Kreditgivares ersättningsanspråk efter obehörig användning av bank-id

Kommentar till Høyesteretts avgörande HR-2020-2021-A

 

 


Av universitetslektorn MARIANNE M. RØDVEI AAGAARD1

Obehörig användning av olika sorters e-legitimation leder varje år till stora ekonomiska förluster för kreditgivare och kan innebära personlig tragedi för den vilkens bank-id har använts. De rättsliga frågorna som uppkommer i samband med sådana bedrägerier har emellertid till största delen lämnats därhän av både lagstiftare och rättsvetenskap, vilket gett utrymme för spretande praxis och betydande rättsosäkerhet i underinstanserna. I artikeln behandlas några av dessa frågor med utgångspunkt i ett avgörande från norska Høyesterett.

 


1 Inledning
Den 22 oktober 2020 avkunnade norska Høyesterett dom i en tvist om en i Norge mycket uppmärksammad fråga, nämligen den om en bankkunds ansvar för en kreditgivares förlust då ett kreditavtal slutits genom tredje mans obehöriga användning av kundens bank-id. Høyesterett kom fram till att kunden i fallet inte var skadeståndsansvarig gentemot banken eftersom kunden, trots oförsiktighet med kodbrickan, inte hade varit tillräckligt vårdslös, och att banken själv ansågs ha gjort för lite för att förhindra risken för den uppkomna situationen.
    Innan en närmare redogörelse för avgörandet lämnas ges en kort beskrivning av sakomständigheterna i ett typiskt fall av obehörig användning av bank-id, liksom för några rättsliga utgångspunkter som kan vara tillämpliga i ett sådant fall. Under de senaste åren har nämligen ett stort antal motsvarande tvister behandlats i underinstanserna, med viss variation i rättstillämpningen och val av tillämpliga regler. Den här delen av framställningen syftar också till att ge läsaren en inblick i de skillnader mellan norsk och svensk rätt som kan tänkas påverka det norska avgörandets betydelse som inspiration för svensk rättstillämpning.

 

 

1 Författaren är från och med 1 februari 2021 universitetslektor i civilrätt vid Uppsala universitet. Artikeln skrevs under tiden då författaren var vikarierande universitetslektor i allmän förmögenhetsrätt vid Stockholms universitet, verksam vid Stockholm Centre for Commercial Law. Tack till professor Marte E. Kjørven, Universitetet i Oslo och doktoranden Stina Bratt, Stockholms universitet, för värdefulla inspel till ett tidigare utkast.

 

236 Marianne M. Rødvei Aagaard SvJT 2021 2 Problembakgrund och rättsliga utgångspunkter
Det finns en rad olika tekniska konstruktioner som idag tillämpas för elektronisk identifikation (kundautentisering). Dessa skiljer sig till viss del åt både mellan Norge och Sverige och inom de båda länderna beroende på vilken utställaren av autentiseringslösningen är.2 I båda länderna finns tekniska lösningar som går under beteckningarna bankid och mobilt bank-id, vilka tillåter att man på distans och med hjälp av internet eller mobildata genom tvåfaktorsautentisering kan legitimera sig på ett (presumtivt) säkert sätt.3 Ursprungligen utvecklades bank-id för att godkänna betalningstransaktioner och att i samband med betaltjänster legitimera (autentisera) sig, men numer används det i en rad olika sammanhang.4 För att få ett bank-id måste man ha ett personnummer och kunna legitimera sig med giltig fysisk legitimation, och man behöver godkänna de villkor som gäller för utställande och användning. I samband med att man skapar ett bank-id behöver man också skapa ett personligt lösenord eller en kod, som senare kan ändras. Användning av traditionell bank-id i Norge, i jämförelse med mobilt bank-id, sker genom att man använder sitt personnummer som användarnamn i kombination med en engångskod från en bankdosa eller kodbricka och sitt personliga lösenord.5 Det kan variera mellan olika bank-id-utställare huruvida det också behövs en kod för att ta fram en engångskod från den kodbricka man får från utställaren, eller om lösenord bara ska skrivas in i nätläsaren i samband med inloggning.6

 

2 Se Marte Kjørven, Who Pays When Things Go Wrong? Online Financial Fraud and Consumer Protection in Scandinavia and Europe, European Business Law Review 31, no. 1 (2020) s. 77–110 (Kjørven (2020) på s. 81–86 för en noggrann genomgång av olika tekniska lösningar såväl som möjliga sätt att använda dessa i bedrägerier. 3 Som Kjørven (2020) s. 84–85 beskriver, skiljer sig de olika skandinaviska lösningarna sig åt. Gemensamt för dem är dock att de anses utgöra så kallad stark kundautentisering enligt definitionen i PSD 2 artikel 4 p. 30. En stark kundautentisering innebär att man använder två eller flera komponenter (tvåfaktorsautentisering), kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har), och unik egenskap (något som användaren är). Se dock Kjørven (2020) s. 86 med vidare hänvisningar om några brister i det presumtivt så säkra autentiseringssystemet när det kommer till människor som den svaga länken i systemet. 4 Några få exempel kan ges för att identifiera bredden i tillämpningsområdet. Att logga in på Skatteverket för att lämna in sin deklaration, att logga in på kommunens sida för att bekräfta val av förskola för sitt barn, att signera ett kreditavtal vid köp av ny bil, att ansöka om ett snabblån eller även öppna ett konto i en ny bank. 5 Väl så vanligt idag är att använda sig av ett mobilt bank-id. I stället för att ha tillgång till en kodbricka krävs då tillgång till en mobiltelefon eller dator som har applikationen installerat, vilken används i kombination med personnummer som användarnamn och ett lösenord i form av en personlig kod som knappas in i applikationen. Vid legitimering i andra sammanhäng än i hembanken och vid betalning, eller vid betalning av lägre belopp via applikationer som t.ex. Swish eller Apple Pay, kan användning av kod bytas ut mot t.ex. ansiktsigenkänning eller fingeravtryck, eller rent av andra kundautentiseringslösningar än bank-id. 6 Det kan även variera om ett lösenord alls behövs i nätläsaren, men för att kundautentiseringen ska vara stark måste den genomföras med tvåfaktorsautentisering, så någonstans i processen krävs antingen ett lösenord eller biometriska data från innehavaren i tillägg till kodbrickan.

