Language of document : ECLI:EU:C:2020:322

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MANUEL CAMPOS SÁNCHEZ-BORDONA

föredraget den 30 april 2020(1)

Mål C287/19

DenizBank AG

mot

Verein für Konsumenteninformation

(begäran om förhandsavgörande från Oberster Gerichtshof (Högsta domstolen, Österrike))

”Begäran om förhandsavgörande – Konsumentskydd – Betaltjänster på den inre marknaden – Oskäliga villkor – Ändring av villkoren i ett ramavtal – Prövning av klarhet – Giltigheten av villkor som innehåller en medgivandefunktion och genom vilka risken för ansvar för icke auktoriserade betalningar övergår på betaltjänstanvändaren – Undantag för betalningsinstrument som avser låga belopp – Personligt betalkort med närfältskommunikationsfunktion (NFC) – Anonyma betalningsinstrument – Betalningsinstrument som inte kan blockeras”






1.        Betaltjänsterna på den inre marknaden påverkas enormt av de tekniska innovationerna. Ett bevis på detta är antagandet av direktiv 2007/64/EG,(2) vilket några år senare ersattes av direktiv (EU) 2015/2366.(3) Denna uppdatering var nödvändig på grund av de nya betalningssystemen, den ökande mängden elektroniska betalningar och de säkerhetsrisker som dessa medför.

2.        En av dessa innovationer, som snabbt har blivit populär, är den funktion som kallas närfältskommunikation (Near Field Communication; nedan kallad NFC) och som ingår i vissa betalkort.(4) Med den funktionen är det möjligt att betala mindre belopp, anonymt och utan behov av någon förstärkt autentisering.

3.        De banker som utfärdar kort med NFC‑funktionen vill snabba upp konsumentköpen genom att underlätta hanteringen av dem, men de villkor som bankerna ställer för att använda dem kan innebära ett åsidosättande av konsumenträttigheter. I frågorna från den hänskjutande domstolen finns en underliggande motsättning mellan dessa båda mål.

I.      Tillämpliga bestämmelser

A.      Unionsrätten. Direktiv 2015/2366

4.        Skälen innefattar bland annat följande:

”(6)      … Likvärdiga driftsvillkor bör garanteras för befintliga och nya aktörer på marknaden genom åtgärder som möjliggör för nya betalningsmetoder att nå ut till en större marknad och säkerställer en hög konsumentskyddsnivå vid användningen av dessa betaltjänster i unionen som helhet. Detta bör öka effektiviteten inom betalningssystemet som helhet och leda till mer valfrihet och insyn när det gäller betaltjänster, och samtidigt stärka konsumenternas förtroende för en harmoniserad betalningsmarknad.

(63)      För att säkerställa ett starkt konsumentskydd bör medlemsstaterna i konsumenternas intresse kunna behålla eller införa restriktioner eller förbud mot ensidiga ändringar av villkoren i ett ramavtal, till exempel om det inte finns något motiverat skäl till en sådan ändring.

(91)      Betaltjänstleverantörerna är ansvariga för säkerhetsåtgärder. Dessa åtgärder måste stå i proportion till de berörda säkerhetsriskerna. Betaltjänstleverantörer bör inrätta en ram för att minska riskerna och upprätthålla effektiva incidenthanteringsförfaranden. Ett system för regelbunden rapportering bör inrättas för att säkerställa att betaltjänstleverantörerna regelbundet förser de behöriga myndigheterna med en uppdaterad bedömning av deras säkerhetsrisker och om de åtgärder som de har vidtagit som svar på dessa risker. För att minimera skador för användarna, andra betaltjänstleverantörer eller betalningssystem, exempelvis allvarliga störningar i betalningssystemet, är det viktigt att betaltjänstleverantörerna är skyldiga att rapportera allvarliga säkerhetsincidenter utan onödigt dröjsmål till de behöriga myndigheterna. En samordnande roll bör fastställas för EBA.

