Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Behörigt men bedrägligt? – Om bankens ansvar vid behöriga bedrägliga transaktioner och förhållandet till avtalsrättsliga ogiltighetsgrunder

Sommelius, Vera LU (2025) JURM02 20251
Department of Law
Faculty of Law
Abstract
Bank fraud based on social engineering, where victims are persuaded to authorise the payment themselves, has risen sharply in recent years, causing substantial losses for customers. Under the Swedish Payment Services Act (2010:751), the restitution rule in Chapter 5a Section 1 applies only where the payment is regarded as an unauthorised transaction. Current practice of the Swedish National Board for Consumer Disputes treats any transfer that the account holder has personally confirmed, regardless of having been deceived into doing so, as authorised. Victims of such fraud are therefore left without a statutory right to reimbursement from their bank.

The thesis examines the dividing line drawn by the Payment Services Act between... (More)
Bank fraud based on social engineering, where victims are persuaded to authorise the payment themselves, has risen sharply in recent years, causing substantial losses for customers. Under the Swedish Payment Services Act (2010:751), the restitution rule in Chapter 5a Section 1 applies only where the payment is regarded as an unauthorised transaction. Current practice of the Swedish National Board for Consumer Disputes treats any transfer that the account holder has personally confirmed, regardless of having been deceived into doing so, as authorised. Victims of such fraud are therefore left without a statutory right to reimbursement from their bank.

The thesis examines the dividing line drawn by the Payment Services Act between authorised and unauthorised payment transactions and whether the grounds for invalidity laid down in Sections 30 and 33 of the Contracts Act (1915:218) may be invoked when a fraudulently induced payment is neverthe-less ”authorised” in the technical sense. The study takes as its starting point Stockholm District Court case T 18737–23, concerning an authorised fraudulent transfer; the case serves as a concrete illustration of the rules in practice.

Using a legal-dogmatic method, the study analyses statutory materials, preparatory works, case-law and doctrine. Decisions of the Swedish National Board for Consumer Disputes are employed to illustrate how, in practice, the Payment Services Act’s notion of authorisation is applied.

The analysis shows that the statutory notion of an anauthorised transaction in Chapter 1 Section 4 (34) of the Payment Services Act is interpreted narrowly: once the account holder has signed the payment order with his or her personal security credential, consent is deemed to exist, even when the signature was procured through sophisticated deceit. Consequently, the core protective rule fails to cover the most prevalent form of fraud today. As regards invalidity, a payment order is indeed a legal act, yet Section 30 of the Contracts Act requires the bank to have been in bad faith as to the deceit, a standard that is rarely met, especially with automated payment flows. Section 33 sets an even higher bar, demanding qualified bad faith and thereby further limiting its practical reach.

This configuration creates a regulatory vacuum: common fraud scenarios fall outside the restitution regime, leaving the account holder to bear the loss. The thesis therefore argues that the proposed EU payment-services framework, consisting of a draft regulation and directive that would impose mandatory transaction monitoring and bank reimbursement for so-called ”identity-fraud” payments, constitutes a necessary step towards a fairer allocation of risk and more effective consumer protection. (Less)
Abstract (Swedish)
Bedrägerier genom social manipulation har under de senaste åren ökat markant och medför betydande förluster för bankkunder. Lag (2010:751) om betaltjänster (betaltjänstlagen) förutsätter att en transaktion är obehörig för att huvudregeln i 5 a kap. 1 § om återställande ska anses tillämplig, och kunden har möjlighet att få tillbaka det förlorade beloppet. Enligt praxis från Allmänna reklamationsnämnden ska transaktioner som kontohavaren själv har godkänt, oavsett om denne blivit vilseledd att godkänna transaktionen, vanligtvis anses behöriga. Detta innebär att bankkunder som utsatts för ett sådant bedrägeri saknar rätt till återställande från sin bank.

Syftet med uppsatsen är att undersöka gränsdragningen mellan behöriga och obehöriga... (More)
Bedrägerier genom social manipulation har under de senaste åren ökat markant och medför betydande förluster för bankkunder. Lag (2010:751) om betaltjänster (betaltjänstlagen) förutsätter att en transaktion är obehörig för att huvudregeln i 5 a kap. 1 § om återställande ska anses tillämplig, och kunden har möjlighet att få tillbaka det förlorade beloppet. Enligt praxis från Allmänna reklamationsnämnden ska transaktioner som kontohavaren själv har godkänt, oavsett om denne blivit vilseledd att godkänna transaktionen, vanligtvis anses behöriga. Detta innebär att bankkunder som utsatts för ett sådant bedrägeri saknar rätt till återställande från sin bank.

Syftet med uppsatsen är att undersöka gränsdragningen mellan behöriga och obehöriga transaktioner enligt betaltjänstlagen och huruvida det är möjligt att tillämpa ogiltighetsgrunderna i 30 och 33 §§ lag (1915:218) om avtal och andra rättshandlingar på förmögenhetsrättens område (avtalslagen) vid behö- riga bedrägliga transaktioner. Uppsatsen utgår från ett specifikt mål från Stockholms tingsrätt (T 18737–23), där Konsumentombudsmannen förde en konsuments talan mot en bank avseende en behörig bedräglig transaktion. Fallet används för att visa hur de relevanta rättsreglerna tillämpas på ett konkret fall.

