Låneavtalet med Svea Ekonomi

 

 

Av docent Marianne Rødvei Aagaard^[1]

 

E-legitimationernas intåg på lånemarknaden har lett till både utmaningar och oklarheter i mötet mellan de moderna tillvägagångssätten och den klassiska avtalsrätten. Med sin dom i mål T 930–21 den 9 december 2021 (NJA 2021 s. 1017, Låneavtalet med Svea Ekonomi) har Högsta domstolen givit ett bidrag till att lösa upp några sådana oklarheter. Frågan är emellertid hur mycket vägledning avgörandet egentligen ger vid liknande, men inte så gott som identiska, omständigheter, och därmed vilken räckvidd avgörandet har.

 

1  Inledning

Att människor inte alltid låter förnuftet styra de beslut som fattas i nära relationer är inget nytt. Eller, kanske är det just någon form av förnuft som styr, för visst skulle tillvaron bli minst sagt utmanande om man i alla lägen behandlade sina närmaste som om de vore inte bara främ­mande, utan även närmast kriminella. Det som ur vardagliga aspekter kan framstå som acceptabla och förnuftiga handlings­alter­nativ, kan emellertid bära med sig stor potential för rättsliga konflikter och ekonomiska problem. Omständigheterna i NJA 2021 s. 1017 (”Låne­avtalet med Svea Ekonomi”) är ett exempel på en situation där något som i en djupt tillitsfull relation kan framstå som en lämplig lösning på ett praktiskt behov, visat sig vara allt annat än oproblematiskt.

I målet hade en man lämnat över sin e-legitimation till sin sambo för att denna skulle sköta betalningen av deras gemensamma utgifter. Sambon hade emellertid också använt e-legitimationen för att låna pengar i innehavarens namn, och tvist uppkom mellan kreditgivaren och innehavaren om betalningsansvaret för krediten. Den huvudsakliga rättsliga frågan i målet var om den som lämnar över sin e-legiti­mation till någon annan i avsikt att denna ska användas, får anses ha gett mottagaren behörighet att rättshandla för innehavarens räkning och hur långt behörigheten i så fall sträcker sig.^[2]

Avgörandet kan analyseras ur olika perspektiv. För mig är intresset främst knutet till att domen ger ett bidrag till några av de civilrättsliga frågor som kan uppkomma till följd av användning av e-legitimation, och särskilt hur problem som uppkommer i delvis ny tappning till följd av en mer modern och digital teknik ska hanteras. Syftet med denna text är därför att se närmare på hur HD:s dom kan förstås och vilken ledning den kan anses ge för bedömningen av senare fall där någon annan än innehavaren har använt en e-legitimation. Syftet är alltså inte att analysera hur domen passar in i fullmaktsläran som sådan.^[3]

 

2  Närmare om omständigheter, grunder och underinstansernas bedömningar

Omständigheterna i fallet var att en man (”innehavaren”) i oktober 2014 hade lämnat sin e-legitimation, ett BankID, till sin sambo (”sambon”) med avsikt att hon skulle använda den vid skötseln av hushållets gemensamma utgifter.^[4] Kort tid efter att sambon hade fått tillgång till hans e-legitimation använde hon den för att sluta ett kreditavtal. Kreditbeloppet om 20 000 kronor betalades ut till ett konto i innehavarens namn. Återbetalning skulle ske över 60 månader och under det första året av kreditens löptid gjordes amorteringar i enlighet med avtalet.^[5] Efter att tre avier under sista kvartalet 2015 förfallit till betalning utan att betalning inkommit, sades krediten upp den 7 januari 2016. Drygt två år senare, i juni 2018, skickade kredit­givaren ett kravbrev utformat enligt inkassolagens regler och i början av juli 2018 inlämnades ansökan om betalningsföreläggande som bestreds av innehavaren.^[6]

Kreditgivarens grunder var i korta drag att innehavaren genom att låta sambon använda e-legitimationen hade gjort henne behörig att ta upp lånet för hans räkning, eller att han genom överlämnandet agerat oaktsamt och att han därigenom ådragit sig betalningsskyldighet gentemot kreditgivaren. I sista hand hävdade kreditgivaren att innehavaren var betalningsskyldig till följd av att en del av krediten kommit honom tillgodo.^[7] I hovrätten gjorde kreditgivaren också gällande betalnings­ansvar med stöd av läran om misstagsbetalningar.^[8] Inne­hav­aren bestred betalningsansvar och framhöll att det var sambon, inte han själv, som slutit kreditavtalet och att han inte hade givit henne fullmakt att ta upp lånet. Det uppdrag hon hade fått gällde endast betalning av hans andel av deras gemensamma kostnader, inget mer.

Både tingsrätten och hovrätten bedömde frågan enligt regeln för uppdragsfullmakt (18 § avtalslagen).^[9] Eftersom domstolarna ansåg att sambon vid upptagandet av lånet hade gått utanför sin behörighet, uppkom följdriktigt ingen bundenhet för innehavaren.

 

3  Högsta domstolens avgörande i korta drag

Högsta domstolen formulerade frågan i målet som en fråga om den som lämnar över sin e-legitimation till annan i avsikt att den andra ska använda e-legitimationen, får anses ha givit mottagaren behörighet att rättshandla för hans eller hennes räkning, och i så fall hur långt denna behörighet sträcker sig (p. 5).

HD:s domskäl inleddes med en helt allmän redogörelse för e-legitimationer och elektroniska underskrifter (p. 6–9) och grundläggande rättsliga utgångspunkter gällande ansvaret för rättshandlingar som ingås med användande av e-legitimationer (p. 10–16), innan en behandling av de mer specifika fullmaktsfrågorna tog vid.

Till skillnad från underinstanserna var HD föga intresserad av reglerna om uppdragsfullmakt. Tvärtemot nämndes dessa endast som hastigast, i samband med att avtalslagens alla olika fullmaktstyper beskrevs kort i p. 17. Som HD därefter framhöll i p. 18 är inte avtals­lagens fullmaktsregler uttömmande, utan det är både i förarbeten och tidigare praxis förutsatt att fullmakter kan komma till stånd på annat sätt. Mot denna bakgrund beskrevs fullmaktstypen tillitsfullmakt (p. 20–24) och betydelsen av inskränkande instruktioner (p. 25–27), innan betydelsen av att mellanmannen inte givit sig till känna för långivaren behandlades (p. 28–33).

HD kom fram till att överlämnande av en e-legitimation kan skapa en tillitsfullmakt (p. 34–36) och att så också hade skett i det aktuella fallet (p. 37–41). Kreditgivarens talan bifölls därför, och innehavaren ansågs betalningsansvarig för krediten på avtalsrättslig grund.

Fastän avgörandet i viss mån klargör rättsläget, leder det också till att nya frågor och gränsdragningsproblem uppkommer. I det följande ska avgörandet analyseras närmare i ett försök att bidra till att klarlägga avgörandets innebörd och räckvidd.

 

4  Grundläggande förutsättningar för att en tillitsfullmakt ska kunna uppkomma i ”e-legitimationsfallen”.

I domskälen p. 20–24 beskrev HD, med ledning från NJA 2013 s. 659 (”Reseföretags­representanten”) och NJA 2014 s. 684 (”Divisions­chefen”), förutsättningarna för att en tillitsfullmakt ska uppkomma.^[10] Tillits­fullmakten grundar sig enligt HD på att ”tredje man hyser en befogad tillit till att den som uppträder på huvudmannens vägnar har rätt att rättshandla för denne”. Bedömningen av om så är fallet, kan delas upp i flera rekvisitliknande kriterier.^[11]

För det första ska tredje man ha en faktisk tillit till att mellanmannen är behörig, och denna tillit ska vara befogad.^[12] När situationen är sådan att mellanmannen inte ger sig till känna, anser HD i 2021 års fall att bedömningen istället ska utgå ifrån om tredje man hyst befogad tillit till att rättshandlingen vidtogs av en behörig person.^[13] För det andra måste omständigheterna som ligger till grund för bedömningen av den befogade tilliten på ett relevant sätt kunna knytas till huvudmannen.^[14] För det tredje måste huvudmannen i vart fall ha insett risken för att omständigheterna skulle kunna föranleda en tredje man att hysa befogad tillit till att en användare är behörig.^[15]

I samband med beskrivningen av kriterierna för tillitsfullmakten anförde HD också att huvudmannen, fastän det annars anses föreligga en tillitsfullmakt, kan undvika bundenhet om han inte av oaktsamhet har orsakat tredje mans felaktiga uppfattning.^[16] Detta förtyd­ligas därefter på så vis att huvudmannen måste visa att han saknat möjlighet att förhindra att missförstånd uppkom, för att undvika bundenhet.^[17] Det verkar vara denna fråga HD återkommer till i p. 40 när det sägs att innehavaren ”överlämnade e-legitimationen till sambon utan att därefter utöva någon uppsikt över hur hon använde den”. Det är otydligt om HD här menade att en efterföljande uppsikt över användningen hade kunnat aktualisera undantaget,^[18] men en sådan tolkning verkar mot bakgrund av övriga uttalanden inte särskilt trolig.^[19] Om innehavaren är medveten om att e-legitimationen kan användas av någon annan, är det svårt att samtidigt anse att personen ”saknat möjlighet” att förhindra missförstånd.^[20] Det är trots allt enkelt att spärra en e-legitimation som har utgivits till ditt personnummer.^[21]

Mot bakgrund av beskrivningen av kriterierna för en tillitsfullmakt, och den anpassning som görs för situationen då mellanmannens existens inte är synbar för tredje man, är det föga förvånande att HD i p. 34 kort konstaterade att ett överlämnande av en e-legitimation kan skapa en sådan tillitssituation som gör att kriterierna är uppfyllda, och att kriterierna även var uppfyllda i det konkreta fallet.^[22] Åtminstone gäller detta kriterium två (relevans) och tre (insikt) ovan.