 

SvJT 2021 Kreditgivares ersättningsanspråk… 237 Att logga in i hembanken, godkänna en betalning eller elektronisk signera ett dokument med denna form för kundautentisering förutsätter alltså att användaren antingen har kodbrickan i sin besittning, eller att användaren på annat sätt kan få tillgång till den engångskod som kodbrickan ger inom den korta tidslucka som koden är giltig. Användaren behöver också ha kännedom om det personliga lösenordet och innehavarens personnummer.7 När det gäller betalningstransaktioner är huvudregeln att man behöver genomföra processen genom att identifiera sig två gånger: Först en gång för att logga in i hembanken eller mobilbanken, och sedan en gång för att godkänna transaktionen. Vid identifiering i andra sammanhang, som t.ex. vid elektronisk signatur i samband med avtalsingående, kan det däremot räcka med att genomföra processen en gång.
    Det finns många olika sätt att åstadkomma en obehörig användning av ett bank-id,8 och det är en grundläggande skillnad mellan de metoder som förutsätter en fysisk medverkan av innehavaren till bankid:et när legitimeringen genomförs, och de metoder som bygger på att bedragaren själv har kodbrickan i sina händer.9 Medverkan från innehavaren uppnår bedragaren gärna genom att den, via telefon, e-post eller på annat sätt, utger sig för att vara t.ex. en myndighetsperson som begär att innehavaren ska logga in med sitt bank-id via en falsk sida, samtidigt som bedragaren har en transaktion förberedd i egen webbläsare som då godkänns genom innehavarens misslyckade försök att logga in.10 Obehörig användning som inte sker genom att innehavaren luras att medverka torde vara något svårare att få till eftersom det förutsätter att bedragaren får tillgång till kodbrickan, men har också potential att fortgå en längre tid utan att innehavaren upptäcker det hela, och denna typ av obehörig användning har också potential att leda till större konsekvenser för kunden.11 Det var den senare metoden som användes av bedragarna i det norska fallet.

 

7 Trots att personnumret anses som en personuppgift som ska skyddas är det så lätt att komma över av obehöriga att användningen av detta inte i sig kan anses öka säkerheten vid autentiseringslösningen. 8 ARN har i ett antal avgöranden fastställt att det bara är de fall då det inte är innehavaren själv som har godkänt transaktionen som kan anses som obehöriga. Se t.ex. ARN 2019-8258, ARN 2019-111253 och ARN 2019-14354. 9 Se Kjørven (2020) s. 81–82 om metoderna phishing, vishing och push payments, som oftast används av en bedragare som kunden inte känner till sedan innan, och s. 83 om närståendes åtkomst till kundens behörighetsfunktioner som utgångspunkt för bedrägeri i nära relationer. 10 Ett annat sätt att uppnå samma sak är att ringa eller skicka ett sms till en person och ange att man av misstag har råkat swisha ett belopp som personen sedan vill ha tillbaka. Avsikten är på samma sätt att få mottagaren att öppna och använda sitt bank-id, och på så sätt godkänna en annan transaktion eller identifikationsprocess än själva återbetalningen. Eftersom återbetalningen då inte går genom, får innehavaren göra om, och har då två gånger i tät följd identifierad sig med bank-id, vilket är nog för att ge obehöriga tillgång till både hembanken och möjlighet att genomföra betalningstransaktioner. 11 Som Kjørven (2020) beskriver på s. 83, innebär kontroll över ett bank-id en möjlighet att agera i innehavarens namn i en rad olika situationer gentemot alla de aktörer som accepterar just den kundautentiseringslösningen, och inte bara i rela-

 

238 Marianne M. Rødvei Aagaard SvJT 2021 3 Rättsliga alternativ: Avtalsbundenhet eller skadeståndsansvar
De två alternativ som har varit vanligast förekommande vid tvist om krediter upptagna med hjälp av obehörig användning av elektronisk identifikation är de som kan karakteriseras som avtalsspåret respektive skadeståndsspåret.12 Avtalsspåret innebär att kunden, trots att det alltså inte är denna själv som har slutit avtalet eller använt sitt bank-id, anses bunden av avtalet och därför är skyldig att betala tillbaka beloppet på avtalsrättslig grund.13 Det andra spåret, skadeståndsspåret, bygger på utgångspunkten att kunden inte är avtalsrättsligt bunden av kreditavtalet, men att kunden, som genom vårdslöshet har möjliggjort för den obehöriga användningen av sitt bank-id, blir skyldig att ersätta bankens förlust när bedragaren inte återbetalar lånet.14 Eftersom man i Norge inte har en motsvarande regel som den i 2 kap. 2 § skadeståndslagen (att ren förmögenhetsskada ersätts endast vid brott) räcker det som huvudregel att identifiera culpa hos kunden som ansvarsgrund. I svenska underinstanser framträder däremot, kanske på grund av just den skadeståndsrättsliga regeln om ren förmögenhetsskada, ett annat och minst sagt lite förvånande alternativ, nämligen att ålägga kunden återbetalningsskyldighet med stöd av läran om condictio indebiti.15 Både det avtalsrättsliga och det skadeståndsrättsliga spåret kan givetvis vara relevanta och aktuella alternativ. Trots att dessa fall handlar om en obehörig användning av ett bank-id som får anses jämförbar med en underskriftsförfalskning och därför som huvudregel inte kan binda den person som utsatts för förfalskningen,16 måste

tion till en enskild nätsida eller bestämt kreditgivare. Den flexibilitet man som kund kan njuta av — att kunna använda sig av samma kundautentiseringsmetod i olika sammanhang — innebär också en utökad risk om behörighetsfunktionerna till denna skulle komma på avvägar. 12 I norsk rätt har skadeståndsspåret fått störst genomslag, se t.ex. LB-2014-13514, LB-2016-43622, 18-148976TVI-OVRO, 17-098711TVI-OVRO, 18-127575TVI-OVRO, 17-169552TVI-FOLL, 15-168226TVI-GJOV, 17-197796TVI-HAUG, 18-074832TVIOTIR/01, 18-039633ASD-FROS, LA-2017-135340, 16-054343TVI-NETE, 14-193249TVI-FOLL, 17-170313TVI-GJOV. 13 Avtalsspåret framstår som aktuellt särskilt i de fall då innehavarens påstående att avtalet har slutits av någon annan framstår som mycket osannolikt eller då innehavaren själv medvetet har lämnat över behörighetsfunktionerna till någon annan, trots att denna förstod eller måste ha förstått att mottagaren skulle komma att använda dem. Avtalsspåret innebär i princip att bedragaren inte kan hållas ansvarig gentemot kreditgivaren, utan endast potentiellt emot innehavaren, och kan mot den bakgrunden anses mindre lämpligt. 14 I dessa fall kommer innehavaren och bedragaren bli solidariskt ansvariga för skadeståndskravet, men risken är givetvis att bedragaren saknar medel och att innehavaren själv får bära hela förlusten gentemot kreditgivaren och sedan genom regress försöka återfå beloppet från bedragaren. 15 I de flesta fall tycks dock den argumentationen inte leda fram till att återbetalning ska ske. Se Hovrätten för Västra Sveriges dom i mål T 3583-17 och mål T 2473-18 som inte accepterar kreditgivarens yrkanden om återbetalning med stöd av principerna om condictio indebeti, och i motsatt riktning Svea hovrätts dom i mål T 241217. 16 Se Henrik Hessler, Obehöriga förfaranden med värdepapper, 2 uppl. 1981 s. 39 ff.

