Bevisfrågor vid användning av avancerade elektroniska underskrifter — har Högsta domstolen missat halva poängen?

 

 

Av bolagsjuristen MATHIAS A. BJERKHAUG1

Att ingå avtal på elektronisk väg har i många sammanhang blivit standardförfarandet. Det är därför centralt att samhällets olika aktörer har förtroende för elektroniska underskrifter, samtidigt som konsumenter och mindre näringsidkare inte får lämnas med endast illusoriska möjligheter att göra invändningar mot komplicerade tekniska lösningar. eIDAS-förordningen2 kom till med syfte att harmonisera regelverket för hur avtal ingås elektroniskt på EU:s inre marknad, men genom NJA 2017 s. 1105 skapade
Högsta domstolen onödig osäkerhet kring hur elektroniska underskrifter ska bedömas. Ett förtydligande behöver göras om vad som utgör en så kallad avancerad elektronisk underskrift.

 


1 Inledning
I en tid då den digitala utvecklingen har accelererat på grund av en cocktail av mogen teknik och distansarbete går det att fråga sig om den rättsliga utvecklingen har hunnit med. År 2016 trädde eIDAS-förordningen i kraft, med syfte att tillhandahålla en gemensam grund för elektroniska underskrifter och på så sätt öka förtroendet för elektroniska transaktioner på EU:s inre marknad. Redan i första skälet i förordningens ingress går det att läsa att ”förtroendet för nätmiljön är avgörande för den ekonomiska och sociala utvecklingen. Bristande förtroende, särskilt på grund av upplevd brist på rättssäkerhet, gör att konsumenter, företag och offentliga myndigheter tvekar att utföra transaktioner på elektronisk väg och att använda nya tjänster.” År 2017 kom Högsta domstolen fram till slutsatsen att en så kallad avancerad elektronisk underskrift har en särskild presumtionsverkan. Högsta domstolen prövade dock inte rekvisiten för en avancerad elektronisk underskrift och mycket tyder på att den elektroniska underskrift som borgenären åberopade inte utgjorde en avancerad elek-

 

1 Författaren arbetar som bolagsjurist på Scrive. Scrive är en tillhandahållare av betrodda tjänster, inklusive underskriftstjänster. Författaren vill rikta ett tack till docent Marianne Rødvei Aagaard och informationssäkerhetsexperten Björn Hesthamar för värdefull granskning och kommentarer. 2 Förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

SvJT 2023 Bevisfrågor vid användning av avancerade… 563 tronisk underskrift. Med detta i åtanke går det att fråga sig dels vad som faktiskt utgör en avancerad elektronisk underskrift, dels huruvida det är lämpligt att en sådan ges en särskild presumtionsverkan. I denna artikel kommer jag utifrån ett praktiskt branschperspektiv försöka att överbrygga det gap mellan teknik och juridik som HD inte förmådde.

 

2 En presumtionsregel som ger upphov till frågor
Huvudregeln inom civilrätten är att den som gör gällande att ett avtal har ingåtts är bevisskyldig för sitt påstående.3 På samma sätt är en borgenär normalt skyldig att bevisa en fordran när den är tvistig.4 Regeln är inte utan undantag, men den utgör en viktig utgångspunkt i tvistemål.
    Det går att fråga sig om Högsta domstolen tillämpade ett sådant undantag genom att i NJA 2017 s. 1105 slå fast att det ska presumeras att en låneansökan som skrivits under med en avancerad elektronisk underskrift, eller motsvarande, inte är manipulerad. I tillägg till frågan om bevisbörda behandlade avgörandet också frågor om beviskrav. HD fann att en prövning av huruvida en elektronisk underskrift binder innehavaren måste göras i två steg. Först måste prövas om det är den aktuella underskriften som har använts, därefter vem som har använt den. Vidare ansåg HD att det ankommer på långivaren att visa att den tekniska lösning som använts för att ingå ett låneavtal motsvarar skapandet av en avancerad elektronisk underskrift. Gör långivaren detta är utgångspunkten att den elektroniska underskriften inte är manipulerad. För att undkomma betalningsansvar måste den påstådda låntagaren då åtminstone lyckas göra antagligt att användandet av den elektroniska underskriften skett obehörigen.
    Avgörandet väcker frågor dels om vad det innebär att visa att en teknisk lösning är eller motsvarar en avancerad elektronisk underskrift, dels om vilka skäl som motiverar presumtioner till fördel för den som, i tvist, gör gällande ett ingånget avtal eller en fordran.

 

 

 

 

3 ”Det råder allmän enighet om att den som åberopar ett avtal har bevisbördan för att ett sådant verkligen slutits.” Ekelöf, PO, Rättegång: fjärde häftet, P. A. Norstedt & Söners Förlag 1963 s. 88. Se också Roos, F, Standardavtal i elektronisk miljö, Kihlman, J (red.), Elektronisk signering: en antologi s. 45–53, Nordstedts juridik 2013 s. 52, Schöldström, P, E-post, sms och annan elektronisk kommunikation som bevismaterial i domstol, Kihlman, J (red.), Elektronisk signering: en antologi s. 60– 66, Nordstedts juridik 2013 s. 63, samt Ekelöf, PO, Edelstam, H, Heuman, L, Rättegång: fjärde häftet, sjunde upplagan, Nordstedts juridik 2009 s. 109. 4 Ekelöf, PO, Edelstam, H, Heuman, L, Rättegång: fjärde häftet, sjunde upplagan, Nordstedts juridik 2009 s. 81. Se också exempelvis NJA 1975 s. 577, NJA 2009 s. 64 och NJA 2017 s. 1105 p. 7 i HD:s domskäl. Det finns dock vissa oklarheter kring vad som gäller vid påstådd underskriftsförfalskning.