När det gäller det första kriteriet, tredje mans befogade tillit till att en användare är behörig, kan det diskuteras om det är så enkelt som HD verkar utgå ifrån i p. 34, att tredje män typiskt sett har anledning att utgå ifrån att e-legitimationer med hög säkerhetsnivå normalt används enbart av e-legitimationens innehavare själv, eller att användningen i vart fall sker med innehavarens tillstånd. Fastän uttalandet rent statistiskt torde ha fog för sig,^[23] är det knappast någon i den finansiella branschen som kunnat undgå de många bedrägerier som genomförs just genom att personer luras till att uppge sina behörighetsfunktioner till främmande personer, eller på annat sätt medverka så att bedrägliga e-legitimationer kan upprättas.^[24]

Att användningen av en e-legitimation är en omständighet som oftast ger tredje man fog att tro att rättshandlingen avgivits av någon som är behörig, är inte detsamma som att så alltid är fallet. Även omständig­heter gällande användningen som sådan kan behöva dis­ku­teras för att klarlägga huruvida tredje mans tillit i det konkreta fallet kan anses ha varit befogad. HD påstår givetvis inget annat, men dom­stolen hade med fördel kunnat uttrycka sig tydligare om att det är skillnad på formuleringar av vad tredje män allmänt (oavsett faktisk insikt eller inte) har fog att tro, och vad en tredje man i ett enskilt fall mot bakgrund av de där aktuella omständigheterna haft fog att upp­fatta.^[25] Att omständigheterna i det enskilda fallet kan innebära att tredje mans tillit till en användares behörighet inte är befogad, fastän tredje män i allmänhet oftast kan utgå ifrån att användaren i en motsvarande situation är behörig, borde enligt min uppfattning ha framgått tyd­ligare i den allmänna delen istället för att bara komma underförstått till uttryck i samband med bedömningen av det kon­kreta fallet.^[26]

Hur lyckat det är att, som HD i den allmänna delen i 2021 års fall verkar förespråka, å ena sidan utgå ifrån att tredje man typiskt sett hyser befogad tillit till att användningen sker av någon som är behörig varför det föreligger en tillitsfullmakt, samtidigt som det å andra sidan anges att det måste göras en närmare granskning av den aktuella rättshandlingens karaktär för att avgöra om den ligger inom behörighetens gräns eller inte, kan också diskuteras. Åtminstone kan det upplevas som något ansträngt eftersom tillitsfullmaktens existens har sagts bero på just tredje mans befogade tillit, vilket skulle innebära att det inte egentligen är möjligt att särskilja frågan om fullmaktens uppkomst eller existens från frågan om fullmaktens innehåll. Utmaningen torde uppkomma dels till följd av att mellanmannen inte ger sig till känna, varför tillämpningen av fullmaktskonstruktionen i allmänhet och tillitsfullmaktskonstruktionen i synnerhet i sig blir något ansträngd, dels till följd av att den tillitsgrundade fullmakts­konstruk­tionen som sådan gör det svårare att särskilja frågan om fullmaktens uppkomst från frågan om fullmaktens innehåll. När det väl kommer till bedömningen i det konkreta fallet i p. 37 verkar HD dock hantera dessa frågor som sammanfallande med varandra.

 

5  Närmare om behörighetens gräns vid digitala avtalsslut genom tillitsfullmakt

Mot bakgrund av det som sagts ovan, finns det anledning att se närmare på hur behörighetens gräns egentligen ska klarläggas vid avtalsslut i digital miljö.

I p. 36 upprepas att det centrala för bedömningen är den befogade tilliten hos tredje man. För denna bedömning anger HD att det får betydelse ”bl.a. vilket slag av avtal som det rör sig om, vilken verksamhet som avtalet gäller, hur vanlig avtalstypen är och vilka åtaganden som avtalet innebär.” HD fortsätter och framhåller att tredje man ”normalt” har anledning att ha tillit till att sådan användning som avser ”ordinära transaktioner, däribland upptagandet av mindre lån, härrör från e-legitimationens innehavare”.

Uppräkningen framstår visserligen inte som uttömmande (”bl.a.”), men man kan notera att det enda som diskuteras närmare av HD är omständigheter kopplade till själva transaktionen. HD kan dock inte antas ha haft för avsikt att avgränsa mot omständigheter gällande användningen i sig som kan tänkas påverka bedömningen om användningen som sådan skett av någon som varit behörig. Fastän en transaktion i sig kan framstå som helt normal och därmed inte något att reagera på enligt p. 36 i HD:s dom, måste det vara uteslutet med bundenhet om tredje man borde ha förstått att den i och för sig helt normala transaktionen (exempelvis att låna 20 000 kronor) gjordes av någon obehörig.^[27]

Det är först när HD kommer till bedömningen av det konkreta fallet som något framgår om hur HD ska uppfattas i detta avseende. Det sker genom att domstolen i p. 37 anger att ”varken låneavtalet i sig eller omständigheterna kring dess tillkomst” var sådana att kredit­givaren haft skäl att göra ytterligare kontroller varför det fanns anled­ning att ”hysa en befogad tillit till att e-legitimationen användes av en behörig person”. HD hänvisar i denna punkt också tillbaka till både p. 33 och 36 i sina egna domskäl. Det sagda innebär alltså, vilket redan antytts ovan, att HD inte kan uppfattas så att uteslutande trans­ak­­tionen som sådan får betydelse för bedömningen av tredje mans be­fogade tillit, utan även omständigheter som rör användningen i sig är relevanta. Dock ger HD ingen närmare ledning om vilken sorts om­ständigheter detta kan tänkas vara.

HD:s beskrivning av hur bedömningen av tredje mans befogade tillit ska ske fokuseras istället på själva transaktionen, och exemplifieringen utgår tydligt ifrån den klassiska situationen då mellanmannens existens är känd för tredje man. I sig är detta inte anmärkningsvärt eftersom kriterierna som hänvisas till är hämtade från två tidigare avgöranden, som båda gällde fråga om att uppställa tillitsfullmakt i situationer där mellanmannen antingen varit anställd hos huvudmannen,^[28] eller representant för denne.^[29] I fall då fullmäktigen har givit sig till känna och det finns olika till det yttre observerbara omständigheter gällande relationen mellan huvudmannen och fullmäktigen som tredje man har kunnat beakta, kommer det finnas ett sammanhang mot vilket bedöm­ningen av själva transaktionen kan göras och som i normalfallet torde vara ägnad att identifiera huruvida tredje mans tillit varit befogad eller inte.

I typfallet med annans användning av e-legitimation är det dock inte givet att ett fokus på själva transaktionen är särskilt väl lämpad för att ge närmare ledning för bedömningen. Detta kanske är anledningen till att HD konkretiserar bedömningen så att tredje man ”normalt har anledning att ha befogad tillit till att sådan användning som avser ordinära transaktioner … härrör från e-legitimationens innehavare.” Fast­än formuleringen möjligen bara ska uppfattas som ett (av flera) sätt att exemplifiera transaktioner som kan ligga inom behörighetens gräns, är det nog lika aktuellt att förstå formuleringen som ett förtydligande om att bedömningen av behörighet i detta typfall ska bero på om transaktionen varit ”ordinär”.

