Förslag till avgörande av generaladvokat Manuel Campos Sánchez-Bordona föredraget den 30 april 2020
1 Originalspråk: spanska.
2 Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (EUT L 319, 2007, s. 1).
3 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 2015, s. 35). Direktiv 2007/64 upphävdes med verkan från den 13 februari 2018.
4 Införlivandet av NFC‑tekniken i kontaktlösa (contactless) kort gör det möjligt att upprätta en trådlös förbindelse mellan kortet och en näraliggande kompatibel terminal, utan att det krävs någon annan åtgärd. NFC är en trådlös kommunikationsteknik, för korta sträckor och med hög frekvens, som möjliggör en nästan omedelbar överföring av uppgifter mellan olika enheter. Den används i olika applikationer, däribland kreditkort och bankkort, och i allt högre utsträckning i mobiltelefoner. NFC‑standarderna omfattar kommunikationsprotokoll och format för uppgiftsutbyte, vilka främst bygger på standarden ISO 14443, som handhas gemensamt av Internationella standardiseringsorganisationen (ISO) och Internationella elektrotekniska kommissionen (IEC).
5 2018 års lag om betaltjänster (nedan kallad ZaDiG), vilken införlivade direktiv 2015/2366 med österrikisk rätt.
6 Den hänskjutande domstolen har senare korrigerat denna fråga, på så sätt att den avser artikel 63.1 a och inte 63.1 b i direktiv 2015/2366.
7 Vid förhandlingen påpekade kommissionen att direktiv 2015/2366 har lagt större tonvikt på konsumentskydd i samband med betaltjänster än direktiv 2007/64.
8 Det följer av fast rättspraxis att det endast är i undantagsfall som domstolen, med tillämpning av den allmänna rättssäkerhetsprincip som ingår i unionens rättsordning, kan se sig föranledd att begränsa berörda personers möjlighet att åberopa en av domstolen tolkad bestämmelse i syfte att ifrågasätta rättsförhållanden som tillkommit i god tro. För att en sådan begränsning ska kunna komma i fråga ska två väsentliga kriterier vara uppfyllda, nämligen att de berörda handlat i god tro och att det föreligger en risk för allvarliga störningar (se, bland annat, dom av den 27 februari 2014, Transportes Jordi Besora, C‑82/12, EU:C:2014:108, punkt 41, dom av den 19 april 2018, Oftalma Hospital, C‑65/17, EU:C:2018:263, punkt 57, och dom av den 3 oktober 2019, Schuch-Ghannadan, C‑274/18, EU:C:2019:828, punkterna 60–62).
9 Dom av den 9 april 2014 ( C‑616/11, EU:C:2014:242; nedan kallad domen T-Mobile Austria) punkterna 33 och 34.
10 Ibidem, punkt 35.
11 Domstolen konstaterade att i samtliga språkversioner hänvisar epitetet personlig(a) till syntagmen anordning(ar). I den franska språkversionen (tout dispositif personnalisé et/ou ensemble de procédures), som härvid sammanfaller med den spanska, den italienska, den ungerska, den portugisiska och den rumänska språkversionen, hänvisar epitetet personlig(a) emellertid inte till syntagmen rutiner. I den tyska versionen däremot (jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf), hänvisar epitetet personlig(a) till syntagmen rutiner. Den engelska versionen (any personalised device(s) and/or set of procedures), som bland annat sammanfaller med den danska, den grekiska, den nederländska, den finska och den svenska språkversionen, kan läsas på båda sätten (domen T-Mobile Austria, punkt 31, samt generadvokat Wathelets förslag till avgörande i samma mål, vilket föredrogs den 19 april 2014, EU:C:2013:691, punkt 36).
12 Det är möjligt att doktrinens polemik rörande denna fråga i Österrike till stor del beror på ordalydelsen av den tyska språkversionen av artikel 4.23 i direktiv 2007/64 (jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf).
13 Domen T-Mobile Austria, punkt 35 in fine: … begreppet betalningsinstrument som definieras i artikel 4.23 i samma direktiv kan omfatta icke personliga rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används av betaltjänstanvändaren för att initiera en betalningsorder.
14 Europaparlamentets och rådets förordning (EU) 2015/751 av den 29 april 2015 om förmedlingsavgifter för kortbaserade betalningstransaktioner (EUT L 123, 2015, s. 1).
15 Beträffande användningen av kontaktfria betalningsinstrument hänvisar jag till Europeiska centralbankens analys Card payments in Europe – current landscape and future prospects: a Eurosystem perspective, 2019, som finns på https://www.ecb.europa.eu/pub/pubbydate/2019/html/ecb.cardpaymentsineu_currentlandscapeandfutureprospects201904~30d4de2fc4.en.html#toc1, samt till European Cards Stakeholders Groups analys Feasibility Study on the development of open specifications for a card and mobile contactless payment application, 2017, https://www.ecb.europa.eu/paym/groups/erpb/shared/pdf/7th-ERPB-meeting/Annex_to_Stat_past_ERPB_Recommendations_ECSG_Interim_Report_contatless_feasibility_study_and_progress_indicators.pdf?115946678f056d5ccc9eba5f72cb4a88.