(96)      Säkerhetsåtgärderna bör vara förenliga med den risknivå som betaltjänsten medför. För att möjliggöra utvecklingen av användarvänliga och tillgängliga betalningsmedel för lågriskbetalningar, såsom låga belopp som kontaktfria betalningar vid försäljningsställe oavsett om de görs från mobiltelefon eller inte, bör undantagen från tillämpningen av säkerhetskrav specificeras i tekniska standarder för tillsyn …”

5.        I artikel 4.14 definieras ”betalningsinstrument” som ”personlig(a) anordning(ar) och/eller rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används för att initiera en betalningsorder”.

6.        Avdelning III handlar om ”Klarhet om villkoren och informationskraven för betaltjänster”. I kapitel 3, som reglerar ”Ramavtal”, finns artiklarna 52 och 54.

7.        I artikel 52 (”Information och villkor”) föreskrivs följande:

”Medlemsstaterna ska se till att följande information och villkor lämnas till betaltjänstanvändaren:

6.      Om ändringar i, och avslutande av, ramavtalet:

a)      Om så avtalats, information om att betaltjänstanvändaren ska anses ha godkänt de ändrade villkoren i enlighet med artikel 54, om betaltjänstanvändaren inte före den dag då de föreslås träda i kraft underrättar betaltjänstleverantören om att de inte godkänns.

b)      Ramavtalets löptid.

c)      Betaltjänstanvändarens rätt att avsluta ramavtalet och eventuella avtal som rör avslutandet i enlighet med artiklarna 54.1 och 55.

…”

8.        I artikel 54 (”Förändringar av villkoren i ramavtalet”) föreskrivs följande:

”1.      Senast två månader före den dag som de föreslås börja tillämpas ska betaltjänstleverantören föreslå eventuella ändringar av ramavtalet eller av informationen och villkoren enligt artikel 52, på samma sätt som anges i artikel 51.1. Betaltjänstanvändaren kan antingen godkänna eller förkasta ändringarna före den dag då de föreslås träda i kraft.

I tillämpliga fall ska betaltjänstleverantören i enlighet med artikel 52.6 a meddela betaltjänstanvändaren att han eller hon anses ha godkänt dessa ändringar om han eller hon inte före den dag då de föreslås träda i kraft underrättar betaltjänstleverantören om att de inte godkänns. Betaltjänstleverantören ska också informera betaltjänstanvändaren om att ifall betaltjänstanvändaren förkastar dessa ändringar har betaltjänstanvändaren rätt att avgiftsfritt avsluta ramavtalet när som helst fram till den dag då ändringarna skulle ha tillämpats.

…”

9.        I kapitel 1 (”Gemensamma bestämmelser”) i avdelning IV (”Rättigheter och skyldigheter med avseende på tillhandahållande och användning av betaltjänster”), har artikel 63 (”Undantag för betalningsinstrument för låga belopp och elektroniska pengar”) följande lydelse:

”1.      I fråga om betalningsinstrument som enligt ramavtalet endast avser enskilda betalningstransaktioner på högst 30 EUR eller som antingen har en utgiftströskel på 150 EUR eller lagrar medel som aldrig överstiger 150 EUR, får betaltjänstleverantörerna när som helst avtala med betaltjänstanvändarna att

a)      artiklarna 69.1 b, 70.1 c och d, och 74.3 inte är tillämpliga om betalningsinstrumentet inte kan blockeras eller dess vidare användning förhindras,

b)      artiklarna 72, 73, 74.1 och 74.3 inte är tillämpliga om betalningsinstrumentet används anonymt eller om betaltjänstleverantören av andra till betalningsinstrumentet knutna skäl inte kan bevisa att en betalningstransaktion var auktoriserad,

…”

B.      Nationell rätt. Zahlungsdienstegesetz 2018(5)

10.      I 4 § led 14 definieras ”betalningsinstrument” på samma sätt som i motsvarande artikel i direktiv 2015/2366.

11.      Vad beträffar förändringar i ramavtal återger 48 § första stycket led 6 innehållet i artikel 52 första stycket led 6 i direktiv 2015/2366.