Ofta kommer nog omständigheter som gör att man kan ifrågasätta om användningen som sådan varit behörig kunna påverka huruvida transaktionen i sig framstår som ordinär. När det för tredje man är osynligt att någon mellanman ens finns, och det alltså verkar handla om egenhandlande, ska det dock annars normalt sett mycket till för att det ska finnas anledning att betvivla ett handlande på grund av dis­positionen i sig. Det kan därför diskuteras om ett ”ordinär-kriterium” egentligen är särskilt hjälpsamt för att göra bedömningen mer användbar för typfallet. Förutom att upptagandet av mindre lån uttryckligen omfattas, och att 20 000 kronor till följd av utgången i det konkreta avgörandet får anses utgöra ett ”mindre” belopp, ger HD högst begränsad ledning för hur bedömningen ska gå till.

En av frågorna som uppkommer, är enligt vems perspektiv ordinär-bedömningen ska göras. Eftersom tillitsfullmakten är avsedd att skydda tredje mans befogade tillit, borde det rimligen vara avgörande vad som framstår som ordinärt för den aktuella sortens tredje man.^[30] Det sagda innebär emellertid att bedömningen kan tänkas se väldigt olika ut beroende på vilken sorts aktör tredje man i det konkreta fallet är. Det kanske i sig inte är så konstigt, men det kan leda till att innehavarens (oftast en konsuments) ansvar (i form av bundenhet) blir högst beroende av hur den utomstående i det konkreta fallet valt att utnyttja e-legitimationen.

Eftersom särskilt vissa e-legitimationer kan användas till väldigt många olika saker, och så gott som ”överallt”, är det omöjligt att i denna text analysera frågan i dess fulla bredd.^[31] Två praktiska exempel som åtminstone hör till samma bransch bör emellertid kunna antyda problemet.

Vi tänker oss först en kreditgivare som specialiserar sig på att ge dyra och osäkrade snabbkrediter. Denne har oftast ingen närmare kundkännedom utöver att det (förhoppningsvis) görs någon form av automatiserad kreditprövning innan en kredit beviljas. För denne är det därför helt normalt att främmande personer, ofta just konsumenter, ansöker om krediter genom ett helt elektroniskt förfarande med hjälp av sin e-legitimation. Vissa sådana aktörer har lagt upp sin ansökningsprocess så att kunden, om annat och lägre belopp inte aktivt väljs, ansöker om det maximala belopp som kreditgivaren mot bakgrund av sin kreditprövning är villig att bevilja. Beloppen som ansökningarna gäller kan därför ofta vara väsentligt högre än i 2021 års fall, något som alltså — åtminstone rent faktiskt — framstår som helt ordinärt för kreditgivaren. Att förfarandet är rent elektroniskt och i hög grad automatiserat torde vidare vara ordinärt inte bara för enskilda kreditgivare, utan för branschen som sådan. Tänker vi oss istället att tredje man är en bank med en mångårig kundrelation till inne­havaren, torde däremot den aktuella kundens historiska beteende och förbrukningsmönster kunna vägas in i bedömningen av vad som är ordinärt.^[32] Dispositioner och transaktioner som är helt vanliga för en kund, kan vara mycket ovanliga för en annan.^[33]

Här krävs det inte väldigt mycket fantasi för att föreställa sig hur bedömningen av två aktörers befogade tillit, fastän de rent faktiskt inrättat sin verksamhet på liknande sätt, inte alls behöver falla ut lika. Det kanske ligger i sakens natur när bedömningen handlar om befogad tillit, men det något paradoxala i sammanhanget är att denna skillnad oftast också leder till större nackdelar på både individ- och samhällsnivå: Den (presumtivt) mindre riskbenägna kreditgivaren som oftast erbjuder lägre ränta möter en högre standard och en högre tröskel för innehavarens bundenhet, än den mer riskbenägna konkurrenten som erbjuder krediter med mycket hög ränta.^[34]

HD:s kvalificering att ”upptagande av mindre lån” normalt får anses ordinärt, innebär dock som ett minimum en varningsflagga om att upptagande av större lån enligt ett rent elektroniskt förfarande inte behöver anses som ordinärt.^[35] Men det kan också tänkas att domstolen har velat gå ännu längre i att skapa osäkerhet hos kreditgivare som beviljar lån enligt ett helt elektroniskt förfarande, och att uttalandet istället kan antyda att upptagande av ”större lån” genom ett rent elektroniskt förfarande inte är ordinärt, fastän det är så det normalt går till.^[36] Det är i sig ingen dålig tanke, utan skulle tvärt emot kunna bidra till utveckling av system som också kan begränsa obehöriga transaktioner och därmed lönsamheten för bedragare.^[37] Det är emellertid ansträngt att uttolka en sådan gränsdragning från ett ”ordinär-kriterium”. Frågan kvarstår i så fall också var den beloppsmässiga gränsen mellan små och stora lån egentligen går. Inte heller i denna fråga ger HD någon närmare ledning.^[38]

Fastän bedömningen av om en tillit är befogad ska bero på vad vi, i efterhand,^[39] anser att en tredje man i motsvarande situation rent allmänt hade fog för att uppfatta, lyckas åtminstone inte jag riktigt förstå hur HD har tänkt att liknande bedömningar ska göras i framtida fall. Den bredd av olika former för rättshandlingar som kan företas med hjälp av en e-legitimation och variationen i omständigheter är helt enkelt för stor, och HD:s analys av problembilden för begränsad.

Om man lyfter blicken något, kan man emellertid notera att HD:s riktlinjer för en bedömning av befogad tillit i e-legitimationsfallet består av två steg, av högt (helt?) objektifierad karaktär: (i) Typiskt sett kan tredje man utgå ifrån att användning av en e-legitimation med hög säkerhetsnivå görs av en behörig person, och (ii) normalt kan tredje man utgå ifrån att ordinära transaktioner faktiskt härrör från e-legitimationens innehavare.

Istället för en konkret bedömning av hur tredje man uppfattat eller haft fog att uppfatta konkreta omständigheter, med en nog så hög tröskel för att anse denna tillit som befogad, uppställer HD i fallet vad som närmast kan uppfattas som en presumtion för att ”ordinära” avtal som slutits med en e-legitimation är behöriga.^[40] Sen blir det upp till innehavaren att erbjuda motbevisning som räcker för att bryta presumtionen, och åtminstone skapa tillräcklig osäkerhet gällande om tredje mans tillit verkligen var befogad.^[41] Den presumtion om behörig användning och befogad tillit som HD verkar uppställa innebär alltså att de objektiverade bedömningar som annars uppställs till nackdel för tredje man, i detta fall istället blir ett skydd.^[42] Fastän man nog kan ha olika uppfattningar om hur det bör vara, är kontrasten till hur bedömningen av befogad tillit i tidigare fall av tillitsfullmakt har gjorts, tydlig.^[43]

Ett problem med att uppställa en presumtion om befogad tillit, som HD inte verkar beakta, är att innehavaren normalt inte har förutsättningar för att kunna bevisa särskilt mycket i de situationer då hans eller hennes e-legitimation har använts av annan. Åtminstone inte gällande de konkreta omständigheter som kan tänkas påverka huruvida tredje man kan anses ha varit i befogad god tro. Innehavaren kommer genom funktionen ”min BankID historik” som finns i BankID kunna se när och gentemot vilken aktör som ett BankID med anknytning till personens personnummer har använts, och om det handlar om identifiering eller signering. Det går också att se viss information om enheten på vilken det använda BankID:et finns. Dock finns det inte detaljer om det närmare innehållet i de olika transaktionerna. Bara tredje man kommer åt närmare teknisk bevisning gällande den konkreta användningen, och denne har överlag inte några incitament för att erbjuda sådan bevisning om den kan tänkas leda till att tredje mans tillit inte anses ha varit befogad.^[44] Dessutom bör det beaktas att inte heller tredje man nödvändigtvis har åtkomst till all teknisk bevisning som kan vara av betydelse, och det kan därför vara svårt för tredje man att särskilja fall där det är läge att påstå behörig användning genom en uppkommen tillitsfullmakt, från fall då det istället handlar om en obehörig användning.^[45]

En de facto presumtion om behörig användning kanske har upp­fattats som nödvändig till följd av att mellanmannen i dessa fall inte givit sig till känna. Kanske kan den, mot bakgrund av e-legitima­tionens funktion i samhället, också tänkas ha fog för sig. Frågan kan ändock ställas om dessa anpassningar ger en god och träffsäker regel, eller om det istället vore lämpligare att diskutera innehavarens ansvar enligt andra regler.^[46]

 

6  Prejudikatets räckvidd: Begränsat till frivilligt överlämnad e‑legitimation?

Mot bakgrund av övriga delar av HD:s domskäl är det också möjligt att diskutera huruvida det finns ytterligare förutsättningar för möjligheten att uppställa en tillitsfullmakt utöver de angivna kriterierna.