16 Vid förhandlingen tillbakavisade DenizBank inte helt detta påstående från VKI. DenizBank bekräftade att det inte alltid är säkert att en användare som får kortet per post (vilket enligt DenizBank är det vanliga förfarandet) är medveten om att kortet har en aktiverad NFC‑funktion.
17 Domstolen har använt sig av den teleologiska metoden då den tolkat andra begrepp i direktiv 2007/64, som var föregångare till direktiv 2015/2366. Se dom av den 25 januari 2017, BAWAG ( C‑375/15, EU:C:2017:38), punkterna 40–45, beträffande begreppet varaktigt medium, i den mening som avses i punkt 4.25 i direktiv 2007/64, av den 22 mars 2018, Rasool ( C‑568/16, EU:C:2018:211), punkterna 30–39, avseende begreppet betaltjänst i den mening som avses i artikel 4.3, och av den 4 oktober 2018, ING-DiBa Direktbank Austria ( C‑191/17, EU:C:2018:809), avseende begreppet betalkonto i den mening som avses i artikel 4.14.
18 Kommissionens delegerade förordning av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (EUT L 69, 2018, s. 23).
19 Skäl 11 i delegerad förordning 2018/389.
20 Enligt artikel 4.30 i direktiv 2015/2366, avses med stark kundautentisering en autentisering som grundas på användning av två eller flera element, kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det faktum att någon har kommit över ett av elementen inte äventyrar de andra elementens tillförlitlighet, och som är utformad för att skydda autentiseringsuppgifternas sekretess. Denna starka autentisering, vilken föreskrivs för att uppnå säkrare elektroniska betaltjänster för konsumenterna som ger ett starkare skydd för deras personuppgifter, innebär att minst två av dessa säkerhetselement används: Något som bara användaren vet, som ett lösenord eller en sifferkod; något som bara användaren har, som hans eller hennes mobiltelefon; någon unik egenskap hos användaren, som hans eller hennes röst eller fingeravtryck.
21 Skäl 8 i delegerad förordning 2018/389.
22 Undantagen från principen om sträng kundautentisering fastställs i delegerad förordning 2018/389, då den genomför artikel 97 i direktiv 2015/2366, baserat på betalningstransaktionens risknivå, belopp, huruvida den upprepas och den betalningskanal som används vid utförandet av betalningstransaktionen.
23 Artiklarna 10–18 i delegerad förordning 2018/389 föreskriver andra undantag från kravet på sträng kundautentisering, vid betalkontoinformation, obemannade terminaler för transport- och parkeringsavgifter, betrodda betalningsmottagare, återkommande transaktioner, kreditöverföringar mellan konton som innehas av samma fysiska eller juridiska person, transaktioner av begränsat värde samt säkra processer och protokoll för företagsbetalningar.
24 Definitionen av betaltjänster bör vara teknikneutral och medge utveckling av nya typer av betaltjänster, samtidigt som likvärdiga driftsvillkor säkerställs för både befintliga och nya betaltjänstleverantörer.
25 Ett betalkort kan även innehålla två olika funktioner när det kan användas som kreditkort och som debetkort, vilket innebär att ett och samma bankkort innehåller två personliga betalningsinstrument.
26 Skyldighet för användare att underrätta betaltjänstleverantören så snart de erfar att betalningsinstrumentet förlorats, stulits, missbrukats eller använts utan auktorisation.
27 Skyldighet för betaltjänstleverantören att se till att användare har möjlighet att begära att en blockering av betalningsinstrumentet hävs.
28 Betalaren ska inte bära några ekonomiska konsekvenser av användningen av ett betalningsinstrument som förlorats, stulits eller missbrukats.
29 Skyldighet för betaltjänstleverantören att styrka att betalningstransaktionen har autentiserats och genomförts.
30 Betaltjänstleverantörens ansvar för icke auktoriserade betalningstransaktioner.
31 Betalarens ansvar att stå för sådana förluster vid alla icke auktoriserade betalningstransaktioner upp till 50 EUR som är en följd av att ett förlorat eller stulet betalningsinstrument använts eller av att ett betalningsinstrument missbrukats, om betalaren handlat bedrägligt eller underlåtit att uppfylla sina skyldigheter att använda instrumentet på lämpligt sätt och att skydda säkerhetsbehörighetsuppgifterna (punkt 1), och att betalaren inte ska bära några ekonomiska konsekvenser av användningen av ett betalningsinstrument som förlorats, stulits eller missbrukats (punkt 3).