12.      Vad beträffar förändringar av villkoren i ramavtal har 50 § första stycket en likartad lydelse som artikel 54.1 i direktiv 2015/2366.

13.      Samma sak gäller 57 § första stycket ZaDiG och artikel 63.1 i direktiv 2015/2366, med avseende på undantag för betalningsinstrument för låga belopp och elektroniska pengar.

II.    Målet vid den nationella domstolen och tolkningsfrågorna

14.      Verein für Konsumenteninformation (nedan kallad VKI) är en sammanslutning som enligt österrikisk lag har rätt att väcka talan för att tillvarata konsumenternas intressen.

15.      DenizBank AG är en bank som driver verksamhet i Österrike. Den använder allmänna avtalsvillkor eller avtalsformulär i handelstransaktioner med konsumenter, bland annat vid användning av betalkort som är utrustade med NFC‑funktionen. Denna funktion aktiveras automatiskt när kunden använder kortet första gången.

16.      Genom att hålla ett sådant kontokort mot betalterminalen, vid en inrättning som har utrustning som är förberedd för trådlös anslutning, kan belopp upp till 25 euro betalas utan att användaren behöver ange något personligt identifikationsnummer (nedan kallat PIN-kod) vid betalningen. För betalning av högre belopp krävs autentisering med PIN-kod.

17.      Denizbank tillämpar bland annat följande allmänna villkor i sina avtal:

”Klausul 14:

Ändringar i kundanvisningar: Ändringar av dessa kundanvisningar ska föreslås kunden senast två månader innan de beräknas träda i kraft. Kunden ska anses ha gett sitt samtycke till dessa ändringar och ändringarna ska följaktligen anses vara avtalade, när DenizBank AG:s kund inte motsätter sig ändringarna innan de ska träda i kraft. Kunden ska underrättas om det ändringsförslag som anges ovan i pappersform eller, om kunden samtycker till det, på ett annat varaktigt medium. I sitt ändringsförslag ska DenizBank AG ange och göra kunden uppmärksam på det faktum att kundens tystnad, i den mening som avses ovan, anses vara ett medgivande till ändring. Vidare ska DenizBank AG på sin webbplats offentliggöra en jämförelse mellan de bestämmelser som påverkas av ändringen i kundanvisningarna och även tillhandahålla kunden denna jämförelse. Gentemot en näringsidkare räcker det att erbjudandet om ändring görs tillgängligt på ett sätt som avtalats med näringsidkaren. Vid en sådan planerad ändring av kundanvisningarna har kunden, som är konsument, rätt att utan förvarning och kostnadsfritt säga upp sina ramavtal för betalningstjänster (i synnerhet gällande bankgirokontot) innan ändringarna träder i kraft. DenizBank AG kommer, i sitt ändringsförslag, även uppmärksamma kunden på detta.

Klausul 15:

Inga bevis på auktorisation: Eftersom syftet med betalningar av låga belopp utan att ange personlig kod är att förenkla hanteringen av betalningstransaktioner genom att kunden inte behöver auktorisera dem, behöver DenizBank AG inte bevisa att betalningstransaktionen har godkänts, korrekt registrerats och kontoförts i räkenskaperna och inte påverkats av ett tekniskt fel eller andra störningar.

Klausul 16:

Inget ansvar för icke auktoriserade betalningar: Eftersom DenizBank AG, när kunder använder referenskortet för låga belopp utan att ange personlig kod, inte kan bevisa att betalningstransaktionen har godkänts av kortinnehavaren, är DenizBank AG inte skyldig att återbetala beloppet för den icke auktoriserade betalningstransaktionen till följd av en icke auktoriserad betalningstransaktion och återställa det debiterade bankkontot till hur det hade varit om den icke auktoriserade betalningstransaktionen inte hade ägt rum. Till och med ytterligare fordringar mot DenizBank AG, förutsatt att de grundar sig på ringa försumlighet från DenizBank AG, utesluts.