HD valde att formulera sin fråga så att den låg mycket nära omständigheterna i målet. Omständigheterna var dock nog så udda. Det får anses höra till de mer sällsynta fallen att det går att styrka att innehavaren har lämnat över sin e-legitimation med koder till någon annan i avsikt att denna skulle använda e-legitimationen. Det bör därför diskuteras om prejudikatet ska tolkas så snävt som HD:s frågeställning antyder. Det handlar alltså om att tolka prejudikatets räckvidd för att avgöra om innehavarens frivilliga överlämnande av sin e-legitimation till annan med avsikt att denna ska användas av personen, är en förutsättning för att en tillitsfullmakt ska komma till stånd i dessa fall.

Å ena sidan är det inget i beskrivningen av kriterierna för en tillitsfullmakts uppkomst i p. 20–24 som kräver en sådan begränsning. Kriterierna, och därmed regeln, verkar utan ytterligare anpassning kunna tillämpas även på omständigheter där mellanmannen kommit åt e-legitimationen på annat sätt.^[47]

Bedömningen av det första kriteriet, tredje mans befogade tillit, torde inte påverkas alls. Vilken avsikt innehavaren haft eller inte haft, är typiskt sett helt dold för tredje man, eftersom han inte ens vet om att det är någon annan än innehavaren själv som använder e-legitima­tionen.

E-legitimationens personliga karaktär gör det också svårt att före­ställa sig praktiska situationer där omständigheterna som givit mellan­mannen möjlighet att använda e-legitimationen inte har en tydlig kopp­ling till innehavaren, alltså det andra kriteriet.^[48] Åtminstone om det är innehavarens egen e-legitimation som använts, och inte en bedräglig e-legitimation som upprättats i innehavarens namn av den utom­stående. Kanske kan det tolkas in en begränsning i formuleringen att dessa omständigheter ska knytas till den befogade tilliten på ett ”rele­vant sätt”. Den beskrivning som ges i domskälen, eller i tidigare praxis, ger emellertid inte någon god ledning för hur relevans­kriteriet i så fall ska förstås.

Åtminstone vid första anblicken verkar det därför vara främst det tredje kriteriet, innehavarens insikt om risken för tredje mans tillit till behörigheten hos en mellanman, som lämpar sig för att på något vis avgränsa situationerna då en tillitsfullmakt kan uppkomma. Sådan insikt kan emellertid föreligga i väsentligt fler fall än de då innehavaren frivilligt lämnat över sin e-legitimation till annan, och kan därför öppna för ett betydligt mer utvidgat tillämpningsområde, jämfört med det mål som HD avgjorde.^[49]

Å andra sidan finns uttalanden i HD:s domskäl som kan tyda på att domstolen har avsett att begränsa prejudikatets räckvidd till typfallet då innehavaren lämnat ifrån sig sin e-legitimation till annan med avsikt att den andra skulle använda e-legitimationen.

För detta talar dels formuleringar som är hårt knutna till det aktuella fallet och omständigheterna där. Fastän omständigheterna i det enskilda målet skapar vissa formella ramar för HD:s bedömning, står domstolen fri att välja hur frågan i målet ska formuleras. I avsaknad av andra hållpunkter, får frågan i målet normalt anses avgränsa vad HD har avsett att uttala sig om. I det aktuella målet spelar detta roll på så vis att HD inte hade behövt begränsa frågeställningen genom formuleringen ”… i avsikt att mottagaren ska använda den …”. Hur snävt frågan formulerats, utgör alltså i sig ett argument för att begränsa prejudikatets räckvidd.

Dels gäller det andra uttalanden i den allmänna delen. I p. 10 ff. redogör HD allmänt för grundläggande rättsliga utgångspunkter gäll­ande ansvaret för rättshandlingar som ingås med användande av e‑legitimationer. Redogörelsen kretsar kring gränsen mellan obehörig och behörig användning, och i p. 11 anger HD att en förutsättning för att bundenhet ska uppkomma som utgångspunkt är att rättshandlingen, som företas med användande av en e-legitimation, ska härröra från innehavaren av e-legitimationen.^[50] Obehörig användning, vilket alltså inte leder till att innehavaren blir bunden, beskrivs därefter med hänvisning till NJA 2017 s. 1105 p. 17 så att någon annan än innehavaren använt e-legitimationen ”utan att han eller hon har haft innehavarens samtycke till användningen eller annars har haft rätt att använda e-legitimationen”.

I förlängningen exemplifierar HD med typfall på obehörig användning. Särskilt intressant är vad som sägs i p. 13, som läst tillsammans med p. 15 kan uppfattas som ett sätt att rama in, och begränsa, utrymmet för att fullmaktsfrågan ska uppkomma. I p. 13 anges nämligen att det är fråga om obehörig användning när en utomstående har kommit åt ”exempelvis säkerhetskoder genom tillgrepp, vilseledande eller liknande förfarande och därefter nyttjar e-legitimationen utan innehavarens samtycke.” Typiskt för dessa fall, fortsätter HD, är att ”innehavaren aldrig har avsett att e-legitimationen skulle nyttjas av annan för någon typ av rättshandlingar”. Den utomståendes användning leder alltså i dessa fall inte till bundenhet för innehavaren.^[51]

Kanske utgör innehavarens avsikt att låta annan använda e-legiti­ma­tionen i realiteten ett sätt att kvalificera relevansbedömningen i här­rörande­kriteriet närmare. HD har visserligen inte givit tydligt uttryck för det i sitt sätt att beskriva kriterierna för en tillitsfullmakt i 2021 års fall, men kanske tänkte man att det inte heller behövdes, såsom frågan i målet hade formulerats. En sådan tolkning får anses ha mycket goda skäl för sig, men om relevansbedömningen kan anses ha ett sådant innehåll är inte alldeles lätt att avgöra mot bakgrund av tidigare praxis gällande tillitsfullmakter. En egentlig jämförelse är svår eftersom omständigheterna i de tidigare fallen i väsentliga delar skiljer sig åt från omständigheterna i 2021 års fall. I de tidigare avgörandena ställdes frågan inte heller på sin spets, dels eftersom det inte ansågs föreligga befogad tillit, dels eftersom det oavsett handlade om situationer då huvudmannen verkligen hade någon form av avsikt att låta mellan­mannen företräda denne, om än inte med ett så långt­gående uppdrag som det tredje man påstod sig ha trott. Det senare kanske ändå kan antyda något om tillitsfullmaktens potentiella til­lämp­ningsområde. Även NJA 2014 s. 684 p. 18 får anses kunna ge visst stöd till en sådan slutsats.^[52]

Vid första anblicken skulle p. 10–14 alltså kunna uppfattas som någon sorts obiter dicta som ger en trevlig bakgrund och kontext till målets egentliga fråga, men vid närmare granskning kan det också anses utgöra en helt nödvändig beskrivning av grundläggande förutsättningar för när en (tillits-)fullmakt ska kunna uppkomma i typfallet. Mot denna bakgrund är det nog rimligt att tolka prejudikatet så, att det innebär att tillitsfullmakt bara kan uppkomma när innehavaren frivilligt lämnat ifrån sig sin e-legitimation med avsikt att mottagaren ska använda den.

 

7  Är tillitsfullmakten ett möjligt spår vid liknande, och mer praktiska omständigheter?

Omständigheterna i målet var sådana att en tillitsfullmakt enligt beskrivningen ovan också ansågs föreligga. För vägledning av framtida fall, är det dock inte nödvändigtvis så hjälpsamt att konstatera att prejudikatet har en begränsad räckvidd. En sådan tolkning ger egentligen inte särskilt mycket mer ledning än att konstatera hur en konkret och relativt udda situation ska hanteras.^[53] Prejudikat ska inte tolkas motsatsvis, och det är därför fortsatt oklart huruvida bundenhet till följd av tillitsfullmakt kan diskuteras i liknande, och kanske mer praktiska, situationer.

Antag att innehavaren visserligen inte har avsett att någon annan ska använda e-legitimationen, men han har fått reda på att så ändå kan ske. Exempelvis upptäcker han att ett samtal han hade med vad han trodde var banken, istället var med en bedragare som nu har kommit åt, och kan använda, hans e-legitimation.^[54] I en sådan situa­tion är det svårt att se goda skäl till att han ska undvika ansvar om han låter bli att agera så att den utomstående förhindras att även i framtiden använda e-legitimationen.^[55] Här är det dock i så fall underlåten­heten att agera som i så fall måste bedömas närmare, och som eventuellt kan anses utgöra ett fullmaktsgrundande, eller annars rätts­stiftande, rättsfaktum. Att bedöma omständigheter som grundar sig i någon form för passivitet, i kombination med andra omständigheter, är inte främmande inom avtalsrätten i övrigt. Mot en snäv tolkning kan därför invändningen riktas att liknande omständigheter i andra fall kan vara nog för att i sig grunda uppkomsten av en rättshandling, exempelvis en fullmakt. För en snäv tolkning kan anföras att tillitsfullmaktens konstruktion, särskilt på grund av kriteriet befogad tillit, kan sägas passa mindre väl för typfallet, och att det därför är lämpligt att begränsa dess räckvidd så mycket som möjligt.

