Obehöriga transaktioner - när du blivit av med pengar på kontot

Om någon tar pengar från ditt konto utan ditt medgivande är huvudregeln att du inte ska behöva stå för något belopp själv. Du riskerar dock att själv bli betalningsskyldig om du till exempel inte skyddat din kortkod, har lämnat ditt kort obevakat eller lämnat ut säkerhetskoder till din internetbank till någon okänd. 

Reglerna om obehöriga transaktioner finns sedan den 1 maj 2018 i betaltjänstlagen. Tidigare fanns det en separat lag som reglerade ansvaret för obehöriga transaktioner: lagen om obehöriga transaktioner med betalningsinstrument. Den lagen upphörde att gälla den 30 april 2018.

Så gör du om du råkat ut för obehöriga uttag

Det första du ska göra om du ser uttag som du inte känner att du har gjort är att reklamera uttagen till banken. Om du och banken inte är överens om att uttagen är obehöriga kan du lämna in ett klagomål hos bankens klagomålsavdelning och begära att de omprövar beslutet. Om du fortfarande inte är nöjd med bankens beslut så kan du göra en anmälan till Allmänna reklamationsnämnden. Du kan läsa mer om hur du kan reklamera obehöriga uttag i vår klagoguide.

Vem får stå för de obehöriga transaktionerna?

När du har råkat ut för obehöriga transaktioner ska du reklamera till banken. Under tiden som banken behandlar din reklamation så ska banken som huvudregel snarast återställa balansen på ditt konto. Det innebär dock inte att du kan räkna med att få behålla pengarna. Om banken kommer fram till att du är betalningsansvarig för transaktionerna så måste du betala tillbaka beloppet.

Skyldigheter enlig lag

Enligt lagen så har kontohavaren vissa skyldigheter. Om det sker obehöriga transaktioner från ditt konto och de har kunnat genomföras på grund av att du har åsidosatt dina skyldigheter enligt lag och avtal genom grov oaktsamhet så får du stå för en del av beloppet själv.

Det innebär att du inte får tillbaka alla pengar från banken. Om du är konsument i lagens mening så är betalningsansvaret begränsat till 12 000 kr – oavsett hur stort belopp som har försvunnit. Om du däremot anses ha varit särskilt klandervärd så får du stå för hela beloppet själv. Likaså om du inte lyckas bevisa att transaktionerna inte är obehöriga, alltså att det är någon annan än du som genomfört dem. Eftersom reglerna om obehöriga transaktioner i betaltjänstlagen bara gäller just obehöriga uttag och köp så får du själv stå för hela beloppet.

Vem är konsument i lagens mening?

Konsument är du i lagens mening om du är en fysisk person som handlar huvudsakligen för ändamål som faller utanför näringsverksamhet. Enkelt utryckt är du konsument om du blir av med ditt privata kort men inte företagskortet, i varje fall om det är företaget som är betalningsansvarigt för kortet.

Vem avgör om uttaget är obehörigt?

Det första banken gör när du lämnat in en reklamation är att avgöra om uttaget ska anses vara obehörigt eller inte. Det är bara obehöriga uttag som omfattas av ansvarsreglerna i lagen. Det är betaltjänstleverantören, alltså banken eller kortutgivaren, som har bevisbördan för att transaktionen har genomförts på ett formellt korrekt sätt, alltså med rätt kod eller motsvarande och att det inte rört sig om något tekniskt fel. Det är dock du som konsument som ska bevisa att det är någon annan än du som gjort uttaget eller köpet. I praktiken uppstår bara den frågan om du varken har blivit bestulen eller tappat kortet utan har kortet kvar.