564 Mathias A. Bjerkhaug SvJT 2023 3 E-legitimation, elektronisk underskrift och digital signatur
Inte sällan råder det en viss begreppsförvirring där e-legitimation, elektronisk underskrift och digital signatur sammanblandas. En e-legitimation innebär, namnet till trots, inte automatiskt någon legitimation i skuldebrevsrättslig mening. Istället rör det sig om en elektronisk identifikationshandling. I Sverige är BankID det mest kända exemplet på en e-legitimation, men det finns också andra e-legitimationer såsom Freja eID och statens tjänstelegitimation EFOS.
    En elektronisk underskrift är information som är fogad till ett elektroniskt dokument för att dokumentera den underskrivande partens avsikt. En elektronisk underskrift kan bestå av en namnteckning, men detta är inget måste.5 I den nu upphävda lagen (2000:832) om kvalificerade elektroniska signaturer användes termen elektronisk signatur, men begreppet motsvaras numera alltså av termen elektronisk underskrift i eIDAS-förordningen.6 Även om skillnaden mellan dessa två termer är försumbar så finns det ett annat begrepp som ofta misstolkas. Inte sällan används nämligen termen digital signatur i betydelsen elektronisk underskrift. En digital signatur har dock en mycket specifik betydelse inom datavetenskapen och används för att försluta data på ett sätt som gör att efterföljande ändringar kan upptäckas.7 En sådan digital signatur är inte sällan en viktig beståndsdel i en elektronisk underskrift, men de är alltså inte samma sak. Eftersom både användningsområdena och uttrycken ligger nära varandra är risken för begreppsförväxling dock stor.

 

4 Tre nivåer av elektroniska underskrifter
eIDAS-förordningen kom till i syfte att öka förtroendet för elektroniska transaktioner på den inre marknaden och på så sätt främja en fullständigt integrerad digital inre marknad.8 En elektronisk underskrift får därför, enligt artikel 25.1 eIDAS-förordningen, inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form. I förordningen definieras tre olika typer av elektroniska underskrifter; elektronisk underskrift, avancerad elektronisk underskrift och kvalificerad elektronisk underskrift.9 Utgångspunkten i svensk rätt att det inte finns något formkrav och då är även en elektronisk underskrift, av valfri nivå, en giltig underskrift. Krav om skriftlig form är inte heller ett hinder mot detta, men när det finns ett särskilt formkrav om egen-

 

5 Jfr art. 3.10 eIDAS-förordningen. 6 Prop. 2015/16:72 s. 34. 7 SOU 2021:9 s. 47. Se även Lindblom, P, Uppdragsforskningsrapport 2019:4 — Blockkedjeteknik utifrån ett konkurrensperspektiv, Konkurrensverket s. 16 f. 8 Skäl 2 och 5. 9 ”Elektronisk underskrift” är också ett samlingsnamn för alla tre typer.

SvJT 2023 Bevisfrågor vid användning av avancerade… 565 händigt undertecknande har elektroniska underskrifter normalt inte ansetts nå upp till formkravet, om inte annat är särskilt stadgat.10 Någon gång ibland finns det formkrav som kräver att en avancerad elektronisk underskrift används, men däremot finns det i svensk rätt inga formkrav om den kvalificerade nivån.11 En elektronisk underskrift av den mest basala typen definieras som ”uppgifter i elektronisk form som är fogande till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.”12 Högre än så är inte kraven på vad som anses vara en elektronisk underskrift. En inklippt bild av en inskannad handskriven underskrift skulle alltså kunna anses som en elektronisk underskrift, en knapp med texten ”jag skriver under” eller en textad underskrift likaså, men även den mest säkra underskrift kryptografiskt sammanfogad med dokumentet inkluderas i denna breda definition.13 För de tillfällen då den grundläggande varianten av elektronisk underskrift inte är tillräcklig ur bevis- eller säkerhetssynpunkt finns ytterligare två typer av elektroniska underskrifter definierade i eIDAS-förordningen.
    En avancerad elektronisk underskrift definieras enligt artikel 3.11 eIDAS-förordningen som ”en elektronisk underskrift som uppfyller kraven enligt artikel 26.” Artikel 26 ställer upp följande rekvisit för en avancerad elektronisk underskrift:

 

1. Den ska vara unikt knuten till undertecknaren. 2. Undertecknaren ska kunna identifieras genom den. 3. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. 4. Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

 

En avancerad elektronisk underskrift är alltså inte en enskild produkt eller en viss teknisk standard.14 Det enda som krävs är att rekvisiten i artikel 26 eIDAS-förordningen är uppfyllda. Med vilken teknik det sker är oviktigt.15 Eftersom eIDAS-förordningen är teknikneutral går

 

10 Kihlman, J, Formfrihet, formkrav och kvalificerade elektroniska signaturer, Kihlman, J (red.), Elektronisk signering: en antologi s. 15–24, Nordstedts juridik 2013 s. 20 f. Se dock SOU 2021:13 s. 19–24 för en problematisering av denna hållning. 11Prop. 2015/16:72 s. 54, SOU 2019:14 s. 337 samt SOU 2021:9 s. 213 f. 12 Artikel 3.10 eIDAS-förordningen. 13 Jfr Fastighetsöverlåtelser i en digital tid, 2018-05-31, Dnr 519-2018/565, Lantmäteriet s. 63. 14 Standarder kan underlätta förutsägbarheten av vad som utgör en avancerad elektronisk underskrift, men friskriver inte domstolen från att pröva underskriften mot rekvisiten i artikel 26 i varje givet fall. 15 SOU 2021:9 s. 86 f.

566 Mathias A. Bjerkhaug SvJT 2023 det inte att på något tillförlitligt sätt att kontrollera eller validera alla olika typer av avancerade elektroniska underskrifter.16 Slutligen blir det domstolarna som har att avgöra om rekvisiten är uppfyllda. Det är dock viktigt att påpeka att om en påstådd avancerad elektronisk underskrift av domstolen skulle bedömas inte leva upp till rekvisiten i artikel 26 lever den i de flesta fall ändå upp till kraven för en elektronisk underskrift. På samma sätt skulle en påstådd kvalificerad elektronisk underskrift som missar ett eller flera rekvisit för den kvalificerade nivån kunna falla tillbaka både ett och två steg till antingen den avancerade eller den mest grundläggande nivån. Detta eftersom en kvalificerad elektronisk underskrift också är en avancerad elektronisk underskrift och en avancerad elektronisk underskrift också är en elektronisk underskrift.17 I de fall en kvalificerad eller avancerad elektronisk underskrift inte är ett formkrav påverkar icke-uppfyllanden av rekvisiten alltså inte giltigheten, utan endast bevisvärderingen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Illustration av hur de olika nivåerna förhåller sig till varandra.