Omständigheter i det enskilda fallet, och då särskilt innehavarens agerande efter att ha fått reda på att e-legitimationen kan användas av annan, bör kunna leda till att ett ansvar för innehavaren. Det är dock tveksamt om bundenhet enligt en fullmaktskonstruktion är den bästa vägen att gå,^[56] eller om innehavarens beteende istället bör diskuteras inom ramen för skadeståndsrättsliga regler, vilket också antyds i NJA 2014 s. 684.^[57]

Prejudikatets räckvidd kan också diskuteras ur ett annat perspektiv, nämligen om det verkligen ska räcka så långt som till alla situationer då innehavaren frivilligt lämnat ifrån sig sin e-legitimation med avsikt att någon annan ska använda den. Så kan nog verka vara avsikten eftersom det sätt på vilket HD allmänt beskriver kriterierna för en tillitsfullmakt inte öppnar för bedömningar av orsaken till att e-legiti­ma­tionen lämnats över till annan. Endast om omständigheterna är sådana att innehavaren inte anses ha insikt i risken för att e-legitima­tionen kan användas på ett sätt som leder till befogad tillit för tredje man, torde möjligheten att begränsa uppkomsten av en tillitsfullmakt stå öppen.

I det aktuella målet finns det inget som antyder att innehavaren varit i behov av hjälp för att klara sina bankärenden. Ordningen före­faller ha kommit till av rent praktiska hänsyn, och det finns ingen antydan till att innehavaren haft bristande kunskap om de risker som ordningen kunde innebära. Frågan är emellertid om också den som exempelvis till följd av hög ålder, bristande digitala förmågor eller annat, är i behov av hjälp för att sköta sina bankärenden, och därför ger ifrån sig sin e-legitimation till annan, ska bedömas på samma sätt.^[58] Ett annat, särskilt ur Ekobrottsmyndighetens synvinkel, mycket vanligt förekommande typfall, är det då någon i en utsatt position lämnar över en e-legitimation till annan i syften som inte alls hör samman med bankärenden för innehavaren själv, men utan att förstå vilka konsekvenser det kan få för den egna och personliga ekonomin om e-legitimationen sedan används även för sådana ändamål.^[59]

Det som dock oavsett får anses följa av avgörandet och hur kriterierna för tillitsfullmakt har formulerats, är att fullmakt inte kan uppkomma som en sanktion mot innehavarens vårdslöshet i att skydda sin e-legitimation.^[60] Det utgör en praktiskt viktig begränsning.^[61] Något annat hade också dels kunnat riskera att undanröja det skydd mot obehöriga transaktioner som annars följer av 5 a kap. betaltjänstlagen,^[62] dels inneburit ett tydligt utökat ansvar för andra dispositioner i strid med grundläggande förmögenhetsrättsliga principer om att vårdslöshet inte leder till vare sig bundenhet eller skadeståndsansvar för ren förmögenhetsskada.^[63]

Det är i stort oklart hur räckvidden av prejudikatet och möjligheten att uppställa tillitsfullmakt i typfallet ”annans användning av e-legiti­ma­tion” ska fastläggas. HD får anses ha haft goda skäl för sin slutsats i det konkreta målet och så som målet hade lagts upp av parterna är det lätt att förstå varför avgörandet fick den utformning det fick. Den vägledning som erbjuds inför hanteringen av nästa fall är dock begränsad.

 

8  Alternativa vägar till mål: Var fullmaktsspåret verkligen det bäst lämpade?

Som visat ovan var det nödvändigt för HD att göra en del anpassningar av kriterierna för en tillitsfullmakt för att få denna fullmakts­konstruk­tion att fungera i typfallet. Dels handlar det om anpassningar till följd av att mellanmannens existens inte är känd för tredje man, dels torde det handla om att tillitsfullmakten som konstruktion i sig är något utmanande att tillämpa i typfall som inte ligger nära ställnings­full­makts­fallen, och dels särdragen som präglar typfallet användning av e‑legitimation som sådant.

Särskilt ansträngt vid (tillits-)fullmaktsspåret, åtminstone om man utgår ifrån hur tillitsfullmakten tidigare beskrivits, blir bedömningen av vilken behörighet som kan anses följa av tredje mans befogade tillit. Mot bakgrund av typfallets särdrag är en sådan bedömning svår att göra på annat sätt än genom att det uppställs allmänna och detaljerade riktlinjer. Sådana riktlinjer skulle emellertid innebära att det inte längre handlar om en bedömning av vad tredje man faktiskt haft befogad tillit till, utan en rent typiserad och objektiverad bedömning. Därtill kommer osäkerheten om vad som egentligen krävs för att nödvändig anknytning till innehavaren av e-legitimationen ska anses föreligga, och om innehavarens beteende i övrigt kan tillmätas någon betydelse. I kombination får dessa sägas innebära en betydande risk för en expansiv, och spretig, tillämpning i underinstanspraxis.

Fastän man efter avgörandet får acceptera att fullmaktsspåret står till förfogande i situationen då någon medvetet lämnat ifrån sig sin e-legitimation till annan med avsikt att mottagaren ska använda den, kan det diskuteras om detta verkligen var det bästa tillgängliga alternativet. Till att börja med bör konstateras att det givetvis vore orimligt om någon i motsvarande situation, efter motsvarande agerande som innehavaren i det aktuella fallet, skulle kunna undvika ansvar. HD:s resultat är alltså utan tvekan gott. Frågan är dock om det inte vore en enklare och mer träffsäker väg att gå, att istället diskutera innehavarens ansvar i termer av skadestånd. Här finns inte utrymme att i dess fulla bredd diskutera frågeställningen, men några reflektioner kan ändock göras.

Dels kan det att lämna ifrån sig en id-handling till annan för annans användning vara brottsligt.^[64] Regeln i 2 kap. 2 § skadeståndslagen torde därför inte vara till hinder för att kreditgivaren i ett fall av medvetet överlämnande kan kräva sin skada ersatt av innehavaren. Dels torde ett mer kvalificerat agerande från innehavaren på grund av den avtalsnära situationen kunna motivera ett motsvarande ansvar även i andra fall. Avtalsnära är situationen för det första till följd av användarvillkoren för användningen av e-legitimation. Fastän avtalet som inne­håller de villkor innehavaren har brutit mot genom att inte i tillräcklig mån skydda sin e-legitimation inte har slutits med den som lider skadan, syftar villkoren till att säkerställa just det förtroende för verktyget som HD är inne på i sina domskäl som förlitande parter allmänt ska kunna ha. För det andra blir situationen avtalsnära i den mening att innehavarens agerande i de kvalificerade fallen, och då förlitande part faktiskt har befogad tillit till en behörig användning, ligger mycket nära ett beteende som i sig skulle kunna leda till bundenhet enligt vanliga regler. Kvalificerat bör fallet anses vara om innehavaren har insyn i skaderisken, och dessutom praktisk möjlighet att hindra eller begränsa densamma men ändå låter bli att göra något.^[65]

Ett skadeståndsresonemang framstår överlag som mer flexibelt och därmed bättre lämpat för att fånga upp de konkreta omständigheterna i det enskilda fallet, på båda sidorna. Eftersom omständigheterna vid olika former av (potentiellt obehörig) användning av e-legitima­tion tenderar att variera från fall till fall och skifta snabbt beroende på hur de digitala verktygen utvecklas, skulle en sådan flexibilitet vara behövlig. Det kan också verka som att en del av det HD har varit ute efter, bättre hör hemma i ett skadeståndsrättsligt resonemang. Särskilt gäller det ”ordinär-bedömningen”, som enligt min uppfattning påminner mer om en bred riskavvägning, än en fråga om förlitande parts befogade tillit. Detsamma kan nog sägas om HD:s sätt att lyfta in betydelsen av innehavarens bristande kontroll av hur sambon använde e-legitimationen. Genom att beakta om den förlitande parten medvetet valt att ta stora risker genom det sätt på vilket hans verksamhet är inrättad, får man, i fall den som förlitar sig på användandet av en e-legitimation faktiskt är i befogad god tro om att användningen är behörig, tydligare fram att det i realiteten handlar om att uppställa ansvar i de situationer där man efter en sammanvägd bedömning anser att innehavaren är närmare att bära risken och ansvaret för den uppkomna situationen, än den som förlitat sig på att e-legitimationen använts av en behörig person.