 

SvJT 2021 Kreditgivares ersättningsanspråk… 239 domstolen fatta sitt beslut efter en bedömning av den bevisning om de relevanta sakomständigheterna som finns. Som framgår av NJA 2017 s. 1105, som får anses vara intressant också för norsk rätt, har kreditgivaren bevisbördan för att ett kreditavtal har slutits genom användning av en kunds bank-id. Om kreditgivaren kan styrka att så har skett, är det kunden som måste göra antagligt att det inte är kunden själv, utan någon annan, som har slutit kreditavtalet.17 Kan kunden inte göra det antagligt att det är någon annan som använt dennas bank-id, kommer den bli ansedd som låntagare och gäldenär enligt kreditavtalet, och därmed bunden på avtalsrättslig grund.
    Kan kunden däremot göra antagligt att det inte är den själv som har använt bank-id:et för att ingå kreditavtalet, och att det heller inte föreligger en sådan situation att kunden anses ha accepterat eller gett fullmakt till någon annan att ingå kreditavtalet i kundens namn, då föreligger inget bindande avtal mellan kreditgivaren och kunden.
    På den här punkten tycks dansk rätt ha tagit en annan väg än norsk och svensk rätt genom att man i Danmark lättare tycks acceptera avtalsrättslig bundenhet till följd av att en innehavare av ett så kallad NemID, vilket motsvarar bank-id, antingen medvetet har lämnat behörighetsfunktionerna till en tredje man, eller att tredje man på grund av innehavarens grova oaktsamhet obehörigen har kunnat använda id:et.18 Att kunden inte ansvarar för lånets återbetalning enligt avtalsrättsliga regler är emellertid inte detsamma som att kunden helt undgår ett betalningsansvar. Eftersom bank-id och motsvarande lösningar för kundautentisering är strikt personliga, är utgångspunkten att de inte ska kunna användas av någon obehörig tredje man. Det som kännetecknar stark kundautentisering är trots allt att man kombinerar olika moment som endast innehavaren ska ha kännedom om, och som kunden enligt både lag och avtal förväntas skydda.19 Har så ändå skett,

 

17 Se NJA 2017 s. 1105 p. 7–9 om rättsliga utgångspunkter rörande bevisbörda och beviskrav vid penninglån med hänvisning till NJA 1975 s. 577, NJA 1976 s. 667 och NJA 1992 s. 263. 18 I två olika avgöranden från januari 2019 fastställde danska Højesteret att innehavaren av ett NemID blev bunden på avtalsrättslig grund av kreditavtal som hade slutits av någon annan. De två fallen, U.2019.1192 och U.2019.1197, har det gemensamt att de båda gäller fall då en innehavare av ett NemID hade lämnat ifrån sig alla sina behörighetsfunktioner till någon annan som därefter har använt dem för att ingå kreditavtal i innehavarens namn. Innehavaren har sedan åberopat att den inte förstått att NemID:et skulle kunna användas för att ingå kreditavtal och även att överlämnandet av behörighetsfunktionerna skett under hot eller tvång som angett i 28 § avtalslagen, dock utan att någon reklamation såsom krävs enligt bestämmelsens andra stycket har lämnats utan uppehåll. Højesterets resonemang i de två fallen är mycket kortfattade, men det framstår som man resonerar i termer av samtycke eller fullmakt för att iklä förhållandet avtalsrättslig dräkt. Se också Susanne Karstoft, Misbrug af NemID til optagelse af lån, U.2019B.339 på s. 340 f. som anger att ”[e]n frivillig, forsætlig og bevidst overladelse af NemID-koder mv. til tredjeman udgør som utgangspunkt en fuldmagt med særlig tilværelse til at handle på NemID-indehaverens vegne.” 19 Hur kraven om att skydda dessa behörighetsfunktioner är formulerade, skiljer sig lite åt mellan den svenska och den norska lagstiftningen. I den svenska

 

240 Marianne M. Rødvei Aagaard SvJT 2021 måste det alltså utredas huruvida den obehöriga användningen har möjliggjorts genom kundens vårdslöshet med att förvara och hålla hemlig informationen och de tekniska hjälpmedel som ingår i legitimeringsprocessen. Föreligger skadeståndsgrundande culpa, kommer kunden enligt norska skadeståndsrättsliga principer, som till största delen inte är kodifierade, att bli skadeståndsansvarig gentemot kreditgivaren för dennas förluster enligt kreditavtalet.20

4 Om förhållandet till den konsumentskyddande (EU-)regleringen på området
När ett bank-id har använts som led i en betalningstransaktion handlar det om ett betalningsinstrument som i norsk rätt regleras av finansavtaleloven kapitel 2 V. Motsvarande reglering finns i svensk rätt i 5 a kapitlet i lag (2010:751) om betaltjänster. Dessa regler har sin bakgrund i de två betaltjänstdirektiven från EU, nämligen 2007/ 64/EG (PSD) och 2015/2366/EU (PSD 2).21 I Norge har man än så länge inte implementerat alla de civilrättsliga reglerna i PSD 2, utan förslaget till ny finansavtalelov behandlades av Stortinget hösten 2020 men har ännu inte trätt ikraft.22 Reglerna ger kontoinnehavaren ett relativt långtgående skydd vid obehöriga betalningstransaktioner, genom att kunden som huvudregel har rätt att få sitt konto återställt till den ställning som det skulle ha haft om den obehöriga transaktionen inte hade genomförts.23 Om den obehöriga transaktionen har kunnat genomföras till följd av att kontoinnehavaren inte har skyddat sina personliga behörighetsfunktioner eller genom grov oaktsamhet har åsidosatt de skyldigheter att skydda dessa som följer av lag eller avtal, får kunden själv stå för delar av beloppet som en slags självrisk.24 Har kunden handlat särskilt klandervärt,

bestämmelsen (5 kap. 6 § betaltjänstlagen) anges att kunden ska ”skydda” informationen, följa de villkor som enligt avtalet gäller för användningen av betalningsinstrumentet och (givetvis) meddela betaltjänstleverantören omedelbart om betalningsinstrumentet har kommit bort eller obehörigen använts. I den motsvarande norska bestämmelsen (finansavtaleloven § 34 (1)) anges de två senare kraven på ungefär samma sätt som i den svenska, men kravet om att ”skydda” har i stället formulerats som ett krav om att vidta ”alla rimliga åtgärder för att skydda” betalningsinstrumentet. 20 Förlusten består typiskt sett av själva kreditbeloppet, uppläggningskostnader och räntor, men även rättegångskostnader om det blir tvist i domstol. 21 Se Kjørven (2020) s. 86–97 för en noggrann genomgång av reglerna om konsumenternas ansvar vid obehöriga betalningstransaktioner. Om regler om beviskrav och bevisbörda, som i huvudsak ligger på betaltjänstleverantören, i dessa situationer se särskilt s. 89. 22 Den nya lagen antogs 18 december 2020 men det är än så länge oklart när den kommer träda ikraft. 23 Se PSD 2 artikel 73 p. 1, finansavtaleloven § 34 och motsvarande regel i 5 a kap. 1 § betaltjänstlagen 24 Har kunden misslyckats med att skydda sin personliga behörighetsfunktion kan kunden enligt den nuvarande norska regleringen bli ansvarig för upp till 1 200 kr (finansavtaleloven § 35 (2), medan beloppet enligt den motsvarande svenska regeln är 400 kr (5 a kap. 2 § betaltjänstlagen). I det norska förslaget till ny lag har beloppet reducerats till 450 kronor, jfr Prop. 92 LS (2019–2020) s. 172. Har kunden genom grov oaktsamhet åsidosatt de skyldigheter som åligger kunden enligt finansavtale-