Klausul 17:

Anmärkning: Kontoinnehavaren ska bära risken för missbruk av referenskortet för små betalningar som görs utan att den personliga koden anges.

Klausul 18:

Det är inte möjligt att blockera små betalningar i händelse av förlust av referenskortet: Det är inte tekniskt möjligt att blockera referenskortet för små betalningar. Vid förlust (exempelvis stöld) av referenskortet kan små betalningar upp till ett belopp på 75 euro, även efter det att kortet blockerats enligt punkt 2.7, göras utan att en personlig kod anges. Dessa belopp kommer inte att återbetalas. Eftersom det rör sig om låga belopp, i den mening som avses i 33 § i lagen om betaltjänster, varvid endast enskilda betalningstransaktioner till ett belopp på högst 25 euro är möjliga, och eftersom det inte finns någon möjlighet att blockera referenskortet för små betalningar som görs utan att personlig kod anges, är 44 § led 3 ZaDiG inte tillämplig.

Klausul 19:

Om särskilda arrangemang inte uttryckligen anges för små betalningar i punkt 3, ska bestämmelserna i punkt 2 också gälla för dem. (korttjänst).”

18.      Den 9 augusti 2016 väckte VKI talan mot DenizBank vid Handelsgericht Wien (Handelsdomstolen i Wien, Österrike).

19.      I dom av den 28 april 2017 biföll Handelsgericht Wien talan såvitt avser klausulerna 14–19. Enligt Handelsgericht Wien är klausul 14 uppenbart oskälig och villkoren för att tillämpa undantaget för betalningsinstrument som avser låga belopp uppfylls inte, eftersom referenskortet också kan användas för andra betalningar. Den ytterligare funktionen hos kontaktfria betalningar utan autentisering ska inte betraktas som betalningsinstrument över huvud taget.

20.      Domen överklagades till Oberlandesgericht (Wiens regionala överdomstol, Österrike), som i dom av den 20 november 2017 delvis bekräftade Handelsgericht Wiens tolkning.

21.      Oberlandesgericht fann att om endast den kontaktfria betalningsfunktionen beaktas föreligger det ingen användning av ett betalningsinstrument, utan det rör sig då om kreditkortstransaktioner via post eller telefon. För detta talar att NFC‑betalningsfunktionen, som fungerar utan PIN-kod, automatiskt kommer att aktiveras för låga belopp, i motsats till ”kontantkort”. Dessutom är betalkortet som används för NFC‑transaktioner inte anonymt, utan både personligt och säkrat med en kod.

22.      Såväl VKI som Denizbank har överklagat domen av den 20 november 2017 till Oberster Gerichtshof (Högsta domstolen, Österrike), som har hänskjutit följande tolkningsfrågor till domstolen:

”1)      Ska artikel 52.6 a i direktiv (EU) 2015/2366 (betaltjänstdirektivet), jämförd med artikel 54.1 i samma direktiv, som föreskriver att betaltjänstanvändarens samtycke ska anses ha getts till en föreslagen ändring i avtalsvillkoren, med undantag för användaren av betaltjänsten som visar betaltjänstleverantören att den motsätter sig ändringen innan de ändrade villkoren träder i kraft, tolkas så, att en medgivandefunktion som gäller alla tänkbara avtalsvillkor utan begränsningar kan överenskommas med en konsument?

2)      a)      Ska artikel 4.14 i betaltjänstdirektivet tolkas så, att NFC‑funktionen hos ett personligt multifunktionellt bankkort som används för små betalningar som dras från det sammankopplade kundkontot är ett betalningsinstrument?

2)      b)      Om fråga 2 a besvaras jakande:

Ska artikel 63.1 b i betaltjänstdirektivet om undantag för betalningar av låga belopp och elektroniska pengar tolkas så, att en kontaktfri betalning, vid användning av NFC‑funktionen hos ett personligt multifunktionellt bankkort, bör betraktas som en anonym användning av betalningsinstrumentet, i den mening som avses i undantaget?