 

9  Slutord

En fråga som dyker upp i förlängningen av HD:s avgörande, men som inte kommenterats närmare ovan (eller av HD), är kopplad till rela­tionen mellan det som efter allmänna avtalsrättsliga regler blir att anse som behörig användning som leder till bundenhet, och bedöm­ningen av om en transaktion ska anses vara behörig eller obehörig enligt betaltjänstlagens reglering.^[66] En obehörig transaktion är enligt legal­definitionen en transaktion som görs ”utan samtycke från konto­havaren eller någon annan som enligt kontoavtalet är behörig att använda kontot”. Ordalagen tyder alltså på att ett samtycke som täcker den aktuella dispositionen är nödvändigt för att transaktionen ska vara behörig. Det skulle innebära att ett resonemang om bundenhet enligt allmänna avtalsrättsliga principer, inte nödvändigtvis medför att tran­s­ak­tionen anses behörig. Betaltjänstlagen bygger på ett direktiv som, i dessa delar, innehåller tvingande regler till skydd för kunden. Det är därför högst tveksamt om HD:s sätt att likställa samtycke och fullmakt kan få betydelse för tolkningen av när en transaktion är behörig eller inte enligt betaltjänstlagen.

Detta leder till den lite tråkiga situationen att den rättsliga inne­börden av gränsdragningen mellan begreppen behörig-obehörig, blir olika beroende på om e-legitimationen använts som led i ett avtalsslut, eller som betalningsinstrument. Det sätt på vilket någon väljer att missbruka någon annans e-legitimation spelar emellertid även annars ofta roll ur rättslig synvinkel, och problemet torde inte bli större här än annars om man bara är medveten om att begreppen måste tolkas funk­tionellt. I sak torde detta heller inte leda till skillnader av betydelse eftersom kontohavarens ansvar för obehöriga transaktioner enligt 5 a kap. 3, 4 och 6 §§ betaltjänstlagen har potential att bli obegränsat.^[67]

Att den som medvetet och frivilligt lämnar ifrån sig sin e-legitima­tion till någon annan löper en stor risk för att också få ta notan för mot­tagarens användning, är nog som det bör. Huruvida en tillämp­ning av tillitsfullmaktskonstruktionen egentligen blir lyckad för typ­fallet, kan emellertid diskuteras. Särskilt är det de anpassningar som görs för att få regeln att passa på ett typfall där mellanmannens existens är dold som kan anses skapa problem för bedömningen, sär­skilt för frågan om behörighetens gräns. Den ledning HD ger för be­döm­ningen av tredje mans befogade tillit är därtill mycket begränsad och verkar bygga på en olycklig presumtion om behörig användare som kan visa sig svår, eller även omöjlig, för innehavaren av en e-legitimation att bryta. Dessutom är det oklart vad som egentligen följer av härrörandekravet i detta typfall. Krävs det att tredje man styrker att huvudmannen faktiskt haft avsikt att mellanmannen skulle använda e-legitimationen, kommer dock de potentiellt negativa kon­sekvenserna av målet att bli små: Avgörandet gäller i så fall en så udda situation att det i sig torde bli något av en parentes.

Det något paradoxala i situationen, är att HD:s förmenta önskemål om att erbjuda en detaljerad regel med tydliga rekvisitliknande kriterier, är vad som sedan gör avgörandet svårtolkat och svårtillämpat. Kanske skulle man tillåta sig att främja önskemålet, att HD, om domstolen nu vill vara allmän och principiell i sina domskäl, också passar på att reflektera över hur det som sägs är tänkt att tillämpas på andra fall än det som just där och då ska avgöras. Det skulle kunna vara ett lämpligt test för om den allmänt uppställda regeln också utanför just det enskilda fallet blir en god och användbar regel, och för om avgörandet kan förväntas ge den ledning för senare rättstillämpning som torde ha varit avsett.

 

---

[1]  Universitetslektor och docent i civilrätt vid Juridiska institutionen, Uppsala universitet. Tack till forskningsamanuens jur.stud. Ludwig Irveland för hjälp med korrektur och andra värdefulla synpunkter.

[2]  NJA 2021 s. 1017 p. 5.

[3]  Några anknytningspunkter kommer det ofrånkomligt att bli, men valet av perspektiv innebär att den som förväntar sig heltäckande eller djupa fullmakts­teoretiska analyser kommer att bli besviken. Denne rekommenderas istället att läsa Unnersjö, Kriterierna för tillitsfullmakt. Låneavtalet med Svea Ekonomi NJA 2021 s. 1017, JT 2022–23 s. 647–663 [Unnersjö JT 2022–23] och Samuelsson, Fullmaktsläran, Uppsala 2023 [Samuelsson (2023)]. 

[4]  Det kan diskuteras om ”lämnat över” egentligen är ett träffande sätt att beskriva situationen. För att någon annan ska få åtkomst till ett BankID som upprättats av dig, måste personen dels få information om koden till BankID:et, dels få rådighet över enheten på vilken BankID:et är sparat. Handlar det om BankID på fil, på kort med dosa (med eller utan sladd) eller mobilt BankID på en platta som normalt ligger hemma, är det enkelt att låta annan i samma hushåll få åtkomst utan att det innebär att innehavaren själv är avskurit från att använda samma BankID. Handlar det däremot om ett mobilt BankID på innehavarens egen mobil, så får man utgå ifrån att det handlar om att just ”lämna över” mobilen i kombination med att kod­en till BankID:et delas. Ett möjligt tillvägagångssätt är också att det upprättas ett nytt mobilt BankID på en egen enhet, som den andra sedan får rådighet över. HD är inte så exakta i sin beskrivning av hur det gick till i det aktuella målet, och det kanske inte heller behövdes. Dock kan denna sorts detaljer ha betydelse för hur lätt (eller ens möjligt) det är för innehavaren att kontrollera hur det används.

[5]  Av referatet från hovrätten (s. 5) framgår att innehavaren fick kännedom om krediten först ca ett år efter att den hade betalats ut, vilket framstår som ha varit i samband med upptäckten av sambons agerande varpå polisanmälan m.m. gjordes.

[6]  Detaljerna avseende tidslinje m.m. har hämtats från tingsrättens beskrivning av kreditgivarens grunder för sin talan. Se Norrköpings tingsrätts dom 23 mars 2020 i mål T 2617-18.

[7]  Jfr 18 kap. 3 § handelsbalken, som dock inte uttryckligen åberopades som stöd. 

[8]  Se närmare om denna grund för betalningsansvar, Aagaard, Obehörig använd­ning av e-legitimation och läran om misstagsbetalning, JT 2021–22 s. 866–890.

[9]  Norrköpings tingsrätts dom 23 mars 2020 i mål T 2617-18, Göta hovrätts dom 18 januari 2021 i mål T 1115-20.

[10]  De två avgörandena har kommenterats av flera, både var för sig och med fokus på hur de förhåller sig till varandra. Se som ett axplock Svensson, Viljeförklaring och tillitsfullmakt, JT 2015–16 s. 330–356 (främst om 2014-års fall), Lundberg, Ytter­ligare om tillits­fullmakter, JT 2015–16 s. 735–740 (båda fallen), Wännström i SvJT 2019 s. 8–26 (främst om 2014-års fall), Ramberg, HD:s moderna fullmakts­lära, JT 2014–15 s. 406–413 (om 2013-års fall) och Christine Stridsberg, Tillits­full­makter — nytt klargörande om be­fogad tillit som behörighetsgrund, JT 2014–15 s. 619–629 (främst om 2014-års fall). Se också, som det hittills senaste bidraget, och med mer övergripande och allmänt fokus, Samuelsson (2023). Jag kommer i detta bidrag inte göra något försök till att närmare hur NJA 2021 s. 1017 fullmakts­teoretiskt förhåller sig till de tidigare avgörandena, eller hur de tidigare avgöran­dena förhåller sig till varandra.

[11]  Se liknande Unnersjö JT 2022–23 s. 654 f.

[12]  I NJA 2021 s. 1017 p. 21 anger HD detta som två olika kriterier, på samma vis som i NJA 2014 s. 684 p. 14. När det kommer till den närmare beskrivningen av hur tillitsfullmaktskonstruktionen ser ut i typfallet, och i bedömningen av det aktu­ella fallet, verkar HD hantera det som ett mer integrerat kriterium.

[13]  NJA 2021 s. 1017 p. 33.

[14]  Alltså vad som i (och efter) NJA 2013 s. 659 ofta omtalats som ett härrörande­krav.