32 Betaltjänstleverantörerna är ansvariga för säkerhetsåtgärder. Dessa åtgärder måste stå i proportion till de berörda säkerhetsriskerna. Betaltjänstleverantörer bör inrätta en ram för att minska riskerna och upprätthålla effektiva incidenthanteringsförfaranden …
33 Detta medgav DenizBank vid förhandlingen, då den svarade på VKI:s yttrande. VKI hade gjort gällande att nästan alla österrikiska banker, med undantag av motparten, föreskriver i sina allmänna försäljningsvillkor att kortets NFC‑funktion ska blockeras efter ett meddelande om blockering, vilket också … görs (VKI:s skriftliga yttrande, punkt 5).
34 Domen T-Mobile Austria, punkt 34.
35 Punkterna 36–51 i detta förslag till avgörande.
36 Se skälen 15, 21 och 96 i direktiv 2015/2366. I punkt 28 i dom av den 21 mars 2019, Tecnoservice Int. ( C‑245/18, EU:C:2019:242), utgick domstolen från de mål som eftersträvar direktbehandling och snabbare betalningar i skäl 40 och skäl 43 i direktiv 2007/64 då den tolkade artikel 74.2 i direktivet på ett sätt som innebär att ansvaret begränsas för både betalarens och betalningsmottagarens betaltjänstleverantör, varvid de undantas från skyldigheten att kontrollera om den unika identifikationskod som lämnats av betaltjänstanvändaren verkligen motsvarar den person som angetts som mottagare.
37 I det fallet har betaltjänstanvändaren rätt att avgiftsfritt avsluta ramavtalet när som helst fram till den dag då ändringarna skulle ha tillämpats.
38 I facklitteraturen finns det vissa tvivel om den verkliga nyttan av att lämna den här typen av information, när det rör sig om finanssektorn. Det finns de som anser att den lämpligaste lösningen är en förhandsreglering av avtalsvillkoren, i stället för en utökning av förhandsinformationen. Se exempelvis Alfaro, J.: Att lämna information till mindre sofistikerade konsumenter – med lägre utbildningsnivå – gynnar inte dem, eftersom deras kostnader för att ta till sig, bearbeta och förstå konsekvenserna av den information de får är höga, så höga att det inte är rationellt att investera tid och möda i att försöka förstå den, även om bankerna spontant lämnar den till dem, vilket innebär att informationen inte leder till bättre val hos dessa mindre sofistikerade konsumenter. Blogg https://derechomercantilespana.blogspot.com, postat den 25 november 2018, No todos los prestatarios son iguales: lecciones para el legislador.
39 Det bör föreskrivas att konsumenterna har rätt till kostnadsfri relevant information innan denne binds av ett betaltjänstavtal. När som helst under avtalsförhållandet bör konsumenterna också kunna begära att få förhandsinformation och ramavtalet på papper kostnadsfritt för att göra det möjligt att jämföra de tjänster och villkor som betaltjänstleverantörerna erbjuder och vid tvist kontrollera sina avtalade rättigheter och skyldigheter, så att ett starkt konsumentskydd upprätthålls.
40 Samma sak var fallet med direktiv 2007/64, vilket domstolen betonade i sin dom av den 25 januari 2017, BAWAG ( C‑375/15, EU:C:2017:38), punkt 45.
41 Informationen rör bland annat användning av betaltjänsten, avgifter, ränta och växelkurser, kommunikation mellan parterna, skydds- och korrigeringsåtgärder, tvistlösning samt ändringar i, och avslutande av, avtalet.
42 I den klausulen anges villkoren för hur kunden ska underrättas om ändringsförslaget, i pappersform eller på ett annat varaktigt medium, att det ska ske innan ändringarna ska träda i kraft, fristen för det underförstådda samtycket samt användarens rätt att invända mot ändringarna och att säga upp ramavtalet.
43 I beslutet att begära förhandsavgörande (sidan 12) tar den hänskjutande domstolen upp sin rättspraxis, vilken återspeglas i olika domar (1Ob 210/12g; 2Ob 131/12x; 8Ob 58/14h; 9Ob 26/15m; 10Ob 60/17x), rörande gränserna för underförstått medgivande till avtalsvillkor. Vid förhandlingen nämnde VKI även Bundesgerichtshofs (Högsta domstolen, Tyskland) dom av den 11 oktober 2007 (III ZR 63/07), vilken Oberster Gerichtshof (Högsta domstolen) i sin tur hade hänvisat till i punkt 2.20 i sin dom av den 11 april 2013 (ECLI:OGH002:2013:0010OB00210.12G.0411.000) för att bekräfta att medgivandefunktionen (underförstått medgivande) inte får innefatta väsentliga ändringar av avtalet.
44 Enligt artikel 4.21 i direktiv 2015/2366, avses med ramavtal ett betaltjänstavtal som reglerar det kommande genomförandet av enskilda och successiva betalningstransaktioner och som kan innehålla skyldigheter och villkor för att öppna ett betalkonto.