 

För att ytterligare problematisera vad som utgör en avancerad elektronisk underskrift torde användningen av en och samma teknik kunna få olika utfall i fråga om huruvida det rör sig om en avancerad elektronisk underskrift eller inte. Låt mig exemplifiera detta genom att beskriva hur identifieringsrekvisitet kan uppfyllas. I Sverige är det vanligt att detta sker genom användningen av en e-legitimation. Den i särklass vanligaste e-legitimationen i Sverige är BankID. Eftersom utställandet av ett BankID förutsätter att en säker grundidentifiering

 

16 Jfr skäl 27. Se också Fastighetsöverlåtelser i en digital tid, 2018-05-31, Dnr 5192018/565, Lantmäteriet s. 63. 17 Artiklarna 3.10-12 eIDAS-förordningen.

SvJT 2023 Bevisfrågor vid användning av avancerade… 567 har genomförts går det med stor säkerhet att anta att denna e-legitimation har utställts till rätt person.18 Ett annat sätt att kontrollera identiteten på den underskrivande parten är genom SMS-verifiering. För att bekräfta den elektroniska underskriften skickas en SMS-kod ut till det angivna telefonnumret. Den underskrivande parten får därefter fylla i samma kod i underskriftstjänsten. På så vis går det att med relativt hög säkerhet säkerställa att det är personen med det angivna telefonnumret som har skrivit under.19 I vilken grad det går att säkerställa att det är angiven person som innehar telefonnumret beror däremot på vilket sätt personen kommit i besittning av telefonnumret. I Sverige är det numera obligatoriskt att identifiera sig för att överhuvudtaget kunna få ett telefonnummer, men i andra länder går det att helt anonymt börja använda ett telefonnummer.20 För att uppfylla identifieringsrekvistet torde det krävas att identifikationskontrollen vid utlämnandet av SIMkortet uppnår en viss standard. Eftersom SMS-verifiering till skillnad från BankID inte kräver både tillgång till en viss enhet och en personlig kod är det dock osäkert i vilken mån kravet om egen kontroll anses uppfyllt.
    En kvalificerad elektronisk underskrift måste uppfylla samma rekvisit som en avancerad elektronisk underskrift, men ska dessutom ha skapats med hjälp av en kvalificerad anordning för underskriftsframställning samt vara baserad på ett kvalificerat certifikat för elektroniska underskrifter.21 Det finns en rad tekniska krav avseende vad dessa kvalificerade anordningar ska säkerställa, men också att generering och hantering av uppgifter för att skapa en kvalificerad elektronisk underskrift endast får utföras av en kvalificerad tillhandahållare av betrodda tjänster.22 Även det kvalificerade certifikatet får endast utfärdas av den kvalificerade tillhandahållaren.23 Den som vill få status som kvalificerad tillhandahållare av betrodda tjänster ska anmäla sin avsikt till det tillsyns-

 

18 Normalt går det till så att en person först blir kund hos en bank och i samband med detta genomförs en fysisk identifikationskontroll. Den nya kunden får tillgång till en bankdosa och kan sedan använda den för att få ett BankID utställt till sin dator eller mobiltelefon. Se även Fastighetsöverlåtelser i en digital tid, 2018-05-31, Dnr 519-2018/565, Lantmäteriet s. 58. 19 Det är dock möjligt att på olika sätt kapa ett telefonnummer, vilket skapar stor osäkerhet om huruvida SMS kan användas för att på det sätt som föreskrivs i artikel 26 säkerställa identiteten på underskrivande part. Se exempelvis After years of warnings, mobile network hackers exploit SS7 flaws to drain bank accounts, The Register, https://www.theregister.com/2017/05/03/hackers_fire_up_ss7_flaw/, läst 2023-02-28. 20 9 kap. 24 § lagen (2022:482) om elektronisk kommunikation. 21 Artikel 3.12 eIDAS-förordningen. 22 Bilaga II eIDAS-förordningen. 23 Bilaga I eIDAS-förordningen.

568 Mathias A. Bjerkhaug SvJT 2023 organ som respektive medlemsstat anmält till EU-kommissionen.24 Efter att ha mottagit en rapport om överensstämmelsebedömning ska tillsynsorganet kontrollera huruvida tillhandahållaren uppfyller kraven i eIDAS-förordningen, i synnerhet kraven för kvalificerade tillhandahållare av betrodda tjänster.25 Kraven på en kvalificerad tillhandahållare inkluderar bland annat kontroll av personalens utbildning, företagets ekonomi, tjänstens tekniska säkerhet och tillförlitlighet.26 På så vis erhåller en kvalificerad elektronisk underskrift ett slags förhandsgodkännande som en avancerad elektronisk underskrift inte åtnjuter.
    En kvalificerad elektronisk underskrift innebär alltså en väldigt hög säkerhetsnivå, men skulle sådana underskrifter generellt krävas, antingen genom formkrav eller de facto genom bevisbörderegler, skulle de höga transaktionskostnader som dessa medför sannolikt skada den allmänna omsättningen.27 Den närmast fullkomliga frånvaron av svenska tillhandahållare av kvalificerade betrodda tjänster är här talande.28 Visserligen skulle antalet leverantörer som tillhandahåller kvalificerade elektroniska underskrifter troligtvis öka om denna typ av underskrift blev ett krav, men med ökade transaktionskostnader måste det ändå göras en rimlighetsavvägning mellan en väldigt hög nivå av säkerhet och den allmänna omsättningen. Det bör också tilläggas att en avancerad elektronisk underskrift är säker, men att eventuella frågetecken ligger i huruvida en elektronisk underskrift faktiskt är avancerad eller inte. Samma osäkerhet finns inte med kvalificerade elektroniska underskrifter.

