nästan mer eller mindre allmänt kan förväntas att omständigheterna ligger nära vad som krävs för en tillämp­ning av 31 § avtalslagen. Trots detta är det genom regulatoriska regler och begräns­ningar av vilka villkor som får användas som problemet hanteras, inte genom att angripa den enskilda transaktionens giltighet. Anledningen torde vara att med­kontra­henten inte har, eller borde ha haft, insyn i kredittagarens konkreta för­hållan­den och att det inte går att uppställa en undersökningsplikt annat än om konkret misstanke föreligger.

[51]  Med känd syftas främst till identifierbar. Genom betalningsinstrumentet och användningen av stark kundautentisering kopplas personen (personnumret) till betalkontot.

[52]  Rent anekdotiska, men ändå realistiska, exempel kan vara (i) köpeskillingen för den nya (om än begagnade) bilen, (ii) betalning för omklädnad av soffa och fåtöljer gjord av en person som klär om möbler på fritiden, (iii) notan för vete­ri­när­vård för hästen som fick kolik och behövde vård hela natten till juldagen, (iv) den nästan nya coachen från Svenskt Tenn som man kom över på Tradera eller (v) den sällsynta röllakanmattan som grannens kompis hade ärvt och ville bli av med. I alla exempel skulle de flesta av oss behöva höja beloppsgränsen innan betal­ningen hade kunnat genomföras, oavsett om betalningen gjordes med kort eller Swish.

[53]  Omständigheter som de ovan nämnda är visserligen något som kan få stor betydelse när man i efterhand vill försöka klargöra huruvida kunden verkligen var utsatt för ett bedrägeri eller inte, men är alltså inte något som behöver påverka bedömningen av löftesmottagarens goda eller onda tro.

[54]  Exakt hur fördelningen ser ut har jag inte lyckats ta reda på, men även om man tar höjd för att inte alla bedrägerier anmäls till polisen, handlar det om en mycket liten andel. Härtill kommer svårigheterna med att göra bedömningar av hur stati­stiken eventuellt skulle användas: Stor andel jämfört med vad? Alla transaktioner på den svenska marknaden? Inom den aktuella banken? För varje åldersgrupp för sig (och i så fall för hela marknaden eller inom banken)? Med den aktuella form­en för transaktionsgenomförande?

[55]  Statistiska data är däremot mycket väl lämpade för att utforma och utveckla automatiserade system för att i största möjliga mån avslöja eventuellt bedrägliga transaktioner, och kan därför få stor betydelse när det gäller frågan om betal­tjänstleverantören har vidtagit tillräckliga åtgärder för att erbjuda ett lämpligt och säkert system.

[56]  Se Falkanger s. 121 som uttalar att ”[u]ansett hvorledes ordlyden skulle være, må det nemlig være rimelig å legge til grunn at ond tro også forutsetter at god­trosubjektet kjenner eller bør kjenne relevansen av de opplysningene han sitter med. Det legislative grunnlaget for godtroerverv gjør seg i høy grad gjeldende også der uvitenheten bare gjelder relevansen. I begge tilfeller er det rimelig å beskytte godtrosubjektets gode tro og innretning.” (fotnoter med vidare hänvisningar uteslutna).

[57]  Se Falkanger s. 374 som framhåller att det endast kan bli tal om identifikation om den vars kunskap man vill beakta har ett ansvarsområde som omfattar det aktu­ella ärendet.

[58]  I exemplet finns två avtal, dels ett kreditavtal, dels ett borgensåtagande. Det kan mycket väl tänkas att bara det senare kan angripas med en invändning om ogiltighet, exempelvis om banktjänstemannen har fått anledning att misstänka att den ena av företagets företrädare kan ha vilselett den andra avseende innebörden av åtagandet, eller åtminstone borde ha misstänkt det om allmänna råd FFFS 2023:20 om krediter i konsumentförhållanden kap. 5 hade följts och personlig kontakt med borgens­mannen hade hållits.