[15]  Detta tredje kriterium har mot bakgrund av avgörandena i NJA 2013 s. 659 och NJA 2014 s. 684 lett till viss diskussion i doktrinen. Se särskilt Håstad, Befogad och obefogad tillit i fullmaktsläran, SvJT 2020 s. 323–332 [Håstad (2020)] och Lind­skog, Tillitsfullmakten — en replik, SvJT 2020 s. 785–797 [Lindskog (2020)].

[16]  NJA 2021 s. 1017 p. 24 med vidare hänvisning till NJA 2014 s. 684 p. 21. Som Samuelsson (2023) s. 98 anför, kan det diskuteras om HD:s sätt att i 2021 års fall återge vad som sades i 2014 års fall har blivit något olyckligt.

[17]  Som Unnersjö JT 2022–23 s. 661 framhåller kan dessa formuleringar också uppfattas som att de gäller två helt olika bedömningskriterier.

[18]  Funktionen ”min BankID-historik” finns, och gör att man kan se vilka transak­tion­er som har utförts för samtliga BankID utgivna till ett och samma person­nummer. Här framgår dock inte det närmare innehållet i en transaktion eller vad som skrevs under.

[19]  Sådan kontroll torde däremot ha kunnat få betydelse om bedömningen istället avsåg innehavarens culpa.

[20]  Se närmare avsnitt 6 nedan.

[21]  På denna punkt blir det något av en praktisk skillnad mellan dessa situationer och situationer då det är en rent fysisk handling som kommit på avvägar. Den senare kan man inte hur som helst återvinna kontrollen över, medan framtida an­vänd­ning av en e-legitimation normalt är enkelt att förhindra om man bara vet om att den finns. Det är dock främst möjligheten att spärra ett BankID som står öppen. Att ändra kod skulle förutsätta dels att personen vet vilken den gamla koden är, något som inte behöver vara fallet vid bedrägligt upprättade BankID, dels att den har rådighet över den enhet på vilken BankID:et har installerats.

[22]  NJA 2021 s. 1017 p. 37–39.

[23]  Se närmare Petter Dahl, Praktiska erfarenheter från BankID, kommande i SvJT hft 5–6 2023.

[24]  Därtill kommer alla de fall då någon närstående obehörigen har kommit åt en e-legitimation som i och för sig har utgivits till rätt innehavare.

[25]  Även Unnersjö JT 2022–23 s. 655 framhåller betydelsen av tredje mans faktiska tillit.

[26]  Se NJA 2021 s. 1017 p. 37 och nedan i avsnitt 5.

[27]  Ponera exempelvis att det är femtioelfte gången under en kortare tidsperiod som samma person gör en kreditansökan om ett mindre belopp hos den aktuella kreditgivaren, eller att kreditansökningen görs mitt i natten från en IP-adress i ut­landet av Britt-Marie (98). All exemplifiering riskerar att visa fördomar som inte behöver stämma på individnivå, och det kan givetvis inte uteslutas att även farfars mor åker iväg på semester, sitter uppe hela natten och bestämmer sig för att låna lite pengar, men exemplet torde ändå kunna tjäna sitt syfte.

[28]  I NJA 2014 s. 684 handlade det om en person i chefsställning för en avgränsad och självständig del av verksamheten.

[29]  I NJA 2013 s. 659 handlade det om en kontraktör som vid vissa förhandlingar representerade ett reseföretag på en geografisk avgränsad marknad.

[30]  Omskrivningen till en tänkt tredje man är medveten. Konkret tillit till behörig­heten är endast intressant i den mån som den aktuella tredje mannen borde ha förstått mer än vad en annan, vilken som helst, tredje man i motsvarande situation hade uppfattat mot bakgrund av de aktuella omständigheterna.

[31]  Med e-legitimation kan man — som några exempel — underteckna kreditavtal, öppna nya konton i en ny bank, underteckna skuldebrev, underteckna ett avtal om köp av bil, böcker, kläder, barnprylar, lämna in årsredovisning till Bolagsverket eller deklarationen till Skatteverket, eller nästan vad som helst annat där mark­naden har velat anpassa sig och göra det enkelt att delta digitalt. 

[32]  Eventuella rättsliga begränsningar i möjligheten att hantera data om kunden kan dock tänkas få betydelse här. Banken kan agera som kreditgivare, eller som kontoförvaltande betaltjänstleverantör. Fastän den kontoförvaltande banken också i sig är en mellanman, blir det därför enligt min uppfattning relevant att i detta sam­man­­hang anse banken som tredje man. Målet HD avgjorde i NJA 2021 s. 1017 gällde en kreditgivare, och gränsdragningen obehörig-behörig får stor betydelse även för vilka transaktioner som omfattas av skyldigheten att återställa ett konto enligt 5 a kap. 1 § betaltjänstlagen och det kan diskuteras om även denna gräns­dragning har påverkats av avgörandet, se avsnitt 8 nedan.

[33]  För att kunna upptäcka konstigheter skulle det dock behövas kontrollsystem med hög grad av detalj- och personanpassning. Det är inte givet att övervak­nings­mekanismerna vare sig kan eller får utformas så detaljerat som skulle vara nöd­vändigt. Dessutom kommer sådan transaktionsövervakning bara upptäcka transak­tioner om sticker ut, vilket exempelvis låneupptaget i det aktuella målet nog inte hade ansetts göra.

[34]  Överskuldsättning är exempelvis ett allvarligt, och för både staten och samhället i övrigt, mycket kostsamt problem. Se Riksrevisionens rapport Överskuldsättning — hur fungerar samhällets stöd och insatser? (RiR 2015:14). I rapporten har den sammanlagda samhällskostnaden beräknats till anmärkningsvärda 201,4 miljarder på årsbasis.

[35]  Jfr Unnersjö JT 2022–23 s. 663 som omtalar avgörandet som ett ”tydligt med­skick till banker och andra kreditgivare om att det ofta kan vara bra att för säker­hets skull använda både hängslen och livrem.”

[36]  Liknade argumentation kopplat till beloppets storlek och ett rent digitalt för­farande återfinns i det norska avgörandet HR-2020-2021-A p. 104. Høyesterett fäste då avseende vid att banken som professionell aktör hade ”valt att ingå ett kredit­avtal om ett, för en enskild konsument, högt belopp uteslutande genom” elektro­nisk identifiering. Se Aagaard, Kreditgivares ersättningsanspråk efter obe­hörig använd­ning av bank-id, Kommentar till Høyesteretts avgörande HR-2020-2021-A, SvJT 2021 s. 235 på s. 246.

[37]  Kanske kan synpunkten egentligen anses vara uttryck för en underförstådd tanke om riskfördelning, och att det finns en gräns för vilka risker som en kredit­givare får ta genom hur den väljer att lägga upp sin verksamhet innan de negativa följderna av dessa val också bör bäras av näringsidkaren själv.

[38]  Något som inte kan uteslutas kan ha varit fullt medvetet för att begränsa risken för att marknadens aktörer anpassar sig för att försöka optimera sitt skydd. Exakta beloppsgränser skulle exempelvis kunna leda till risk för att mellanmannen väljer att ansöka om högre belopp för att reducera risken för att innehavaren av e-legiti­mationen ska bli bunden till kreditavtalet. Fastän mellanmannen väljer att miss­bruka det förtroende innehavaren har visat den, behöver det inte innebära att mellan­mannen är helt utan omsorg för innehavaren.

[39]  Bedömningen kommer i dessa fall normalt inte att bygga på hur en eller flera fysiska människor uppfattat situationen vid mottagandet av viljeförklaringen, utan det hela sköts huvudsakligen av elektroniska och automatiserade system. Det är normalt först i efterhand, när något väl visat sig ha gått snett, som riktiga männi­skor närmare granskar den enskilda transaktionen. Detta är inget säreget för situa­tionen då man försöker avgöra tredje mans befogade tillit, utan samma problema­tik aktu­ali­seras i andra typsituationer där avtalsslutet sker digitalt och med hjälp av automa­tiserade system och där det är av rättslig betydelse hur mottagaren upp­fattat omständigheterna kring mottagandet av viljeförklaringen. 

[40]  Liknande Unnersjö JT 2022–23 s. 655 och 661.

[41]  När HD i p. 37 anger att det inte framkommit något som gav kreditgivaren skäl att göra särskilda kontroller, får det helst uppfattas som att bevisbördan för att iden­tifiera omständigheter som kan bryta presumtionen om behörig användning har lagts på innehavaren.

[42]  Se om mottagarens faktiska tillit och dess (bristande) betydelse annars, Samuelsson (2023) s. 27 f.