 

SvJT 2021 Kreditgivares ersättningsanspråk… 241 t.ex. med uppsåt eller svikligt, kan den emellertid själv få täcka hela förlusten.25 Reglerna som skyddar kunden mot förluster till följd av obehöriga transaktioner omfattar emellertid endast situationen då kundautentiseringen sker som led i en betalning.26 Sker autentiseringen som led i en annan sorts transaktion, t.ex. som elektronisk signatur vid ingående av ett kreditavtal, finns det enligt gällande reglering inget motsvarande skydd för konsumenten varken i norsk eller svensk rätt. Dessa typfall ligger helt och hållet utanför regleringens tillämpningsområde, varför man än så länge får luta sig mot allmänna, och annars gällande, regler för att avgöra de problem som uppkommer.27

5 HR-2020-2021-A
5.1 Kort om sakomständigheterna och rättsfrågan i målet
En bank mottog i början av mars 2007 en elektronisk ansökan om en kredit om 100 955 norska kronor.28 Krediten beviljades samma dag, och kreditavtalet signerades elektroniskt med ett bank-id tillhörande personen A, som A hade tillhandahållits av en annan bank (utställarbanken). Pengarna betalades därefter till ett konto i en tredje bank som hade öppnats i A:s namn. Kontot hade inte öppnats av A själv, utan av samma personer som senare visade sig obehörigen ha använt A:s bank-id för att ansöka om krediten, nämligen makarna B och C. Pengarna fördes därefter vidare till ett konto i C:s namn. Krediten hade beviljats efter en helt elektronisk ansökningsprocess, utan någon personlig kontakt eller kontroll av om det faktiskt var innehavaren av bank-id:et som använde det.
    Makarna blev i december samma år dömda i brottmål för att obehörigen ha använt A:s bank-id och därigenom ha vilselett banken att bevilja krediten. Vilseledandet hade skett genom att de i A:s namn hade ansökt om krediten, och använt bank-id tillhörande A för att signera kreditavtalet. De två dömdes också för ett antal övriga bedrägerier där de, med A:s bank-id, obehörigen upprättat flera avtal om kreditkort.
    Den obehöriga användningen hade skett genom att makarna hade haft A:s kodbricka i sin besittning vid de olika användningstillfällena

loven § 34 och 5 kap 6 § betaltjänstlagen, uppgår självrisken till 12 000 kr. Reglerna om kundens ansvar enligt PSD 2 följer av artikel 74. 25 Se PSD 2 artikel 74 andra stycket, 5 a kap. 3 § andra stycket sista meningen betaltjänstlagen och finansavtaleloven § 35 (3) sista meningen. Se också Karnov-kommentaren av Anders Dölling not 258. 26 Se PSD 2 artikel 1 för tillämpningsområde och artikel 4 p. 24, p. 29 och p. 30 för definitioner av betalning, autentisering och stark kundautentisering i direktivets mening. Motsvarande tillämpningsområden följer av 1 kap. 1 § betaltjänstlagen och finansavtaleloven § 9 jfr § 1. 27 I ny finansavtalelov har norska lagstiftaren dock beslutat att ge motsvarande självriskregler vid obehörig användning av kundautentisering i samband med ingående av kreditavtal som vid betalningar. Se § 3–20 och Prop. 92 LS (2019–2020) s. 173. När lagen väl har trätt ikraft kommer alltså nya kreditavtal som har slutits genom obehörig användning av bank-id att vara lagreglerade i norsk rätt. 28 Det något udda beloppet har samband med att man lägger uppläggningskostnader till kreditbeloppet.

242 Marianne M. Rødvei Aagaard SvJT 2021 och använt denna tillsammans med information om A:s personliga lösenord och personnummer. Kodbrickan hade förvarats i en olåst skrivbordslåda på A:s arbetsrum, till vilket B hade haft viss åtkomst. Hur de hade fått kännedom om lösenordet var dock oklart, och blev heller inte genom bevisning slutligt klarlagd.
    Banken riktade sedan krav om skadestånd mot A för att få täckt den förlust banken hade lidit genom att krediten beviljats. För alla instanser var knäckfrågan huruvida A genom vårdslöst beteende hade orsakat skadan, specifikt huruvida A varit vårdslös i sin förvaring av kodbrickan eller i hanteringen av sitt personliga lösenord.

 

5.2 Kort om underinstansernas bedömning
De sakomständigheterna som lades till grund ändrades något under målets resa genom instanserna. Att i detalj gå in på de olika omständigheterna framstår därför som mindre lämpligt i detta sammanhang.
    I forliksrådet29 ogillades bankens talan mot A, medan tingretten30 gick på bankens linje och dömde A att ersätta banken både för krediten och för de kostnader banken hade ådragit sig i samband med rättegången i både forliksråd och tingrett. Domstolen kom fram till att A inte hade varit vårdslös genom att förvara kodbrickan i skrivbordslådan men att A hade använt sitt lösenord under sådana omständigheter att B och C hade kunnat ta del av det, vilket ansågs ha varit oaktsamt.
    Även i lagmannsretten31 förlorade A i huvudfrågan, men med den ändringen att bankens rättegångskostnader skulle ersättas endast för processen i andra instans.32 Domstolen kom, i motsats till tingretten, fram till att förvaringen av kodbrickan i sig själv varit vårdslös. Den menade också att det var mest sannolikt att A själv hade skuld i att det personliga lösenordet hade kommit på avvägar eftersom det inte hade förts bevisning som gjorde det mera sannolikt att makarna hade fått tag på lösenordet på annat sätt. Att de hade vetat vilket lösenordet var, räckte alltså enligt domstolens uppfattning för att ålägga A bevisbördan att motbevisa eventuell egen vårdslöshet.

 

5.3 Høyesteretts rättsliga utgångspunkter
Høyesteretts dom är uppbyggd så att en översikt över de relevanta rättsliga utgångspunkterna, så som domstolen själv anser att de gäller, först

 

29 Tvist om förmögenhetsvärden lägre än 200 000 kr ska enligt norska tvisteloven § 6-2 (2) bokstav a behandlas i forliksrådet innan stämning kan ges in till tingsrätt. Forliksrådet består av domare utan juridisk utbildning, och dom kan endast avkunnas om parterna accepterar det. En dom från forliksrådet kan sedan överprövas av tingretten. 30 TKISA-2018-87918. Motsvarar tingsrätten i det svenska systemet. 31 LA-2018-179648. Lagmannsretten motsvarar hovrätten i det svenska systemet. 32 Lagmannsretten tillämpade undantagsregeln i norska tvisteloven § 20-2 (3), som öppnar för att frita förlorande part för sakskostnadsansvaret om tungt vägande orsaker gör det rimligt när man särskild beaktar om det var fog för att få tvisten provat för domstol beroende på att den var svårbedömd eller bevismässigt först blev översiktlig efter stämning.