 

5 Särskilt om bevisbörda och beviskrav för elektroniska underskrifter: NJA 2017 s. 1105
I NJA 2017 s. 1105 påstod bolaget 4Finance att en privatperson ingått en låneförbindelse med bolaget. Den påstådda gäldenären bestred betalningsansvar varpå 4Finance stämde henne. Tingsrätten avslog bolagets talan, men hovrätten dömde till 4Finances fördel. Högsta domstolen formulerade en tvåstegsmodell som går ut på att långivaren först måste visa att den tekniska lösning som använts motsvarar skapandet av en avancerad elektronisk underskrift. Om så sker, och det inte finns något som tyder på att det vid det aktuella tillfället funnits tekniska problem med systemet, presumeras att den elektro-

 

24 Artikel 17.2 och artikel 21.1 eIDAS-förordningen. I Sverige är det Post- och telestyrelsen (PTS) som är tillsynsmyndighet, se 4 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. 25 Artiklarna 21.1–2 eIDAS-förordningen. 26 Prop. 2015/16:72 s. 37. 27 Eftersom det medför merkostnader att uppnå kraven för att få tillhandahålla kvalificerade elektroniska underskrifter. 28EU/EEA Trusted List Browser, https://eidas.ec.europa.eu/efda/tl-browser/#/ screen/tl/SE, läst 2023-02-26.

SvJT 2023 Bevisfrågor vid användning av avancerade… 569 niska underskriften inte är manipulerad. Innehavaren av denna underskrift måste då — för att undgå betalningsansvar — göra åtminstone antagligt att användandet av underskriften skett obehörigen. Högsta domstolen ansåg att 4Finance genom den skriftliga bevisningen lyckats visa att den teknik för elektronisk identifiering som använts vid undertecknandet av låneavtalet motsvarade skapandet av en avancerad elektronisk underskrift.29 HD ansåg också att konsumenten inte lyckats göra det antagligt att den avancerade elektroniska underskriften använts obehörigen av någon annan. Därmed fastställdes domslutet från hovrätten.
    Finansinspektionens promemoria — som tycks ligga till grund för Högsta domstolens bedömning att det var en avancerad elektronisk underskrift som använts — beskriver en teknisk lösning som bygger på så kallad overlay-teknik. Detta innebär att 4Finance åkte snålskjuts på andra bankers säkerhetslösningar. Kunden ombads att ange sitt personnummer på 4Finance webbplats. 4Finance använde sedan detta personnummer för att trigga en inloggning hos kundens huvudbank och själv logga in där. När inloggningen lyckades drog 4Finance slutsatsen att det var rätt person som hade uppgett sitt personnummer. Detta togs som intäkt för att rätt person hade identifierats och FI gjorde bedömningen att den tekniska lösning som 4Finance valt uppfyllde myndighetens krav på säkerhet ur antipenningtvättssynpunkt.30 Vid tillfället för författandet av FI:s promemoria gällde FI:s föreskrifter FFFS 2009:1. Fjärde kapitlet ställde vissa krav på kundkännedom, bland annat genom kontroll av kunders identitet. Enligt 4 kap. 3 § skulle ett företag utföra identitetskontroll på distans genom att 1) använda en elektronisk legitimation för att skapa en avancerad elektronisk signatur enligt definitionen i 2 § lagen om kvalificerade elektroniska signaturer eller använda någon annan motsvarande teknik för elektronisk identifiering, eller 2) säkerställa kundens identitet på annat lämpligt sätt.31 FFFS 2009:1 är numera ersatt av FFFS 2017:11 och reglerna om åtgärder för att kontrollera en kunds identitet på distans återfinns i 3 kap. 5 §. Huvudregeln om hur detta ska gå till har lyfts ur FI:s föreskrifter och finns numera i 3 kap. 7 § 2 st. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvätts-

 

29 I talan påstods det att låneansökan undertecknats med en teknisk lösning som motsvarar BankID och/eller en avancerad elektronisk underskrift. Till stöd för detta hänvisade 4Finance till en intern promemoria från Finansinspektionen (FI) som behandlade frågan om huruvida 4Finance genom sin lösning uppfyllde de krav som ställs på en bank kring kundkännedom och antipenningtvättsarbete. 30 Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 11. 31 Genom att a) inhämta uppgift om kundens namn, personnummer eller motsvarade och adress, b) kontrollera uppgifterna mot externa register, intyg, annan dokumentation, eller c) kontakta kunden genom att skicka en bekräftelse till kundens folkbokföringsadress, se till att kunden skickar in en kopia av id-handling, eller motsvarande.

570 Mathias A. Bjerkhaug SvJT 2023 lagen), vilket FFFS 2017:11 refererar till. Den alternativa regeln (4 kap. 3 § 2 p. FFFS 2009:1) finns däremot bevarad i Finansinspektionens föreskrifter (FFFS 2017:11). Lagregeln refererar till eIDASförordningen, men uttrycks som att man får använda medel för elektronisk identifiering, inte att ett företag ska göra så. Lagregeln specificerar inte heller vilken nivå av elektronisk underskrift som får användas. Inte heller i de nya myndighetsföreskrifterna ställs något krav på att en elektronisk underskrift måste vara på nivån avancerad.