3)      Ska artikel 63.1 b,(6) i betaltjänstdirektivet tolkas så, att en betaltjänstleverantör endast kan förlita sig på detta undantag, om det kan bevisas att betalningsinstrumentet, med hänsyn till det aktuella tekniska utvecklingsstadiet, inte kan blockeras eller att ytterligare användning inte kan förhindras?”

23.      Även om den rättsakt som av tidsmässiga skäl är tillämplig på de faktiska omständigheterna i målet är direktiv 2007/64, har Oberster Gerichtshof (Högsta domstolen) på begäran av EU-domstolen förklarat att den när den prövar en talan rörande giltigheten av avtalsvillkor (”Klauselprozess”), även ska tillämpa direktiv 2015/2366, som gällde då domen meddelades. Mot bakgrund av att innehållet i bestämmelserna i de båda direktiven, i de delar som är relevanta i förevarande mål, är praktiskt taget identiskt,(7) ska jag utgå från bestämmelserna i 2015/2366, vilka den hänskjutande domstolens frågor rör.

24.      Skriftliga yttranden har inkommit från VKI, DenizBank, kommissionen samt den portugisiska och den tjeckiska regeringen. Förhandling hölls den 13 februari 2020 i närvaro av VKI, DenizBank och kommissionen.

III. Bedömning

25.      Den hänskjutande domstolens fyra frågor kan bedömas i en annan ordning än den i vilken de ställts och några av dem kan slås samman. Sålunda ska jag

–      för det första, undersöka om betalkortens NFC‑funktion gör det möjligt att beteckna denna funktion som ett betalningsinstrument (fråga 2 a),

–      för det andra, behandla användningen av kort med NFC‑funktion som anonyma betalningsinstrument som inte kan blockeras (fråga 2 b och fråga 3),

–      avslutningsvis, ta upp möjligheterna att underförstått ändra villkoren i ramavtalet (fråga 1).

26.      Även om DenizBank har påtalat att det är lämpligt att begränsa rättsverkningarna i tiden av en dom som är till nackdel för banken, anser jag inte att det är lämpligt att besluta om en sådan åtgärd, vilket varken den hänskjutande domstolen eller de övriga medverkande parterna i målet har yrkat. Dessutom har DenizBank bara anfört allmänna argument rörande domens eventuella ekonomiska konsekvenser, men inte pekat på några konkreta omständigheter för att denna begränsning ska kunna grundas på att de berörda handlat i god tro och att det föreligger en risk för allvarliga störningar, vilket krävs enligt domstolens rättspraxis.(8)

A.      De personliga betalkortens NFCfunktion som betalningsinstrument (fråga 2 a)

27.      Den hänskjutande domstolen vill veta om ”NFC‑funktionen hos ett personligt multifunktionellt bankkort … är ett betalningsinstrument”, i den mening som avses i artikel 4.14 i direktiv 2015/2366.

28.      I den bestämmelsen föreskrivs att ett betalningsinstrument är ”personlig(a) anordning(ar) och/eller rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används för att initiera en betalningsorder”.

29.      Enligt domstolens dom T‑Mobile Austria,(9) kan ett betalningsinstrument vara

–      personligt, vilket gör det möjligt för betaltjänstleverantören att kontrollera att betalningsordern getts av en användare som är behörig att göra detta,

–      anonymt eller icke personligt, vilket innebär att betaltjänstleverantörerna inte är skyldiga att lägga fram bevis för autentiseringen av transaktionen.

30.      Förekomsten av sådana icke personliga betalningsinstrument innebär att begreppet som definieras i artikel 4.14 i direktiv 2015/2366 kan innefatta icke personliga rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används av betaltjänstanvändaren för att initiera en betalningsorder.(10)

31.      I samma dom besvarade domstolen de frågor som uppkommit på grund av skillnaderna i hur adjektivet ”personligt” används i de olika språkversionerna av artikel 4.23 i direktiv 2007/64,(11) vars innehåll är praktiskt taget identiskt med innehållet i den nuvarande artikel 4.14 i direktiv 2015/2366.