I uppsatsen används en rättsdogmatisk metod för att undersöka relevanta rättskällor, framför allt lagstiftning, förarbeten, praxis och doktrin. För att utreda var gränsen mellan behöriga och obehöriga transaktioner går, används även beslut från Allmänna reklamationsnämnden, i syfte att illustrera den praktiska tillämpningen av betaltjänstlagen vid bedömningen av en transaktions behörighet.

Analysen visar att begreppet obehörig transaktion i 1 kap. 4 § 34 p. betaltjänstlagen i praktiken tolkas snävt; samtycke anses föreligga så snart kontohavaren själv signerat betalningsordern med sin personliga behörighetsfunktion, även om denne blivit vilseledd att godkänna transaktionen. Därmed omfattar skyddsregeln inte den idag vanligaste bedrägeriformen. Vid prövningen av huruvida det är möjligt att ogiltigförklara en behörig transaktion med stöd av 30 § avtalslagen konstateras att betalningsordern visserligen är en rättshandling, men ogiltighet enligt 30 § förutsätter att banken var i ond tro om det svikliga förledandet – ett krav som svårligen kan uppfyllas, särskilt i automatiserade betalningsflöden. För att ogiltighet enligt 33 § avtalslagen ska inträda krävs kvalificerad ond tro, vilket ställer än högre beviskrav och begränsar dess möjlighet att tillämpas i praktiken.

Det nuvarande regelverket avseende behöriga bedrägliga transaktioner indikerar således ett regulatoriskt vakuum, där kontohavarens rätt till återställning av banken vid vanliga former av bedrägeri faller utanför regleringen. Uppsatsen argumenterar avslutningsvis för att det föreslagna betaltjänstregelverket, bestående av ett förslag om införandet av en förordning och ett nytt direktiv, med krav på transaktionsmonitorering och ersättningsskyldighet vid så kallade identitietsbedrägerier, är ett nödvändigt steg mot en mer balanserad riskfördelning och ett effektivare konsumentskydd. (Less)
Please use this url to cite or link to this publication:
author
Sommelius, Vera LU
supervisor
organization
alternative title
Authorised Yet Fraudulent? – The Bank’s Liability for Authorised Fraudulent Transactions and Its Relation to Contractual Grounds for Invalidity
course
JURM02 20251
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
avtalsrätt, förmögenhetsrätt, transaktioner, betaltjänstlagen
language
Swedish
id
9189274
date added to LUP
2025-06-12 09:28:04
date last changed
2025-06-12 09:28:04
@misc{9189274,
  abstract     = {{Bank fraud based on social engineering, where victims are persuaded to authorise the payment themselves, has risen sharply in recent years, causing substantial losses for customers. Under the Swedish Payment Services Act (2010:751), the restitution rule in Chapter 5a Section 1 applies only where the payment is regarded as an unauthorised transaction. Current practice of the Swedish National Board for Consumer Disputes treats any transfer that the account holder has personally confirmed, regardless of having been deceived into doing so, as authorised. Victims of such fraud are therefore left without a statutory right to reimbursement from their bank.

The thesis examines the dividing line drawn by the Payment Services Act between authorised and unauthorised payment transactions and whether the grounds for invalidity laid down in Sections 30 and 33 of the Contracts Act (1915:218) may be invoked when a fraudulently induced payment is neverthe-less ”authorised” in the technical sense. The study takes as its starting point Stockholm District Court case T 18737–23, concerning an authorised fraudulent transfer; the case serves as a concrete illustration of the rules in practice.
 
Using a legal-dogmatic method, the study analyses statutory materials, preparatory works, case-law and doctrine. Decisions of the Swedish National Board for Consumer Disputes are employed to illustrate how, in practice, the Payment Services Act’s notion of authorisation is applied.

The analysis shows that the statutory notion of an anauthorised transaction in Chapter 1 Section 4 (34) of the Payment Services Act is interpreted narrowly: once the account holder has signed the payment order with his or her personal security credential, consent is deemed to exist, even when the signature was procured through sophisticated deceit. Consequently, the core protective rule fails to cover the most prevalent form of fraud today. As regards invalidity, a payment order is indeed a legal act, yet Section 30 of the Contracts Act requires the bank to have been in bad faith as to the deceit, a standard that is rarely met, especially with automated payment flows. Section 33 sets an even higher bar, demanding qualified bad faith and thereby further limiting its practical reach.

This configuration creates a regulatory vacuum: common fraud scenarios fall outside the restitution regime, leaving the account holder to bear the loss. The thesis therefore argues that the proposed EU payment-services framework, consisting of a draft regulation and directive that would impose mandatory transaction monitoring and bank reimbursement for so-called ”identity-fraud” payments, constitutes a necessary step towards a fairer allocation of risk and more effective consumer protection.}},
  author       = {{Sommelius, Vera}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Behörigt men bedrägligt? – Om bankens ansvar vid behöriga bedrägliga transaktioner och förhållandet till avtalsrättsliga ogiltighetsgrunder}},
  year         = {{2025}},
}