 

6 Var det en avancerad elektronisk underskrift?
Kritik har framförts mot Högsta domstolens bedömning. En promemoria av informationssäkerhetskonsultbolaget Kirei beskriver det som att det är ”rimligt att anta att Högsta domstolen gjort en annan bedömning om […] fakta presenterats fullt ut och rättsfrågan varit huruvida den använda metoden resulterat i en avancerad elektronisk signatur (inte om den kan jämställas med en sådan eller om den kan anses uppnå en sådan lägre nivå som Finansinspektionen förefaller godta i penningtvättsammanhang)”. Vidare menar Ljunggren på Kirei att en avancerad elektronisk underskrift varken i teknisk eller juridisk mening hade skapats och att detta framgår tydligt av FI:s promemoria och den övriga bevisföringen.32 Som tidigare nämnts uppställs det i eIDAS-förordningen fyra rekvisit för en avancerad elektronisk underskrift. Vidare är eIDASförordningen teknikneutral, innebärande att det inte är en enskild produkt eller en särskild standard. Uppfylls rekvisiten för en avancerad elektronisk underskrift så är det en avancerad elektronisk underskrift. Det är därför inte utan svårigheter som det går att förstå vad som menas med att något motsvarar en avancerad elektronisk underskrift utan att faktiskt vara det.
    E-legitimationer utgör en viktig delkomponent i skapandet av en avancerad elektronisk underskrift. Detta eftersom e-legitimationen både används för att identifiera användaren och för att med hög grad av tillförlitlighet säkerställa att underskriften används uteslutande under egen kontroll. En e-legitimation säkerställer däremot inte nödvändigtvis integriteten av de uppgifter som skrivits under i en separat vy på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. I normalfallet innehåller nämligen det avtal som ska skrivas under mer information än den korta text som visas i BankIDappen. Detta problem går att överkomma genom att utifrån det underskrivna dokumentet skapa en kontrollsumma och sedan visa att kontrollsumman inte har ändrats. Det senare kan åstadkommas an-

 

32 Ljunggren, F, Säkerhet vid elektronisk legitimering och underskrift, Kirei 2019 s. 30, https://www.kirei.se/xfiles/kirei-2018-11.pdf, läst 2023-02-26.

SvJT 2023 Bevisfrågor vid användning av avancerade… 571 tingen med blockkedjeteknik33 eller med ett certifikat34 där kontrollsumman för ett dokument binds till en digital signatur med exempelvis en e-legitimation eller ett särskilt certifikat för framställande av elektroniska underskrifter och en tidstämpling från en tidsstämplingstjänst. Om endast den renodlade identifieringsfunktionen använts utan komplettering med ett integritetsskydd går det däremot inte att säga att det fjärde rekvisitet i artikel 26 har uppfyllts. I den analoga världen går integritetsskyddet närmast att jämföras med att ett papper placeras i ett kuvert som sedan försluts med ett sigill.35 Den digitala signeringen hindrar däremot inte dokumentet från att vara läsbart, varför jämförelsen närmast måste ändras till ett transparent kuvert för att vara rättvis. Utöver detta är det givetvis centralt att säkerställa underskrivarens avsikt. Det torde vara en inte obetydlig skillnad på styrkan av viljeförklaringen då det i BankID-appen står ”Jag skriver under ’Privatlåneavtalet 2023-02-27’ hos Bank A med transaktionsnummer 1234567890” jämfört med ”Jag skriver under hos Bank A.” I det senare fallet blir det än viktigare att säkerställa vad som visades i bankens egna användargränssnitt (eller i den fristående underskriftstjänsten). För att ta argumentet till sin spets så blir betydelsen väsensskilt annorlunda om det istället för att stå ”Genom att klicka på ’skriv under’ ingår du ett låneavtal om 30 000 kr” står ”Använd ditt BankID för att kontrollera om du kan få ett lån”. Det är rimligt att bevis för en sådan avsiktsförklaring som visar hur användarupplevelsen var i den tekniska lösningen lagras bifogat med det underskrivna dokumentet. Detta är inte avgörande för huruvida det är en avancerad elektronisk underskrift eller inte utan snarare för om det överhuvudtaget ens är en underskrift med påstått innehåll.

 

7 Har Högsta domstolen förstått något fel?
Den valda tekniska lösningen i 2017 års fall gör att det går att säkerställa att kunden har fått upp ett meddelande i sitt BankID på mobilen36 där det står att kunden identifierar sig mot Nordea. Det går

 

33 Väldigt förenklat kan detta beskrivas som att det tillkommer block efter tiden när kontrollsumman inkluderades i blockkedjan. De senare tillkomna blocken kräver ackumulerat en så hög beräkningskraft att lägga till att sannolikheten att alla efterföljande block har förändrats med tiden hamnar synnerligen nära obefintlighet. Dokumentets integritetsskydd blir därför starkare allt eftersom. 34 Det vanligaste är en certifikatbaserad lösning, men dessa innebär vissa utmaningar gällande långtidsbevarande och det fall då en certifikatutfärdare blivit utsatt för dataintrång. Se SOU 2021:9 s. 187–188 och 228–229. En blockkedjebaserad lösning har inte samma utmaningar. 35 Jfr Ds 1998:14 s. 135 f och Bengtsson, H, Bevisbörda och beviskrav vid invändning om underskriftsförfalskning — särskilt om elektroniska signaturer, Kihlman, J (red), Elektronisk signering: en antologi s. 67–78, Nordstedts juridik 2013 s. 73. 36 Observera att det är något oklart om det faktiskt var BankID eller koddosa som användes. Enligt domskälen tycks det vara BankID, men enligt en inlaga från käranden var det en koddosa som använts. I samma inlaga bygger käranden dock

 