 

SvJT 2021 Kreditgivares ersättningsanspråk… 243 ges, innan dessa tillämpas på den konkreta situationen. Domen börjar alltså med en principiell redogörelse för de aktuella reglerna, vilket i fallet var bestämmelser i den nu gällande och den föreslagna nya norska finansavtaleloven om hantering av betalningsinstrument,33 culpabedömningen i det aktuella typfallet såväl som övriga villkor för skadeståndsansvar, jämkning och aktuella bevisregler.
    Høyesterett presenterar i denna del av domen den i norsk skadeståndsrätt gällande huvudregeln, nämligen att den allmänna ansvarsgrunden är culpa. Som i svensk rätt, innebär culpanormen att den som har agerat vårdslöst och därmed orsakat någon annan en skada, ansvarar för den ekonomiska förlust som därvid uppkommit. En central utgångspunkt för bedömningen av någons vårdslöshet är enligt Høyesterett huruvida personen har agerat inom ramen för de förväntningar som gäller på området, varför det är aktuellt att titta på de krav som ställs på kundens hantering av betalningsinstrumentets behörighetsfunktioner.
    I denna bedömning fäste Høyesterett vikt vid de krav som finns i gällande reglering i finansavtaleloven, och förslaget till ny finansavtalelov, avseende både de konsumentskyddande reglerna och de krav och villkor som åligger kunden enligt lag och avtal om att skydda betalningsinstrumentets behörighetsfunktioner, som domstolen redogjort för innan. Framställningen leder fram till formulering av en norm som kan tjäna som utgångspunkt för bedömningen i det konkreta fallet, nämligen huruvida kunden har vidtagit ”alla rimliga åtgärder” för att skydda behörighetsfunktionerna som ingår i betalningsinstrumentet.
    I stället för att gå direkt till en konkret bedömning av huruvida kunden i det aktuella fallet hade vidtagit alla rimliga åtgärder, gick emellertid Høyesterett först vidare till ett resonemang om culpanormens objektiva eller relativa karaktär. Trots att culpanormen anges vara objektiv, finns det enligt Høyesteretts uppfattning utrymme för viss relativisering. Med detta menas att ett beteende som i relation till en skadelidande kan vara vårdslöst, i relation till en annan skadelidande kan vara acceptabelt. Det är detta som teoretikern Nygaard i norsk rätt har behandlat som en fråga om rollförväntningarna till den skadelidande. Synpunkten går i korta drag ut på att den skadelidande själv har möjlighet att göra risken för att skada ska uppkomma så liten att det inte är rimligt att hålla skadevållaren ansvarig.34

 

33 Norska finansavtaleloven innehåller regler om en rad olika aspekter och frågor som rör kreditgivning. I delar motsvarar den de regler som i svensk rätt finns i lag om betaltjänster, medan den i andra delar motsvarar de regler som finns i konsumentkreditlagen. Det finns också en hel del regler i finansavtaleloven som inte har någon lagstadgad motsvarighet i svensk rätt. 34 Det krävs emellertid inte culpa på den skadelidandes sida, utan det handlar om vad man objektivt kan förvänta av densamma Se Høyesteretts dom p. 57 där Nygaard, Skade og ansvar 6. utgave, 2007 s. 300 citeras. Se för svensk rätts vidkommande om eventuell relativisering av culpabedömningen, se Håkan Andersson, Skyddsändamål och adekvans, Uppsala 1993.

244 Marianne M. Rødvei Aagaard SvJT 2021 Detta är intressant eftersom Høyesterett explicit anger att det kan tänkas vara skillnader i de förväntningar som kan uppställas till skadelidande i fall av avtalsingående med hjälp av kundautentiseringen, jämfört med det som kan förväntas vid betalningstransaktioner. Alltså att det kan förväntas mera, eller annat, av avtalsmotparten avseende kontrollfunktioner utöver kundautentiseringen vid ingående av t.ex. ett kreditavtal, än det som krävs av betaltjänstleverantören i fall av betalning.
    Förutom redogörelsen för de rättsliga utgångspunkterna avseende culpanormen, kan det vara bra för läsaren att ha med sig det Høyesterett anger om de i norsk rätt allmänna, och i det aktuella fallet tillämpliga, bevisreglerna. Huvudregeln är nämligen att det är de sakomständigheter som domstolen finner mest sannolika, alltså överviktprincipen, som gäller, och att bevisbördan ligger på den part som gör gällande att en rättsstiftande eller rättsändrande omständighet föreligger. Det innebär i skadeståndsmål att bevisbördan i normalfallet ligger på den skadelidande som gör gällande att rekvisiten för att kräva skadestånd av motparten är uppfyllda.

 

5.4 Høyesteretts bedömning i det konkreta fallet
I många fall är det översta instansens redogörelse för rättsreglernas innehåll som är av störst vikt för övriga rättstillämpare i senare fall, men i det här fallet är även den konkreta bedömningen av stort intresse. Bedömningen ger nämligen ledning för var culpatröskeln ska placeras, och anger tydligt att de omständigheter som i ett antal fall i underinstanspraxis har fått avgörande betydelse till kundens nackdel, inte räcker som motivering för en slutsats om ersättningsgrundande culpa.
    Høyesterett började med frågan om A hade varit vårdslös i hanteringen av sitt lösenord. Det var i fallet uppenbart att makarna BC hade kännedom om lösenordet men bevisningen gav inte några konkreta uppgifter för hur de hade fått reda på informationen. Det hade lanserats olika tänkbara teorier, men ingen bevisning hade kunnat visa att det fanns fog för att förutsätta att någon av dessa var vare sig korrekt eller felaktig. Det fanns emellertid heller inga konkreta hållpunkter för att visa att A hade varit vårdslös eller oförsiktig med sitt lösenord.
    Av det bristfälliga och ofullständiga bevisläget drog Høyesterett slutsatsen att bevisbördan som åvilade den skadelidande kreditgivaren inte hade uppfyllts. Trots att bevisbedömningen består i en helhetsvärdering av situationen och alla relevanta omständigheter gick det alltså inte att anse det som mest sannolikt att A hade varit vårdslöst oförsiktig med sitt lösenord.
    På den här punkten utgör avgörandet ett mycket viktigt, och nytt, tillskott till hanteringen av liknande fall i framtiden: Høyesterett anger genom sin bedömning med tydlighet att det inte i sig är nog att lösenordet har kommit på avvägar, utan det måste också föreligga konkreta hållpunkter som gör det sannolikt att anledningen till detta är att

