Under våren och sommaren har vi uppmärksammat flera fall där bankkunder har blivit blåsta på stora summor pengar efter att ha blivit lurade genom bank-id.

I ett av fallen vi har tittat närmare på lyckades bedragare lura en 80-årig kvinna på närmare 200 000 kronor, efter att ha påstått sig ringt från kvinnans bank och sagt att hennes make, som då låg inne på sjukhus, hade blivit utsatt för ett kapningsförsök. Bedragaren menade att eftersom maken inte kunde logga in på banken från sjuksängen hade han bett bankmannen att kontakta hustrun istället.

I andra fall har bedragare använt sig av spoofing, vilket i det här fallen betyder att bedragaren manipulerar ett telefonnummer så att det verkar som att det är banken som ringer.

Så går bluffen till

Förfarandet ser nästan alltid ut på samma sätt: en bedragare kontaktar dig, oftast på telefon, och ber dig logga in via bank-id. Samtidigt har bedragaren påbörjat ett inloggningsförsök hos din internetbank. När du sedan skriver in koden till ditt bank-id släpps bedragaren in på banken. Därefter lyckas bedragaren lura till sig ytterligare en bank-id-signering, vilket gör att bedragaren exempelvis kan sätta upp ett Swish-konto med dina uppgifter – och därigenom komma åt dina pengar.

PC för Alla har tidigare skrivit om när bank-id-bedragare länsade Jenny Holms bankkonto. Då hette det att Nordea inte ville betala ut någon ersättning. Det har också varit fallet med de andra ärenden vi har tittat på – bankerna har satt sig på tvären, och hävdat att de drabbade har missbrukat tjänsten.

Men efter att ARN nu granskat flera fall står det klart att kunderna i de allra flesta fall får tillbaka sina pengar. Kruxet är att självrisken hamnar på 12 000 kronor. Det kan tyckas vara en hög summa, men det har sin förklaring. Låt oss gå in på den.

Obehöriga transaktioner eller inte?

Bank-id-bluffarna prövas med grund i lagen om obehöriga transaktioner med betalningsinstrument. Det är en lag som ”rör kontohavarens ansvar för belopp som belastar ett konto på grund av en obehörig transaktion med betalningsinstrument” – i det här fallet de koder som används för signering via bank-id och som i sin tur initierar en överföring. En obehörig transaktion är en transaktion som genomförs utan att kontohavaren eller någon annan behörig har gett sitt samtycke.

Just biten om obehöriga transaktioner är viktig här, eftersom det är just det som bankerna har reagerat på – de menar helt enkelt att transaktionerna borde bedömas som behöriga, eftersom de inte kunnat genomföras utan att de drabbade agerat som de gjort. Läser man bankernas allmänna villkor är det lätt att ge bankerna rätt, där står det nämligen att koderna för bank-id enbart får användas av kontohavaren. ARN har dock inte gått på den linjen, utan bedömt de allra flesta transaktioner som obehöriga.

För att göra det ännu lite krångligare finns det fall där kontohavaren i viss mån ansvarar även för en obehörig transaktion. Det kallas i lagen för grov oaktsamhet, det vill säga att man lämnar ut sina koder till någon annan – som ju har varit fallet här. ARN menar dock att de drabbade i de flesta fall inte kunnat skydda sig mot bluffen. I fallet med den 80-åriga kvinnan visste bedragarna om flera personliga omständigheter, som i slutändan gjorde att kvinnan litade på bedragaren.

EU-lagstiftning i grunden

Men eftersom de drabbade ändå handlat grovt oaktsamt uppgår självrisken till 12 000 kronor. Anledningen till summan beror på en EU-lagstiftning, som kort och gott innebär att ansvaret delas mellan bankerna och kunderna.

– Om kontohavaren själv hjälpt till att lämna uppgifter, men inte förstått att det rör sig om ett bedrägeri så ansvarar man upp till 12 000 kronor, säger Britta Ahnmé Kågerman, chef för ARN, till TT.

– Det innebär att kunden får stå för en slags självrisk, som i försäkringar, på 12 000 kronor, utom i de fall som är särskilt klandervärda. Med det menas att man varit oaktsam, och även likgiltig inför risken.

Det finns fall där bankkunder agerat grovt oaktsamt, och dessutom särskilt klandervärt, och varit likgiltig inför risken. I ett sådant fall blir det svårt att få tillbaka pengarna. Ett exempel är om du skulle lägga ifrån dig ditt bankkort helt obevakat på en fullproppad badstrand under en längre tid.

Läs även: Läsarnas värsta historier – så blev de blåsta med Bank-ID