572 Mathias A. Bjerkhaug SvJT 2023 också att visa att den personliga koden har slagits in i detta identifieringsförfarande. Däremot går det inte ensamt utifrån dessa uppgifter att visa vad kunden har sett på sin datorskärm eller att kunden överhuvudtaget varit medveten om att förfarandet använts för att identifiera kunden mot 4Finance. Det går än mindre att ensamt utifrån dessa uppgifter säkerställa att kunden därefter har valt att skriva under en låneförpliktelse med 4Finance. Inte heller går det, utifrån den skriftliga bevisning som presenterats i målet, att dra några slutsatser om på vilket sätt låneavtals integritet har säkerställts. Det vill säga, att det inte har förvanskats efter underskrift. Det kan ha framkommit sådana uppgifter som gör att HD ändå anser det vara visat att låneförpliktelsen skulle ha skrivits under av kunden, men dessa omständigheter redovisas i sådana fall inte i domskälen.
    Det bör också påpekas att 4Finance i en inlaga till Högsta domstolen varnade för att Högsta domstolens avgörande, om det skulle vara till nackdel för 4Finance, kunde ödelägga den digitala marknaden och till råga på allt göra att 5,8 miljoner skattedeklarationer per år skulle kunna komma att ifrågasättas.37 Om HD tog detta större samhällsperspektiv i beaktande är det inte svårt att se varför gäldenären blev ett litet offer att offra på kreditlivets altare.38 Att tydligt skilja på bra och dåliga tekniska lösningar torde emellertid enligt min uppfattning snarare få den motsatta effekten, nämligen att förtroendet för elektroniska underskrifter ökar, i linje med eIDAS-förordningens mål.
    Min bedömning är också att Högsta domstolen inte tydligt har redogjort för hur 4Finance lyckades visa att den tekniska lösningen utgjorde en avancerad elektronisk underskrift och att detta är en klar brist i domskälen. Inte heller de avtalsrättsliga aspekterna kring avsikt och bundenhet berördes.39 Att HD på detta sätt slirar på formuleringarna och att en e-legitimation blir något som först motsvarar skapandet av en avancerad elektronisk underskrift för att därefter anses vara en avancerad elektronisk underskrift skapar ett dåligt prejudikat. Att låga krav ställs på de omständigheter som ska påvisas för att det ska anses styrkt att en avancerad elektronisk underskrift har använts skapar en rättsosäkerhet och riskerar att slå undan benen för högkvalitativa tekniska lösningar. I förlängningen riskerar detta prejudikat att ha en negativ inverkan på förtroendet för elektroniska under-

 

sina argument på BankID:s förträfflighet. Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 10. 37 Högsta domstolen, dom 2017-12-22, mål nr T 435-17, aktbilaga 10 s. 7. Observera att detta är samma avgörande vars referat återfinns i NJA 2017 s. 1105. 38 Jfr Lindell, B, Civilprocessen: rättegång samt skiljeförfarande och medling, Iustus 2017 s. 616. 39 Jfr SOU 2019:14 s. 143.

SvJT 2023 Bevisfrågor vid användning av avancerade… 573 skrifter som sådana. Avgörandet äventyrar därmed att målet med eIDAS-förordningen uppnås.40

8 Senare tillämpning av HD:s praxis
Det har kommit en uppsjö av avgöranden från underinstanserna i svallvågorna av NJA 2017 s. 1105. Jag har granskat en handfull av dessa domar, samt i vissa delar den bevisning som lämnats in av kärandena till stöd för att en avancerad elektronisk underskrift eller motsvarande har använts.41 En generell iakttagelse från dessa domar är att domstolarna i domskälen inte problematiserar på vilket sätt käranden lyckas visa att den underskrift som använts är en avancerad elektronisk underskrift. Domstolarna tycks utgå från att det rör sig om en avancerad elektronisk underskrift så snart BankID i någon mån har nyttjats. Någon närmare genomgång av huruvida alla rekvisit för en avancerad elektronisk underskrift är uppfyllda görs inte. Alla genomgångna domar refererar till NJA 2017 s. 1105, men få gör alltså en konkret prövning av det första ledet i Högsta domstolens formel.
    Även i NJA 2021 s. 1017 saknas en skarp åtskillnad mellan en e-legitimation och en elektronisk underskrift. Det bör därför än en gång påminnas om skillnaden mellan BankID:s identifieringsfunktion och underskriftsfunktion. En jämförelse från den analoga världen skulle återigen kunna vara på sin plats. Om en person går in och identifierar sig på ett bankkontor med sitt id-kort går det att dra slutsatsen att personen har befunnits sig på bankkontoret vid den angivna tiden, men det går inte att utan ytterligare information dra några slutsatser om vilka eventuella förpliktelser som har ingåtts av personen vid besöket på bankkontoret. Om banken sedan påstår att personen har ingått en låneförpliktelse vid besöket bör banken kunna uppvisa någon form av dokumentation kring detta. Skulle det visa sig att banken har valt en lösning som innebär att kunden skriver under på en whiteboardtavla istället för på papper bör det tas med i domstolens bedömning att det är lätt att sudda ut och ändra innehållet på en whiteboardtavla utan att det upptäcks. På motsvarande sätt bör en domstol ta i beaktande om banken har valt en teknisk lösning som innebär att den elektroniska låneförpliktelsen inte har förseglats genom en digital signering i samband med underskriften.

 

 

40 Det går att fråga sig om det hade varit lämpligt att Högsta domstolen begärt ett förhandsavgörande från EU-domstolen i fråga om hur rekvisiten för en avancerad elektronisk underskrift ska tolkas. 41 Göta hovrätt, dom 2019-12-12, mål nr FT 1589-19, Göta hovrätt dom 2019-12-12, mål nr FT 1590-19, Göta hovrätt, dom 2019-12-12, mål nr T 1591-19, Attunda tingsrätt, dom 2020-09-08, mål nr T 6092-19, Malmö tingsrätt, dom 2020-07-06, mål nr T 1957-20, Södertörns tingsrätt, dom 2021-01-21, mål nr T 11532-20, Uppsala tingsrätt, dom 2020-03-04, mål nr T 1698-19, Växjö tingsrätt, dom 2020-05-29, mål nr T 5247-19.