SvJT 2021 Kreditgivares ersättningsanspråk… 245 kunden har varit oförsiktig och inte i tillräcklig utsträckning skyddat sina uppgifter.
    Høyesterett gick därefter vidare till frågan om A hade förvarat kodbrickan på ett oaktsamt sätt. Kodbrickan hade som nämnt legat i en olåst skrivbordslåda på hans arbetsplats under en längre tid då A själv var på semester. Frågan blev alltså, i enlighet med hur Høyesterett beskrev de aktuella rättsliga utgångspunkterna för bedömningen, om detta beteende inneburit att A hade brustit i sin skyldighet att vidta alla rimliga åtgärder för att skydda sina behörighetsfunktioner.
    Høyesterett framhöll att bedömningen av vad som anses som rimliga åtgärder måste ta sin utgångspunkt i vad som är praktiskt möjligt utan att innebära en orimligt stor börda för innehavaren, eller göra själva användandet av betalningsinstrumentet opraktiskt. Efter att ha konstaterat att förvaring av en kodbricka i sitt eget hem bara i mycket speciella fall kan tänkas vara vårdslöst, uttalade Høyesterett att det vid förvaring på en arbetsplats måste göras en konkret bedömning.35 Av betydelse för denna bedömning, både i det aktuella fallet och i liknande typfall, är särskilt att Høyesterett framhöll att det inte i sig behöver vara oaktsamt att förvara kodbrickan på ett sådant sätt att någon annan över huvud taget kan få tillgång till den. Det är alltså ingen automatik i att en kodbricka på avvägar innebär att innehavaren har varit vårdslös eller brustit i sin skyldighet att skydda den. Det betyder i sin tur att kodbrickan inte behöver låsas in varje gång innehavaren lämnar sin arbetsplats. Det måste emellertid, framhöll Høyesterett, krävas att innehavaren har en viss kontroll över kodbrickan, så att den inte under en längre tid blir liggande på ett sätt som gör att den kan användas obehörigen av annan. Särskilt gäller det sista om sådan användning inte lätt kan upptäckas av innehavaren.
    På den här punkten kommer det enda kanske potentiellt förvånande med avgörandet, nämligen att Høyesterett ansåg att förvaringen av kodbrickan, om än oförsiktig, inte var att bedöma som oaktsam på så vis att det kunde leda till skadeståndsansvar gentemot banken. Anledningen till att slutsatsen kan förvåna är att A trots allt hade åkt i väg på semester och lämnat kodbrickan i en olåst låda på ett ställe dit flera olika personer hade tillträde, och således under en längre tid hade lämnat den på ett sätt som gjorde att den kunde användas av annan, och att användningen inte lätt kunde upptäckas av A under den aktuella perioden.
    Förklaringen till Høyesteretts slutsats på denna punkt står emellertid främst att finna i det resonemang om skadelidandes roll som följer därnäst, och alltså inte i att förvaringen i sig ansågs vara aktsam. Høy-

 

35 Att Høyesterett väljer att dra en parallell till vad som gäller vid förvaring av en kodbricka i sitt eget hem, kan man utgå ifrån har samband med det relativt stora antalet tvister som gäller skadeståndsansvar efter att någon till innehavaren närstående efter att ha kommit över kodbrickan eller andra behörighetsfunktioner obehörigen har använt densamma. Att Høyesterett om än som ett obiter dictum konstaterar att förvaring i eget hem som huvudregel inte är vårdslös, får därmed anses utgöra en signal till underinstanser om behovet av en noga och konkret culpabedömning även i dessa fall.

246 Marianne M. Rødvei Aagaard SvJT 2021 esterett gick nämligen vidare till att i p. 104 framhålla att banken var en professionell aktör som hade valt att ingå ett kreditavtal om ett, för en enskild konsument, högt belopp uteslutande genom kundautentisering med bank-id. Med hänvisning till propositionen om ny finansavtalelov framhöll Høyesterett att det varit möjligt för banken att vidta ytterligare kontrollåtgärder, och att sådana hade inneburit att den obehöriga användningen, och bankens förlust, hade kunnat undvikas. Vid jämförelse av bankens möjligheter att vidta åtgärder som effektivt hade reducerat risken för skada med den risk för skada som uppkommit genom A:s oförsiktiga hantering av sin kodbricka, drog Høyesterett slutsatsen att A:s beteende inte kunde anses som ersättningsgrundande gentemot banken. Att banken i fallet hade betalat ut pengarna till ett konto i A:s namn, vilket är en av de säkerhetsåtgärder som kan reducera risken för obehörig användning, ändrade enligt Høyesteretts uppfattning inte slutsatsen. Av detta får man nog utläsa att domstolen anser att kreditavtal inte uteslutande bör slutas via elektronisk, opersonlig, kommunikation och kundautentisering via bank-id, särskilt inte om det gäller en för banken ny och okänd kund, om kreditgivaren vill ha möjlighet att rikta skadeståndskrav gentemot innehavaren av bank-id:et, om det senare visar sig att krediten beviljats efter obehörig användning av id:et.

 

5.5 Om Høyesteretts obiter dictum avseende jämkning
Eftersom Høyesterett drog slutsatsen att A inte skulle åläggas skadeståndsansvar för bankens förlust blev det inte nödvändigt att närmare diskutera möjligheten att jämka skadeståndsansvaret. Domstolen valde ändå att uttala sig i frågan, och framhöll i p. 109 att i fall då en privatperson enligt allmänna skadeståndsrättsliga regler blir ansvarig för en större ekonomisk skada som uppkommit genom obehörig användning av bank-id, skulle det — beroende på sakomständigheterna — kunna vara aktuellt att väsentligt jämka beloppet enligt regeln i norska skadeståndslagen § 5-2.
    I sin redogörelse för rättsliga utgångspunkter i p. 64–67 framhöll Høyesterett att regeln i § 5-2 öppnar för jämkning i två situationer, nämligen då ansvaret blir orimligt betungande för den ansvariga och i fall då det är rimligt att skadelidande själv får bära hela eller del av skadan.36 Trots att tröskeln för jämkning anges vara hög och att regeln ska fungera som en tydlig undantagsregel, kan jämkning vara särskild aktuellt i fall när det gäller värden som allmänt är utsatt för skada och då skadelidande har möjlighet att genom försäkring eller på annat sätt förebygga eller pulverisera förlusten.
    Det är givetvis svårt att veta exakt vad man kan hämta ur ett obiter dictum som är så kort som i detta fall. Läser man uttalandet tillsammans med både Høyesteretts allmänna redogörelse för jämkningsregeln och med sakomständigheterna i målet kan det dock framstå som när-

 