Definitioner i betaltjänstlagen

I lagen talas det bland annat om kontohavare, betaltjänstleverantör, betalningsinstrument och personliga behörighetsfunktioner. Kontohavare är kunden, alltså du. Betaltjänstleverantören är den hos vem du har ditt konto, alltså typiskt sett din bank. Betalningsinstrument är till exempel ditt kontokort, antingen ett debetkort där dina köp dras direkt från ditt konto eller ett kreditkort där du får en räkning på de köp som du gjort under en period. Men ett betalningsinstrument kan också vara ett annat personligt instrument eller personlig rutin som används för att initiera en betalningsorder, till exempel ett bankID eller koddosa. Och med personliga behörighetsfunktioner menas en personligt anpassad funktion som betaltjänstleverantören tillhandahåller betaltjänstanvändaren för autentiseringsändamål, eller lite enklare uttryckt, det du använder för att bevisa att du är du.

Vilka skyldigheter har du som kontohavare?

Av reglerna i lagen framgår att du har vissa skyldigheter gentemot betaltjänstleverantören. Du ska

  1. skydda de personliga behörighetsfunktioner som är knutna till betalningsinstrumentet,
  2. när du får veta att betalningsinstrumentet har kommit bort eller använts av någpn obehörig snarast anmäla det till betaltjänstleverantören,
  3. i övrigt följa de villkor som gäller för användning av betalningsinstrumentet enligt avtalet.

Om det till exempel gäller kontokort brukar det stå i villkoren att kortet är personligt och bara får användas av dig, att du måste ha uppsikt över kortet och inte lämna det obevakat, särskilt när du är på offentliga platser eller om du är på till exempel en restaurang, i en butik eller ett annat ställe där det är större risk att bli utsatt för en stöld.

Du får betala en självrisk

Om du har råkat ut för obehöriga transaktioner från ditt konto och dessa har skett genom att dina personliga behörighetsfunktioner har använts så får du själv stå för 400 kronor, oavsett om du varit oaktsam eller inte.

Godkänt med stark kundautentisering – tvåfaktorsidentifiering

En nyhet i betaltjänstlagens regler om obehöriga transaktioner är att betalningsmottagare i princip måste kräva att du ska godkänna en transaktion med stark kundautentisering. Och om betalningsmottagaren inte gjort det så kan du inte bli ansvarig om någon annan använder dina kortuppgifter eller liknande för att göra obehöriga köp. Bara om du själv på ett ohederligt sätt hjälp till att medverka till den obehöriga transaktionen får du själv stå för den.

Vad betyder stark kundautentisering?

Ett annat utryck är tvåfaktorsidentifiering. Det innebär i korthet att du måste använda minst två, av varandra oberoende, enheter för att bekräfta ditt köp eller uttag, till exempel ditt kort och din kod eller dina kortuppgifter och ditt tumavtryck.

I lagtexten utrycks det så att det rör en autentisering som grundas på användning av två eller flera komponenter, kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det förhållandet att någon har kommit över en av komponenterna inte äventyrar de andra komponenternas tillförlitlighet, och som är utformad för att skydda autentiseringsuppgifterna mot obehörig åtkomst.

Övergångsbestämmelser i betaltjänstlagen

De nya reglerna om obehöriga transaktioner i betaltjänstlagen gäller för nya avtal som ingås efter det att lagen trädde i kraft, alltså efter den 1 maj 2018. För bankkunder som har äldre avtal gäller fortfarande reglerna om ansvar för obehöriga uttag i lagen om obehöriga uttag med betalningsinstrument. Om du har ett befintligt kortavtal med din bank och råkar ut för obehöriga transaktioner ska betalningsansvaret avgöras utifrån de gamla reglerna i lagen om obehöriga transaktioner.

I korthet innebär det att självrisken om någon använder din kod vid obehöriga köp är 1 200 kr istället för 400 kronor och reglerna om kravet på stark kundautentisering inte kan tillämpas.

Checklista vid obehöriga transaktioner:

  1. Spärra kortet eller meddela banken att ditt betalningsinstrument är borta eller har använts olovligen
  2. Reklamera till banken. Det ska ske så snart det är möjligt efter det att du fick vetskap om de obehöriga transaktionerna. Ett riktmärke kan vara inom två månader från det att du fick vetskap om transaktionen. I alla fall måste man reklamera till banken senast 13 månader från det att transaktionen genomfördes. Om du inte reklamerar i tid förlorar du möjligheten att göra ditt klagomål gällande och du får själv stå för hela beloppet.