574 Mathias A. Bjerkhaug SvJT 2023 9 Elektroniska underskrifter: Bevisbördans placering enligt förarbetena
I motivuttalanden till den numera upphävda lagen om kvalificerade elektroniska signaturer har det uttryckts att det för elektroniska underskrifter inte finns några skäl att avvika från de bevisregler som tillämpas i övrigt och att det inte är ändamålsenligt att uppställa särskilda bevisbörderegler som avviker från vad som i övrigt gäller för förfalskningsinvändningar.42 Vidare har det uttryckts att det vore en farlig väg att gå att uppställa generella bevisbörderegler specifikt för elektroniska underskrifter och att bevisbördan inte bör placeras uteslutande utifrån vilket medium som har använts. Istället ska det avgörande vara vad det är för typ av uppgifter som bekräftas med den elektroniska underskriften, vilken typ av rättshandling och vilket förhållande det är som ska bevisas. Eventuellt skulle också parternas inbördes förhållande kunna ha betydelse.43 Samtidigt ges även uttryck för de fördelar som elektroniska underskrifter kan ge ur bevishänseende. Av särskild bevismässig betydelse anses vara huruvida systemen är reviderbara i fall där äktheten av en elektronisk underskrift ifrågasätts.44 Med andra ord avses alltså frågan om huruvida det går att säkerställa integriteten hos uppgifter som har skrivits under med en elektronisk underskrift. Detta har diskuterats ovan i förhållande till det fjärde rekvisitet i artikel 26 eIDAS-förordningen.
    I artikeln Bevisbörda och beviskrav vid invändning om underskriftsförfalskning — särskilt om elektroniska signaturer framhåller Bengtsson en tvådelad konstruktion likt den som Högsta domstolen konstruerade i NJA 2017 s. 1105. En skillnad är dock att Bengtssons modell förutsätter ett högre beviskrav avseende hur presumtionen kan brytas, nämligen att innehavaren av en elektronisk underskrift bör kunna styrka att den elektroniska underskriften blivit obehörigen nyttjad.45 Samtidigt som Bengtsson skriver detta hänvisar han till de ovan refererade motivuttalandena om att det inte finns något skäl att i fråga om elektroniska underskrifter avvika från de bevisregler som tillämpas i övrigt.46 I både prop. 1999/2000:117 och SOU 2010:54 går det dock

 

42 Ds 1998:14 s. 185. 43 Prop. 1999/2000:117 s. 18. Observera att termen elektroniska signaturer används, men som redogjorts för innan har den äldre terminologin samma faktiska betydelse som den nya. 44 Ds 1998:14 s. 186. Observera att termen digital signatur används i Ds 1998:14, men att jag har uppfattat detta motsvara elektronisk underskrift. Se diskussion om elektronisk underskrift, elektronisk signatur och digital signatur ovan. 45 Bengtsson, H, Bevisbörda och beviskrav vid invändning om underskriftsförfalskning — särskilt om elektroniska signaturer, Kihlman, J (red.), Elektronisk signering: en antologi s. 67–78, Nordstedts juridik 2013 s. 76. Artikeln skrevs dock innan NJA 2017 s. 1105. 46 A.a. s. 73.

SvJT 2023 Bevisfrågor vid användning av avancerade… 575 att läsa att det är borgenären som har bevisbördan då en påstådd gäldenär bestrider en handlings äkthet.47 Om motivuttalandena logiskt ska gå ihop — och dessa innebär dels att huvudregeln är att det är borgenären som vid påstådd underskriftsförfalskning har bevisbördan för en lånehandlings äkthet, dels att användandet av elektroniska underskrifter inte föranleder särskilda presumtioner — har jag svårt att se hur utfallet kan bli annat än att elektroniska underskrifter generellt inte ska innebära en presumtion om en handlings äkthet. Jag skulle dock vilja ta fasta på det uttalande som gjordes i Ds 1998:14 om de bevisfördelar som kan uppnås med hjälp av elektroniska underskrifter av en viss dignitet, särskilt med avseende på hur efterföljande ändringar i en handling kan upptäckas.48 Kanske kan det utifrån detta gå att jämka ihop logiken i motivuttalandena med HD:s konstruktion i 2017 års fall. Detta genom att ge avancerade och kvalificerade elektroniska underskrifter en presumtionsverkan, men att inte ge övriga elektroniska underskrifter det. En sådan sammanjämkning förutsätter också att HD vid bevisvärderingen i NJA 2017 s. 1105 hade helgat sin egen ko och uppställt krav på att käranden faktiskt visat att en avancerad elektronisk underskrift använts.

 

10 Behov av sakkunnig för viss elektronisk bevisning?
Med tanke på vad som ovan har anförts går det att fråga sig om domstolarna borde förordna en sakkunnig när det uppstår frågetecken om en elektronisk underskrift.49 I dispositiva tvistemål får en domstol dock inte göra detta ex officio.50 Domstolen får däremot upplysa parterna om att det kan finnas ett behov av att begära en sakkunnig. Begär en part sakkunnig har domstolen under vissa förutsättningar möjlighet att utse en domstolssakkunnig. En part kan också på eget bevåg anlita en partssakkunnig, men denna sakkunniga får vid bevisvärderingen normalt anses vara något mindre opartisk.51 Det går att fundera på om det vid vissa tillfällen kan finnas ett behov av att inkludera tekniska råd vid bevisvärdering av elektronisk bevisning, likt mark- och miljödomstolarna använder sig av tekniska råd.52 Det skulle både finnas för- och nackdelar med en sådan lösning. En fördel är att domstolarna, när behov finns, alltid skulle ha tillgång till den tekniska expertis som krävs för att värdera elektronisk bevisning. En potentiell

 

47 Prop. 1999/2000:117 s. 18 och SOU 2010:54 s. 124. 48 Ds 1998:14 s. 186. 49 Jfr Bengtsson, H, Bevisbörda och beviskrav vid invändning om underskriftsförfalskning — särskilt om elektroniska signaturer, Kihlman, J (red.), Elektronisk signering: en antologi s. 67–78, Nordstedts juridik 2013 s. 75. 50 35 kap. 6 § rättegångsbalken och Ekelöf, PO, Edelstam, H, Heuman, L, Rättegång: fjärde häftet, sjunde upplagan, Nordstedts juridik 2009 s. 284 f. 51 Ekelöf, PO, Edelstam, H, Heuman, L, Rättegång: fjärde häftet, sjunde upplagan, Nordstedts juridik 2009 s. 298. 52 2 kap. 1 § lagen (2010:921) om mark- och miljödomstolar.