36 Jfr motsvarande regel i 6 kap. 2 § svenska skadeståndslagen.

SvJT 2021 Kreditgivares ersättningsanspråk… 247 liggande att dels anse att en kredit om 100 000 kr för en privatperson i normalfallet är att anse som en ”större ekonomisk skada”, dels att skadan i så fall ska kunna jämkas ”väsentligt”. Kanske kan man också gå så långt som att anse att en kreditgivare överlag har så goda möjligheter att förebygga förluster genom obehörig användning av bank-id, att jämkningsregeln mera allmänt framstår som tillämplig genom att det i normalfallet får anses rimligt att låta skadelidande bära en större del av förlusten.
    Båda dessa potentiella tolkningar av Høyesteretts avgörande är intressanta eftersom det finns ett antal exempel på avgöranden i underinstanser som ålägger privatpersoner att ersätta väsentligt högre kreditbelopp, utan att acceptera yrkanden om jämkning.37 Att ett obiter dictum inte i sig har prejudikatvärde torde i sammanhanget spela mindre roll. När Høyesterett ändå väljer att uttala sig, får det nämligen i sig anses vara en rätt tydlig signal till både kreditgivare och underinstanser om att den linje som tidigare tillämpats inte kan upprätthållas.38

6 Några (ytterligare) kommentarer och en koppling till svensk rätt
Avgörandet från Høyesterett är en viktig korrigering av den rättsuppfattning flera norska underinstanser under en tid har utgått från när det gäller tröskeln för att anse att en innehavare av ett bank-id har agerat vårdslöst och därmed möjliggjort en obehörig användning av detta.39 Denna korrigering är emellertid inte en liten justering, så som man ofta kan se när högsta instans får tillfälle att avgöra fall där uppfattningarna tidigare gått åt olika håll, utan en tydlig markering att rättstillämpningen i en del av dessa avgörandena är direkt ohållbar.
    I underinstansernas domar framstår det som att existensen av den obehöriga användningen i sig själv i många fall har varit nog för att anse att innehavaren varit vårdslös, och därmed ersättningsskyldig, åtminstone om kunden inte har kunnat föra bevisning för motsatsen. Att innehavaren bevisligen har blivit utsatt för identitetstöld eller bedrägeri från en närstående, har i normalfallet inte varit nog för att bryta

 

37 Se till exempel Oslo tingretts avgörande i mål 18-074832TVI-OTIR/01, där en hustru ansågs ansvarig på skadeståndsrättslig grund för kreditgivarens förlust om en miljon kronor för en kredit beviljat efter obehörig användning av hennes make, eftersom hennes lösenord hade varit för enkelt att gissa för maken. Ett annat, mindre extremt exempel, är Frostating lagmannsretts dom i mål 18-039633ASD-FROS, där innehavaren av bank-id:et ansågs skadeståndsansvarig för ett belopp om drygt 75 000 kr. Yrkandet om jämkning avvisades i fallet under hänvisning till att jämkningsregeln avser de stora förluster som blir orimligt betungande att bära. 38 Att underinstanserna också verkar ha tagit intryck av detta framgår till exempel av de tre målen 20-069720TVI-HAUG, 20-069721TVI-HAUG och 20-069747TVIHAUG, som avgjordes efter gemensam behandling november 2020. 39 Se till exempel LB-2014-13514, LB-2016-43622, 18-148976TVI-OVRO, 17098711TVI-OVRO, 18-127575TVI-OVRO, 17-169552TVI-FOLL, 15-168226TVIGJOV, 17-197796TVI-HAUG, 18-074832TVI-OTIR/01 som några exempel på tilllämpning av en (dels väsentligt) lägre culpatröskel.

 

248 Marianne M. Rødvei Aagaard SvJT 2021 det som nog får anses vara en presumtion om culpa.40 Har man inte kunnat föra bevisning för att man inget hade kunnat göra annorlunda, har vårdslöshet bedömts föreligga, varför ansvaret i många fall har närmat sig ett strikt ansvar.
    Høyesteretts dom HR-2020-2021-A innebär mot denna bakgrund ett sällsynt tydligt exempel på att en högre instans visar var skåpet ska stå, och att de culpabedömningar som gjorts i ett antal underinstansavgöranden inte håller måttet. Det är inte därmed sagt att resultaten i alla dessa fall hade blivit annorlunda, men den som utsatts för att någon obehörigen har använt ens bank-id kommer framöver ha bättre förutsättningar att vinna framgång med sitt bestridande av ansvar.
    Även i svensk rätt har motsvarande frågeställningar behandlats i domstol, dock ännu inte av Högsta domstolen. Läsningen av dessa avgöranden ger emellertid intrycket att motsvarande klargörande från högsta instans vore välbehövligt även i Sverige. Ramarna för den här typen av avtalsslut, och vilka risker man löper genom att ha ett bank-id, borde vara klara men har än så länge inte uppmärksammats särskilt av svenska lagstiftaren. Detta kan, i kombination med de skillnader som finns mellan norsk och svensk allmän skadeståndsrätt, vara anledningen till att rättstillämpningen i underrättsavgöranden i svensk rätt spretar än mera än vad som var fallet i Norge.
    I svensk rätt innebär 2 kap. 2 § skadeståndslagen att kreditgivaren på utomobligatorisk grund utan tvekan kan rikta sitt skadeståndskrav gentemot den tredje man som obehörigen har använt annans bank-id, eftersom denna har begått brottet bedrägeri gentemot kreditgivaren.41 Huruvida kreditgivaren också kan framställa krav mot den vilkens bank-id obehörigen har använts, framstår dock som något mer osäkert.
    Ordalydelsen i bestämmelsen tyder på att möjligheten att rikta ett sådant krav mot innehavaren av bank-id:et kommer bero på om även denna kan anses ha orsakat, eller medverkat till att orsaka, förmögenhetsskadan genom brott.42 Det är alltså inte uteslutet att en kreditgivare kan rikta sitt skadeståndskrav även mot innehavaren av det bank-id som har använts, men tröskeln för att vinna framgång med det framstår mot bakgrund av ordalydelsen i 2 kap. 2 § skadeståndslagen vid första anblicken som betydligt högre än enligt norsk rätt, även efter Høyesteretts klargörande om var culpatröskeln ligger.

 

40 Se till exempel 17-197796TVI-HAUG då en hustru blev skadeståndsansvarig efter att hennes make obehörigen hade använt hennes bank-id efter att ha sett lösenordet då de två satt bredvid varandra i soffan hemma, och 18-074832TVI-OTIR/01 då en hustrus lösenord ansågs ha varit för lätt att gissa sig till för maken, som obehörigen hade använt hennes bank-id. 41 Se t.ex. Jan Kleineman, Ren förmögenhetsskada vid brott — det ”klara” ansvarsområdet, JT 1989–90 s. 650 ff. 42 I kvalificerade fall kan innehavaren nog tänkas ha medverkat till bedrägeri med sådant uppsåt som krävs enligt 9 kap. 1 § jfr 1 kap. 2 § brottsbalken, vilket enligt 23 kap. 4 § brottsbalken innebär att personen kan dömas för t.ex. medhjälp till brott.