32.      En definition av begreppet betalningsinstrument där epitetet ”personlig(a)” hänvisar såväl till en anordning som till rutiner, finns bara i den tyska språkversionen.(12) Mot bakgrund av de övriga språkversionerna och av syftet med direktiv 2015/2366, kan det konstateras att definitionen av begreppet ”betalningsinstrument” rymmer både personliga och icke personliga eller anonyma instrument.(13)

33.      Det stämmer visserligen, så som den portugisiska regeringen har påpekat, att bankkort inte uttryckligen betecknas som betalningsinstrument i direktiv 2015/2366. Enligt punkt 3 b i bilaga I till direktivet, avses emellertid med betaltjänster bland annat ”genomförande av betalningstransaktioner med kontokort eller liknande utrustning”.

34.      I artikel 2.15 i förordning (EU) 2015/751(14) definieras dessutom kontokort som ”en kategori betalningsinstrument som gör det möjligt för betalaren att initiera en debetkorts- eller kreditkortstransaktion”.

35.      Enligt artikel 2.7 i samma förordning avses med ”kortbaserad betalningstransaktion” ”en tjänst som grundas på infrastruktur och affärsregler för en betalningsordning för kontokort för att göra en betalningstransaktion med hjälp av utrustning eller programvara för kort, telekommunikation, digital teknik eller informationsteknik om detta leder till en debetkorts- eller kreditkortstransaktion. I de kortbaserade betalningstransaktionerna ingår inte transaktioner som grundar sig på andra typer av betaltjänster”.

36.      Av dessa bestämmelser i direktiv 2015/2366 och förordning 2015/751 (som det finns ett nära samband mellan) följer att betalkort är betalningsinstrument, i den mening som avses i det direktivet. Ett multifunktionellt bankkort som det som utfärdas av Denizbank kan således anses vara ett betalningsinstrument som omfattas av direktiv 2015/2366.

37.      Den typen av kort har en dubbel karaktär eller funktion:

–      Å ena sidan är de knutna till en viss kund som tydligt kan identifieras, vilket innebär att de kan användas som personliga betalningsinstrument, när kunden ger banken tillstånd att betala mottagaren genom att ange en PIN-kod eller genom en underskrift. Det kan dessutom fastställas att användningen av bankkortet som ett personligt betalningsinstrument är den enda möjliga för alla betalningstransaktioner. Jag anser att bankkort som bara har den funktionen utan tvekan omfattas av bestämmelserna i direktiv 2015/2633 och dess tillämpningsföreskrifter.

–      Å andra sidan kan de ha ytterligare en funktion, nämligen NFC‑funktionen, vilket är fallet med de kort som DenizBank utfärdar. NFC‑funktionen hos dessa kort, såväl kreditkort som debetkort, gör det möjligt att betala för ett köp med hjälp av RFID-teknik som lagts in i själva kortet. Köparna betalar genom att hålla kortet mot en betalterminal, utan att kortets magnetremsa behöver dras genom läsaren. Det räcker att det finns en trådlös kommunikation mellan kortet med NFC‑funktion och betalterminalen för att bekräfta transaktionen, oavsett vem som då förfogar över kortet, och det krävs ingen PIN-kod eller manuell underskrift av innehavaren.(15) Det rör sig således om ett avpersonifierat eller anonymt betalningsförfarande.

38.      NFC‑funktionen hos ett personligt multifunktionellt bankkort kan hänföras till kategorin anonymt betalningsinstrument, eftersom den inte utgör personliga rutiner, som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används av betaltjänstanvändaren för att initiera en betalningsorder, i den mening som avses i artikel 4.14 i direktiv 2015/2366.

39.      För att genomföra betalningen krävs det som sagt bara att man har tillgång till ett kort med NFC‑funktion. Det innebär att utomstående, även obehöriga sådana, skulle kunna använda det. Denna betydande risk förklarar varför NFC‑funktionen i kortet bara kan användas för betalningar av låga belopp med en låg högsta beloppsgräns (i förevarande fall 25 euro).