[43]  Ett potentiellt problem i sammanhanget är också den ofta mycket svåra bevis­situationen som råder gällande den grundläggande frågan om hur använ­daren egentligen har kommit åt e-legitimationen. Fastän tredje man har bevisbördan för att kriterierna för en tillitsfullmakt faktiskt är uppfyllda, och att det enligt NJA 2017 s. 1105 räcker att innehavaren gör antagligt att användningen skett obehöri­gen, finns det risk för ett expansivt tillämpningsområde av fullmaktsspåret till följd av svårigheterna som ofta följer med en skyldighet att föra bevisning för icke-existensen av ett handlande. Se Heuman, Bevisbörda och beviskrav i tvistemål, Norstedts Juridik, Stockholm 2022 [Heuman (2022)] s. 398 ff.

[44]  Se Heuman (2022) s. 64 om att bevisbördan inte bör läggas på en person vars in­tresse är att bevisskyldigheten inte ska fullgöras.

[45]  Vilken teknisk bevisning man har åtkomst till beror bl.a. på om den aktuella dis­positionen har godkänts med hjälp av en e-legitimation som aktören själv har utgivit till innehavaren. I dessa fall har aktören insikt i väsentligt mer data och in­formation än om det istället handlar om användning av en e-legitimation som har utställts av en annan aktör. Orsaken är regler om banksekretess som begränsar möjligheten att dela information mellan aktörerna.

[46]  Se närmare i avsnitt 8 nedan.

[47]  Att omständigheterna kan påverka möjligheten att nå fram med argumen­ta­tionen, alltså dra slutsatsen att en tillitsfullmakt uppkommit, är en annan sak.

[48]  Utom i fall av teknisk brist eller vid en banks åsidosättande av reglerna för ut­givande av BankID, som dock inte är väldigt aktuella.

[49] Ponera exempelvis att ditt vuxna barn som är hemma på jullov har lyckats gissa koden till din mobiltelefon som låg på laddning i vardagsrummet när du sov, och koden till telefonen råkar (så klart) vara den samma som koden till ditt mobila BankID. Någon dag senare upptäcker du att pengar försvunnit från kontot, och efter konfrontation erkänner det vuxna barnet vad som hänt. Istället för att byta kod nöjer du dig emellertid med ett löfte om att barnet givetvis aldrig ska göra något liknande igen. Några månader senare trillar, föga förvånande för oss andra, brev från ett inkassobolag in i brevlådan.

[50]  Formuleringen antyder alltså att det är själva rättshandlingen som ska härröra från innehavaren, vilket inte får förväxlas med det andra kriteriet för en tillitsfullmakt, nämligen att tredje mans befogade tillit ska bygga på omständigheter som härrör från innehavaren.

[51]  Mot bakgrund av HD:s sätt att beskriva dikotomin behörig-obehörig i dom­skälen, kan det också vara läge att diskutera en annan fråga, nämligen relationen mellan fullmaktsreglerna och ogiltighetsreglerna. Genom uttalandena antyds att den som, genom ett agerande som träffas av avtalslagens svaga ogiltighetsgrunder (eller kanske inte ens når upp till den tröskeln) förleds att ge annan fullmakt, inte behöver oroa sig för att en godtroende tredjeman ska kunna påstå att det före­ligger en full­makt. Det är i så fall en ståndpunkt som står i viss motsättning till sed­vanlig upp­fattning i frågan, nämligen att en godtroende medkontrahent van­ligt­vis antas kunna stå fast vid avtalet. Kanske är det dock nödvändigt till följd av sär­drag­en med e‑legitimationsfallen, men det kan också diskuteras om det inte kanske istället är tillits­fullmaktskonstruktionen som sådan som skapar det huvud­sakliga problemet i detta avseende.

[52]  Där framgår, i samband med behandlingen av just härrörandekravet, att det inte ska leda till bundenhet om ”någon i förhållande till huvudmannen helt utom­stående” har givit tredje man anledning att tro att han företräder huvudmannen. Frågan är hur mycket som kan läsas in i uttalandet, och hur stort överföringsvärde det har till en situation då e-legitimationsinnehavaren rent faktiskt varit involverad.

[53]  Annorlunda hade det förhållit sig om domskälen hade formulerats lika, men omständigheterna hade varit andra. Då hade man fått en tydligare prövning av regelns räckvidd.  

[54]  Typfallet är inte identisk med den situation som skisseras i NJA 2014 s. 684 p. 18, eftersom huvudmannen till följd av e-legitimationens personliga karaktär kommer ha behövt medverka (rent faktiskt) till att mellanmannen fick åtkomst till densamma.

[55]  Här kan kanske principen som kommer till uttryck i 19 § avtalslagen ge viss led­ning för tanken. Fastän en fullmakt har återkallats, och därför alltså inte längre finns, kan huvudmannen bli bunden om han har ”särskild anledning” att befara att fullmäktigen kan tänkas använda fullmakten för att ”företaga rättshandling gente­mot viss man, vilken kan antagas sakna vetskap om dess upphörande…”.

[56]  Rättstillämparen måste då göra en noggrann bedömning av om de konkreta om­ständigheterna gör det rimligt att uppfatta passiviteten som uttryck för en vilje­för­klaring. Särskilt viktigt blir det i typfall då innehavaren befinner sig i en destruk­tiv relation och därför inte förmår reagera lika snabbt, eller på samma sätt, som vi skulle förvänta av någon som utsatts för ett bedrägeri av en okänd person. Jfr exempelvis med omständigheterna i Svea hovrätts dom 2 februari 2022 i mål T 3618-21, där kvinnan till följd av den destruktiva relation hon levde i och all­varlig psykisk ohälsa inte förmådde reklamera obehörig användning av sitt BankID till banken förrän efter flera månader. Hon ansågs i fallet vara återbetalnings­skyldig enligt läran om misstagsbetalningar för en kredit som pojkvännen hade tagit med hjälp av hennes BankID.

[57]  Personligen anser jag nog att typfallet med annans användning av e-legitimation när samtycke eller uppdrag saknas rent allmänt helst borde hanteras enligt sådana regler. Se nedan i avsnitt 8.

[58]  En invändning mot att ens diskutera detta, kan vara att det trots allt finns möjlighet att få bankfullmakt så att en anhörig kan logga in med sin egen e-legiti­ma­tion och sköta personens bankärenden. Dock verkar de tekniska lösningarna hos olika banker fungera rätt olika i detta avseende, och åtminstone i vissa fall får den fullmäktige i sådana fall inte insyn i exempelvis inkomna e-fakturor. För att kunna hjälpa den närstående, måste fullmäktigen då ändra från e-faktura till brevfaktura och få fakturorna skickade hem till sig, för att på något smidigt sätt kunna säkerställa att de blir betalda i tid. Dessutom ger en bankfullmakt bara åt­komst till en bank i taget, och det finns i dagsläget ingen möjlighet att upprätta mer omfattande generalfullmakter som ger möjlighet för inloggning i olika system. En förutsättning för att en sådan teknisk lösning ska kunna skapas, är att det skapas ett register över företrädare.

[59]  Det kan finnas olika orsaker till att någon medverkar till att skapa en e-legiti­mation som ska användas av annan, exempelvis för att upprätta bolag, men ofta handlar det om omständigheter som åtminstone ligger nära hot, utnyttjande eller annat vilseledande.

[60]  Detta torde, åtminstone som en utgångspunkt, också anses följa av NJA 2014 s. 684 p. 20. Se också Samuelsson (2023) s. 98.

[61] Exempelvis är det vanligt förekommande att bedragare lyckas förmå innehavare att ge ifrån sig koder eller på annat sätt agera så att bedragaren kommer åt inne­havarens e-legitimation eller innehavarens internetbank så att denne kan upprätta ett bedrägligt BankID. Att bundenhet inte bör kunna uppkomma för dispositioner som företagits innan innehavaren haft praktisk möjlighet att spärra en e-legitima­tion som bedragaren fått tillgång till, är uppenbart.

[62]  Se dock nedan under avsnitt 8. Det är nämligen inte alls säkert att en tillits­full­makt kan likställas med kontohavarens samtycke så att transaktionen faktiskt måste anses som behörig i betaltjänstlagens mening.

[63]  Se Lindskog (2020) på s. 793 f. som för ett liknande resonemang grundat i system­betraktelser.

[64]  Se 15 kap. 12 § första stycket brottsbalken.

[65]  Jfr beskrivningen av vad som utgör ett särskilt klandervärt agerande i NJA 2022 s. 522 p. 27.

[66]  Hur ansvaret för obehöriga transaktioner ska fördelas, följer av 5 a kap. betal­tjänstlagen. Definitionen av vad som utgör en obehörig transaktion följer däremot av 1 kap. 4 § mom. 32.

[67]  Vilket alltså torde vara fallet i de fall som också möjliggör uppställande av en tillitsfullmakt eller bundenhet på annan väg. Se närmare NJA 2022 s. 522 och Aagaard, BankID-Bedrägeriet, JT 2022–23 s. 63–80.