Bestulen av bedragare via BankID – det här gäller

Bedragare som försöker komma över dina pengar uppvisar en allt större uppfinningsrikedom. I dagsläget är bedrägerier via BankID verkligen på tapeten. Bedragarna förmår innehavaren av kontot att logga in med mobilt BankID och kan då logga in på samma sätt som innehavaren för att genomföra bedrägeriet och göra uttag.

Allmänna Reklamationsnämnden (ARN) har nyligen prövat totalt sex ärenden med bedrägerier via BankID. Den övergripande synen från ARN:s sida är att banken bör betala ersättning till sina kunder efter avdrag för självrisk. ARN trycker emellertid på att kunden har ett stort eget ansvar för att undvika bedrägeri.

Här går vi igenom ARN:s sammanfattningar av ärendena. Du får läsa mer om:

  • Hur bedragarna går tillväga för att länsa konton med hjälp av BankID
  • Skillnaden mellan grov oaktsamhet och begreppet särskilt klandervärd
  • Hur stor självrisken är och hur den beräknas.

bank id bedrägeri lån

Så här arbetar bedragarna

Ett vanligt tillvägagångssätt för bedragare är att de ringer upp för att meddela att den uppringdas konto har blivit kapat. Bedragaren vill då att kontoinnehavaren ska logga in för att spärra kontot och därigenom undvika ytterligare problem.

När kontoinnehavaren loggar in med BankID får bedragaren tillgång till säkerhetskoden och får därmed tillgång till innehavarens konton.

Själva bedrägeriet sker i nästa steg. Bedragaren uppger att kontoinnehavarens BankID (det som bedragaren uppger har använts vid kapningen) måste blockeras och att det ska ske via en ytterligare legitimering med BankID. Vad som i själva verket sker när denna andra legitimering görs, är att kontoinnehavaren godkänner ett nytt BankID – ett som bedragaren kan använda för att bland annat göra överföringar. Andra sätt att använda någon annans BankID är att köpa varor eller ta nya smslån i annans namn.

Normalt sker överföringarna genom att bedragaren först skapar ett Swish-konto och anger ett nytt telefonnummer för det. Pengarna överförs då direkt och bedrägeriet är ett faktum.

I de ärenden som Allmänna Reklamationsnämnden har avgjort är förutsättningarna ungefär desamma i fem av fallen. Bedragarna har skapat nya BankID för att göra överföringar. Det som skiljer ärendena åt är graden av oaktsamhet från kontoinnehavarnas sida. Det är inget brott att bli lurad, men i frågan om ersättningsansvar är det centralt exakt hur mycket man själv har ”hjälpt till” att bli lurad.

Vad säger lagen?

I både lagen (lagen om obehöriga transaktioner med betalningsinstrument) och BankID:s respektive bankernas villkor finns tydliga skrivningar om vad som gäller för personliga koder och betalningsinstrument.

I lagen sägs att kontoinnehavaren ska ansvara för beloppet om han eller hon genom grov oaktsamhet har åsidosatt sina skyldigheter. Ett typexempel på grov oaktsamhet är om man förvarar PIN-koden tillsammans med ett kontokort i plånboken. Ett annat är om man lämnar ett kreditkort liggande på hotellrummet. Grundregeln är att man alltid ska ha full uppsikt över sina betalningsinstrument.

Detta gäller även för BankID. Eftersom denna lösning för legitimering inte bygger på något kort är det i stället själva koden som är central.

Grov oaktsamhet och särskilt klandervärt agerande

Grov oaktsamhet betyder att kontoinnehavaren har varit vårdslös med sina uppgifter och det på ett sätt som inte kan ursäktas. I fem av de fall som Allmänna Reklamationsnämnden nu har avgjort är det tydligt att grov oaktsamhet har förelegat.

En ytterligare fråga är om de som blivit utsatta för bedrägerierna har agerat särskilt klandervärt. Denna fråga har bäring på om banken ska stå för hela beloppet (med avdrag för självrisk – läs mer nedan) eller om kontoinnehavaren blir skadeståndsskyldig gentemot banken.

Ett exempel på särskilt klandervärt agerande är om kontoinnehavaren lämnar alla de uppgifter som behövs för att obehöriga transaktioner ska kunna äga rum. I ett av fallen i ARN:s särskilda granskning var så fallet. Kontoinnehavaren hade lämnat ut svarskoder från sin bankdosa flera gånger så att bedragaren kunde göra obehöriga uttag.

I de sex fallen gör ARN en viktig distinktion mellan bedrägeri via BankID respektive bedrägeri via svarskoder. Resonemanget verkar vara att det faktum att BankID är en teknisk och kanske något svårförståelig lösning gör att kontoinnehavaren inte ska anses kunna inse effekterna av inloggning med den personliga koden. Att lämna ut svarskoder är dock, enligt ARN, att likställa med att lämna PIN-koden direkt till någon som har kontoinnehavarens konto- eller kreditkort i handen.

Självrisk eller skadeståndsskyldig

Enligt de fall som ARN har prövat ska banken ersätta de kunder som har varit grovt oaktsamma i hanteringen av sina BankID. Bankerna ska emellertid ha rätt att göra avdrag för en slags självrisk på 12 000 kr. Denna självrisk är densamma som anges i den skyddsregel som anges i 4 § i lagen om obehöriga transaktioner med betalningsinstrument.

Den som har agerat särskilt klandervärt ska dock inte ha rätt till ersättning. I stället blir kunden skadeståndsskyldig gentemot banken på hela det belopp som bedragarna har kommit över.

Läs mer om BankID-bedrägerier

Du kan läsa mer om BankID på webbplatsen bankid.com. Här finns också en avdelning med smarta tips för hur du kan öka säkerheten när du använder denna metod för legitimering.

För mer om Allmänna Reklamationsnämndens beslut i de sex olika målen, se de referat som har publicerats på webbplatsen.