SvJT 2021 Kreditgivares ersättningsanspråk… 249 Sannolikt är detta bakgrunden till att principerna om condictio indebeti har dykt upp i den här sortens fall i svensk underinstanspraxis. I de flesta fall tycks domstolarna vara överens om att det inte föreligger en misstagsbetalning i egentlig mening, men att betalningen kan anses ha skett ”utan rättsgrund” varför principerna potentiellt kan tillämpas. Både gällande frågan om vem som anses som betalningsmottagare i dessa bedrägerifall och gällande frågorna om god tro och inrättande varierar det emellertid rätt mycket hur domstolarna har resonerat i olika fall.
    Som illustrativa exempel kan nämnas Hovrätten för Västra Sveriges dom i mål T 3583-17 och mål T 2473-18, där det i båda fallen framhålls att innehavaren av bank-id:et var ovetande om att krediten hade upptagits, utbetalats och överförts vidare från hens konto, varför hen inte ansågs ha varit ”mottagare” av beloppet och därmed inte heller återbetalningsskyldig. Svea hovrätt kom däremot i mål T 2412-17 till motsatt slutsats, och ansåg att innehavaren till det bank-id som hade använts obehörigen var att anse som betalningsmottagare, trots att hen hade varit aktsamt ovetande om att krediten upptagits, utbetalats och överförts vidare. Än mera speciellt i detta fall är att hovrätten också ansåg att innehavaren — trots denna aktsamma ovetskap — var återbetalningsskyldig enligt principerna om condictio indebeti.
    Domen från Svea hovrätt bygger emellertid enligt min uppfattning på många och allvarliga missuppfattningar om condictio indebeti. Hur en person som anses vara i god tro och aktsamt ovetande om att en kredit beviljats i dennas namn och betalats ut till dennas konto kan anses ha ”inrättat sig” i god tro om att betalningen var korrekt, som hovrätten gör, är svårt att följa som en sammanhållen tanke. Bättre blir det inte av att hovrätten anser att personen trots denna aktsamma ovetskap anses ha haft större möjlighet än kreditgivaren att ”bedöma de förhållanden som inverkat på betalningen”. Hovrätten gör vidare en poäng av att ett annat utfall av intresseavvägningen skulle medföra risk för att missbruka just condictio indebeti i motsvarande fall. Här tycks hovrätten dock ha glömt bort att det i missbrukssituationer kommer bli mycket svårt för betalningsmottagaren att bli bedömd som godtroende.
    Att 2 kap. 2 § skadeståndslagen inte behöver uppfattas vara till hinder för att rikta ett skadeståndskrav gentemot kunden fastän den inte har orsakat skadan genom brott är emellertid inte en särskilt kontroversiell uppfattning. Det finns flera avgöranden från HD såväl som uttalanden i rättsvetenskaplig doktrin som visar att lagregeln inte kan anses utgöra ett sådant hinder, utan att det inte nödvändigtvis behövs stöd i vare sig lag eller avtal för att ren förmögenhetsskada ska ersättas.43 Tvärtemot

 

43 Se särskilt Jan Kleinemans doktorsavhandling, Ren förmögenhetsskada, Stockholm 1987, och Mårten Schultz, Skadestånd för ren förmögenhetsskada utan lagstöd, SvJT 2017 s. 820 ff. för en noggrann analys och systematisering av skadetypen mot bakgrund av Högsta domstolens praxis och övrig doktrin på området. Av de fyra aktuella kategorierna kvalificerade tillitssituationer, kvalificerad otillbörligt handlande, vårdslöshet vid avtalsförhandlingar och andra situationer är det nog främst den andra om kvalificerad otillbörligt handlande eller de andra situationerna som passar

 

250 Marianne M. Rødvei Aagaard SvJT 2021 föreligger det flera prejudikat som visar att det, kanske särskilt i avtalsliknande förhållanden, går att uppställa ett ansvar för ren förmögenhetsskada fastän inget brott begåtts av den som hålls ansvarig för förlusten.44 Den situation som föreligger vid obehörig användning av ett bankid har oftast möjliggjorts av ett avtalsbrott, om än inte i relationen mellan innehavaren av bank-id:et och den skadelidande kreditgivaren.45 Den kreditgivare som förlitar sig på legitimeringen som genomförts står inte i något avtalsförhållande med innehavaren av legitimationen, men vanligtvis med den som utställt legitimationen. Man får i dessa fall även utgå ifrån att kreditgivaren har ställt vissa krav på den tekniska lösningens säkerhet för att den ska acceptera denna legitimationslösning som alternativ till fysisk signatur, och att den har fog för att förvänta sig att användarna av kundautentiseringslösningarna hanterar dessa med den försiktighet som åligger dem. Situationen är alltså mycket kontraktsnära, om än formellt utomkontraktuell.46 Det torde mot denna bakgrund inte föreligga något principiellt hinder för att — åtminstone i de mera kvalificerade fallen — anse innehavaren av ett bank-id ansvarig för kreditgivarens rena förmögenhetsskada. Tröskeln för att anse innehavarens beteende som tillräckligt vårdslöst torde emellertid ligga relativt högt. En hög tröskel är en nödvändig följd av den praktiska förenkling som användningen av bank-id utgör för såväl bankerna som bankkunderna.

 

bäst för typfallet då innehavaren av ett bank-id har varit grovt vårdslös och på så sätt möjliggjort för den obehöriga användningen. 44 Se t.ex. NJA 1987 s. 692 (Kone Invest) och NJA 2001 s. 878 (Ljungkvist-bolagen) som exempel på att ansvar för ren förmögenhetsskada uppställts i kvalificerade tillitssituationer, NJA 2005 s. 608 (Max och Frasses) som det klassiska exemplet på ansvar för ren förmögenhetsskada vid kvalificerad otillbörligt handlande, NJA 1996 s. 700 (konkursförvaltares ansvar efter att ha överlåtit egendom som inte tillhörde konkursgäldenären), NJA 1980 s. 383 (vårdslöst agerande i en avtalsliknande situation) och NJA 1998 s. 520 (banks utlämnande av värdepappersdepå till ägaren trots att pantsättning hade skett) som exempel på diverse andra fall. 45 För att få en digital identifikation måste kunden godkänna villkor som typiskt innehåller strikta krav på hantering och hemlighållande av information som behövs för att nyttja legitimationen. Dessa villkor syftar till att reducera risken för obehörig användning, och kräver, som beskrivningen i HR-2020-2021-A visar, rätt mycket av kunden. Ett beteende avseende hanteringen av sådan information eller kodbrickan som möjliggjort den obehöriga användningen, innebär alltså att kunden begår avtalsbrott gentemot utställaren av legitimationen. Samtidigt får man inte överdriva betydelsen av ett sådant avtalsbrott eftersom kundens avtalsfrihet är begränsad i situationen. Villkoren är utformade av utställaren av kundautentiseringslösningen ensam, innehavaren har inga möjligheter att påverka dess innehåll och som oftast inte heller någon möjlighet att låta bli att ingå avtalet eftersom legitimeringslösningen behövs för att kunna fungera i det moderna samhället. 46 Lagmannsretten i det norska avgörandet var också inom detta spår, men hade ingen anledning att följa det vidare eftersom norsk skadeståndsrätt ser ut som den gör.