576 Mathias A. Bjerkhaug SvJT 2023 nackdel skulle kunna vara att transparensen i domskälen riskerar att minska om ett sådant tekniskt råd skulle vara med vid de enskilda överläggningarna. Detta eftersom det finns en risk att dessa ledamöter tillför målet sakkunskap som parterna varken kan påverka bevisvärdet av eller ges någon insyn i.53 En annan modell skulle kunna vara att domstolarna åter ges möjlighet att ex officio utse en sakkunnig. En sådan modell skulle kunna medföra klara fördelar i mål som rör frågor där domstolen inte själv har den nödvändiga tekniska kompetensen eller där domstolen inte säkert anser sig kunna bedöma huruvida den har tillräckligt teknisk kompetens eller ej. Nackdelen med denna typ av lösning är att processkostnaderna troligtvis skulle öka.

 

11 Avslutande reflektioner
Som en effekt av accelererad digitalisering och nya möjligheter tack vare ny lagstiftning har elektroniska underskrifter fått en alltmer samhällsviktig status. Det är därför viktigt att samhällets aktörer har både en god förståelse för vad en elektronisk underskrift är och ett grundmurat förtroende för deras säkerhet. Detta inkluderar såväl myndigheter, företag, banker och konsumenter. Om förtroendet sviker hos någon av dessa aktörer riskerar utvecklingen att sakta ner, vilket kan antas vara negativt för den allmänna ekonomiska utvecklingen. En väl avvägd balans mellan olika aktörers intressen torde alltså gynna alla parter.
    För att uppnå denna väl avvägda balans behöver rättsväsendet ha nödvändiga kompetenser för att bedöma både processuella och materiella rättsregler kopplade till elektroniska underskrifter.54 I denna artikel har jag visat att dessa kompetenser inte nödvändigtvis finns i de svenska domstolarna i dagsläget. Det skulle därför vara önskvärt att Högsta domstolen släpper upp ett nytt fall avseende avancerade elektroniska underskrifter och mer tydligt pekar ut en metodik för dess bedömning.
    Vidare kan påpekas att det finns skäl som talar både för och emot att placera bevisbördan på en långivare vid påstådd underskriftsförfalskning. Både ett allmänt effektivitetstänk och motiven till eIDASförordningen talar för att det är viktigt att elektroniska underskrifter får ett stort samhällsgenomslag. För att detta ska kunna ske är det väsentligt att näringsidkare och konsumenter vågar använda elektroniska underskrifter. Alla parter tjänar på om elektroniska underskrifter är pålitliga och säkerställer att ingen part riskerar att bli rättslös.

 

53 Ekelöf, PO, Edelstam, H, Heuman, L, Rättegång: fjärde häftet, sjunde upplagan, Nordstedts juridik 2009 s. 282. 54 Jfr med principen om jura novit curia.

SvJT 2023 Bevisfrågor vid användning av avancerade… 577 Utifrån detta är den modell som HD har valt på flera sätt välmotiverad och tar hänsyn till de speciella premisser som elektroniska underskrifter för med sig, nämligen att det måste skiljas på vem som är innehavare av en underskrift och vem som har använt den. En elektronisk underskrift kan således vara äkta, men ändå ha använts obehörigen. Därför är det motiverat att ställa upp beviskravet visat den som påstår att en avancerad elektronisk underskrift har använts. Svårigheten med den konstruktion som HD har valt är dock att valideringen av en avancerad elektronisk underskrift, till skillnad från en kvalificerad elektronisk underskrift, inte alltid är enkel. Den avancerade elektroniska underskriftens flyktighet innebär alltså att det är extra viktigt att göra en ordentlig bevisvärdering. I NJA 2017 s. 1105 har Högsta domstolen missat detta och som redogjorts för i denna artikel finns det övertygande skäl att förmoda att den elektroniska underskrift som var föremål för frågan i målet inte nådde upp till nivån avancerad. Högsta domstolen borde ha föregått med gott exempel och formulerat ett lackmustest för avancerade elektroniska underskrifter. Istället slarvade HD och denna slarvighet har dessvärre fått genomslag i underrätterna.
    Sammanfattningsvis kan sägas att precis som Högsta domstolen uttrycker i NJA 2017 s. 1105 så är en avancerad elektronisk underskrift en underskrift på vilken det ställs höga krav på säkerhet. Det är därför rimligt att användandet av en sådan innebär en presumtion om att underskriften inte har blivit manipulerad. Emellertid är det centralt att domstolarna har tillräcklig teknisk och rättslig kompetens för att avgöra huruvida det rör sig om en avancerad elektronisk underskrift eller inte, samt att domstolarna tydligt redovisar sina slutsatser i domskälen. Det duger inte att ställa upp ett beviskrav som sedan inte efterlevs. Om domstolarna inte har den nödvändiga kompetensen bör en sakkunnig anlitas. De lege ferenda kan det finnas skäl att överväga om domstolarna i dessa fall ska kunna förordna sådan sakkunnigbevisning ex officio. Jag anser i vilket fall att det finns skäl för en sådan ordning.
    För kvalificerade elektroniska underskrifter bör det inte finnas några skäl att frångå den presumtionsregel som Högsta domstolen ställt upp i 2017 års fall. Presumtionsmodellen framstår snarare som än mer självklar eftersom bevisvärderingen är lättare i fråga om huruvida det rör sig om en kvalificerad elektronisk underskrift eller ej. Sannolikt skulle HD också tillämpa presumtionsregeln i dessa fall.
    När det gäller elektroniska underskrifter som varken lever upp till kraven för avancerade eller kvalificerade elektroniska underskrifter bör inte någon presumtionsregel tillämpas. Istället bör de bevis som framförts enbart vägas in i bevisvärderingen utan att trigga någon pre-

578 Mathias A. Bjerkhaug SvJT 2023 sumtionsregel. Denna modell hade troligtvis varit lämplig utifrån de specifika omständigheter som förelåg i NJA 2017 s. 1105.
    Med tanke på att en elektronisk underskrift mer liknar ett sigill än en vanlig handskriven underskrift och för att inte göra möjligheterna till invändningar om obehörigt nyttjande illusoriska anser jag likt HD att det är lämpligt att beviskravet sätts till antagligt med avseende på denna del.
    Ovanstående slutsatser bör gälla oavsett om det rör sig om en låneförbindelse eller någon annan form av avtal.