Banken kan bli ersättningsskyldig vid bank-id-bluffar, även om kunden varit oaktsam.
Det slår Allmänna reklamationsnämnden (ARN) fast.
ARN, har avgjort fyra av sex vägledande fall som rör bank-id-bluffar.
Nämnden konstaterar att bankkunderna i flera av fallen varit oaktsamma då de låtit sig luras av bedragarna. Men inte så pass att de helt ska stå för förlusterna själva.
Bara i ett fall tycker nämnden att kunden själv ska stå för hela förlusten.
– Om kontohavaren själv hjälpt till att lämna uppgifter, men inte förstått att det rör sig om ett bedrägeri så ansvarar man upp till 12 000 kronor, säger Britta Ahnmé Kågström, chef för ARN.
EU-lagstiftning till grund
I grunden finns en EU-lagstiftning, förklarar hon, som innebär att ansvaret ska delas mellan kunden och banken.
– Det innebär att kunden får står för en slags självrisk, som i försäkringar, på 12 000 kronor, utom i de fall som är särskilt klandervärda. Med det menas att man varit oaktsam, och även likgiltig inför risken.
Beslutet är vägledande för framtiden.
– Vi har fört en del resonemang i besluten som kommer att kunna användas även för framtiden. Men det kommer hela tiden nya former av bedrägerier, säger Britta Ahnmé Kågström.
Bakgrunden är de bluffar med hjälp av kundernas egna bank-id som ökat under det senaste året. Bedragarna har ringt upp hundratals människor och lurat sig in i deras internetbanker för att stjäla pengar.
De har utgett sig för att ringa från banken eller från polisen, och ofta påstått att de försöker hindra ett pågående bedrägeri. Därför är det riktig brådis för bankkunden att snabbt logga in med bank-id för att stoppa försöket, säger de. Men det är bara en bluff.
Säkerhetsbrist, tycker kunderna
Förskräckta bankkunder har kunnat se sina pengar försvinna från konton i realtid. Bedragarna har varit skickliga på att luras, de har till och med ringt från telefonnummer som ser ut att vara från banken, så kallad spoofing.
Bluffmakarna har också varit väl insatta och trovärdiga, och kunnat övertyga bankkunderna om att de måste logga in med sina egna bank-id för att rädda situationen.
Enligt bankkunderna handlar det om en säkerhetsbrist i bankernas system. När bedragarna ringer upp har de ofta redan påbörjat en inloggning med kundens personnummer i internetbanken och när kunden sedan låser upp med sitt bankid släpper systemet in den som står "först i kön", det vill säga bedragaren.
När bankkunderna klagat hos bankerna och velat få sina förluster täckta har de fått nobben. Men nu har alltså ARN beslutat att ansvaret ska delas mellan banken och bankkunderna i de allra flesta fall.
– Vi tycker att det är bra att det kommit ett beslut. Nu ska vi noggrant analysera det här, säger Magnus Nelin, kommunikationschef på Nordea, som är den bank som har flest kunder bland de ärenden som ARN avgjort.
Nordea ska analysera beslutet
Han tycker att det är alldeles för tidigt att säga hur Nordea kommer att agera framöver när det gäller bank-id-bluffar.
– Vi tittar alltid på enskilda fall och gör våra bedömningar utifrån det.
Han vill inte heller kommentera vad banken gjort rent säkerhetsmässigt för att stoppa bedragarna.
– Då kan vi öppna upp för kriminella. Vi arbetar ständigt med att utveckla säkerheten. Vi har också gått ut med information tillsammans med polisen och de andra bankerna, säger Nelin.
Bankföreningen, som organiserar de svenska bankerna, tycker att det är bra att det har kommit ett beslut. "Vi har en generell rekommendation till våra medlemmar att följa ARN:s beslut", skriver Bankföreningen till TT.
(Johanna Cederblad/TT)
Fakta: EU-regler styr
Till grund för beslutet ligger EU-gemensamma regler, som styr ansvarsfördelningen mellan bankkunderna och bankerna.
Att lämna ut sina koder eller släppa in någon med hjälp av bank-id är oaktsamt. Då ska kunden bära en kostnad upp till 12 000 kronor. Resten ska banken stå för.
Om kundens beteende är särskilt oaktsamt, eller klandervärt som lagtexten benämner det, får kunden stå för hela förlusten.
Vad som är klandervärt respektive oaktsamt avgörs utifrån omständigheterna i det enskilda fallet.
I de fyra fall ARN nu avgjort har bankerna fått stå för merparten av förlusterna i tre av fallen. I ett av fallen har kunden ansetts klandervärd, och får därmed stå för hela förlusten.