[59]  Under Uppdrag Granskning Bedragarna som sändes på SVT 7 februari 2024 kunde man se hur en transaktion stoppades av banken så att kunden blev tvungen att ha manuell kontakt med banken. Bedragarna hanterade alla steg i processen på så vis att bedragarna själva ringde banken med en telefon medan de hade ett pågående samtal med kunden på en annan telefon. Genom att använda hög­talarfunktion kunde de sedan ”koppla ihop” de två samtalen. De frågor som ställdes antyder att det möjligen var system utformade för att upptäcka penning­tvätt som hade föranlett att transaktionen stoppades, men oavsett innebar den bankanställdes frågor (och att hon inte accepterade vaga och ofullständiga svar), att bedragarna gav upp. Att sådana insatser därmed kan förhindra bedrägerier är uppenbart, men det gör det fortsatt inte lämpligt att pressa in typfallet i en ondtrosbedömning inom ramen för en ogiltighetsregel. 

[60]  Ett löpande arbete för att utveckla och förbättra system är en skyldighet som åvilar betaltjänstleverantören enligt Kommissionens Delegerade Förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (RTS on SCA and CSC) art. 3. Eftersom olika aktörer har olika system och bedra­garnas modus anpassas eftersom leverantörens automatiserade system utvecklas, kan kunskapsläget avseende förmågan att avslöja behöriga bedrägliga transak­tioner förväntas skilja sig åt både mellan olika aktörer på marknaden och variera över (även kort) tid.

[61]  Här får man då ha i minnet att det är 30 § avtalslagen (eller andra ogiltig­hets­regler) vi diskuterar, och att förväntningen om informationsdelning och kun­skap ska kunna motiveras inom ramen för den bedömning av ond tro som aktuell bestämmelse ger anvisning om, inte som del av en allmän intresse- eller vårdslös­hetsbedömning.

[62]  I Finansinspektionens föreskrifter (FFFS 2018:4) om betaltjänstleverantörer regleras bland annat det system med lämpliga åtgärder och kontroller som en betal­tjänstleverantör ska ha för att hantera sina operativa risker och säkerhets­risker. De innehåller även regler om skyldigheter i förhållande till betaltjänst­användare samt om incidentrapportering till FI.

[63]  Inom den finansmarknadsrättsliga regleringen finns det flera regler i samma kategori. Som ett urtypiskt exempel kan nämnas skyldigheten att kreditpröva i 12 § konsumentkreditlagen. Ska bristande efterlevnad av sådana regler kunna åberopas av den enskilde kunden som stöd för ett civilrättsligt resonemang, förutsätter det att bristen anses relevant inom ramen för annan reglering. Se Ingvarsson, All­männa råd och jämkning av borgensåtaganden, SvJT 2008 s. 867–876 på s. 874 där 36 § avtalslagen används ”som en port, genom vilken den standard som uppställts av Finans­inspektionen togs in och fyllde ut rekvisitet oskälighet.” Om det handlar om åsido­sättanden av skyldigheter att ha, och utveckla, system som begränsar och upptäcker bedrägerier är det mer närliggande att porten för den regulatoriska regleringen och in i civilrätten blir regler om skadestånd.

[64]  Fastän det alltså inte är av principiell betydelse kan tilläggas att härtill kommer att inte ens de regler som kanske ligger närmast till hands för att potentiellt rele­vant kunskap ska uppkomma hos betaltjänstleverantören verkar lämpa sig för att påverka bedömningen av ond tro i det enskilda fallet. RTS on SCA and CSC syftar bl.a. till att begränsa bedrägerier, men då genom att förtydliga kraven på vad sträng kundautentisering innebär. Anledningen är att krav om användning av just sträng kundautentisering är en av unionsrättens huvudsakliga åtgärder för att skydda konsumenterna mot bedrägerier. Av artikel 2 följer krav på transak­tions­över­vak­ning, som vid första anblick skulle kunna uppfattas som relevant vid en ondtros­bedömning. Regleringen är emellertid uppbyggd så att det endast är om man vill göra undantag från kravet på sträng kundautentisering som realtids­övervakning av transaktionen krävs. Detta följer uttryckligen av EBA-2018-4099 (Q&A), där det uttalas att ”[t]he general monitoring mechanism under Article 2 of these RTS does not require enabling ‘real time risk monitoring’ and is usually carried out “after” the execution of the payment transaction.” Att över­vakningen ska ske i efterhand och inte i realtid spelar avgörande roll eftersom den onda tron ska föreligga vid mottagandet av instruktionen för att vara relevant enligt 30 § avtalslagen jfr 39 § avtalslagen.