40.      Som jag nämnt ovan utgörs anonyma betalningsinstrument av icke personliga rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om. Den hänskjutande domstolen måste pröva huruvida det har förelegat ett sådant avtal i förevarande mål. Enligt VKI aktiverar Denizbank det personliga multifunktionella bankkortets NFC‑funktion automatiskt, även utan användarens samtycke.(16)

41.      Att beteckna NFC‑funktionen hos ett personligt multifunktionellt bankkort som ett anonymt betalningsinstrument är den lösning som bäst överensstämmer med en tolkning utifrån syftet(17) med artikel 4.14 i direktiv 2015/2366 och den överensstämmer även med direktivets övriga syften som beskrivs i skälen 5 och 6.

42.      Det förstärkta skyddet för konsumenter (användare av kort med NFC‑funktion) och främjandet av en lojal och öppen konkurrens mellan de finansinstitut som utfärdar dem, talar för att dessa kort ska betecknas som betalningsinstrument som omfattas av direktiv 2015/2366. Det innebär att de omfattas av de garantier som föreskrivs i själva direktivet för att stärka konsumenternas förtroende för en harmoniserad betalningsmarknad.

43.      För en sådan bedömning talar även artikel 11 i delegerad förordning (EU) 2018/389,(18) vilken reglerar ”kontaktfria betalningar vid försäljningsställe”, som ett sätt att främja utvecklingen av användarvänliga betaltjänster som kännetecknas av låg risk.(19)

44.      Enligt denna bestämmelse behöver betaltjänstleverantörerna inte tillämpa sträng kundautentisering(20) om betalaren initierar en elektronisk betalningstransaktion på distans, under förutsättning att följande villkor är uppfyllda:

a)      Värdet av den elektroniska betalningstransaktionen på distans är högst 50 euro.

b)      Det ackumulerade värdet av tidigare elektroniska betalningstransaktioner på distans som initierats av betalaren sedan den senaste tillämpningen av sträng kundautentisering är högst 150 euro.

c)      Högst fem på varandra följande kontaktfria elektroniska betalningstransaktioner har initierats via betalningsinstrument med kontaktfri funktion sedan dagen då sträng kundautentisering senast tillämpades.

45.      Det ligger i sakens natur att betalningar som görs via anonyma betalningsinstrument (som ett betalkort med NFC‑funktion), inte kan omfattas av kravet på sträng kundautentisering,(21) och detta undantag(22) gäller även andra instrument.(23)

46.      Den tjeckiska regeringen har emellertid gjort gällande att betalningsinstrumentet utgörs av det personliga multifunktionella betalkortet i sig och att NFC‑funktionen bara är ett av flera sätt som kortet kan användas på. Enligt den tjeckiska regeringen är kortet inte ett anonymt betalningsinstrument, utan det kan helt enkelt användas för betalning av låga belopp på ett mindre säkert sätt, där kundautentiseringen sker med hjälp av NFC‑teknik (det vill säga utan att kortinnehavaren behöver använda sig av ett säkerhetselement som sin underskrift eller en PIN-kod).

47.      Jag instämmer inte i detta argument. Som jag tidigare nämnt anser jag att den typ av kort som DenizBank utfärdar innehåller två olika betalningsinstrument, nämligen följande:

–      En personlig anordning som kräver att ett eller flera säkerhetselement används (sträng kundautentisering) och som är förbehållen betalningar av en viss storlek.

–      Rutiner för betalning av låga belopp utan att dessa säkerhetselement används, genom användning av NFC‑funktionen.

48.      Principen om teknikneutralitet, som ligger till grund för olika bestämmelser i direktiv 2015/2366 och som nämns i skäl 21,(24) talar för att dessa två funktioner i ett och samma bankkort ska anses vara två olika betalningsinstrument.

49.      Det beror på att det förutom det traditionella instrumentet (det klassiska personliga betalkortet)(25) nyligen har tillkommit ett annat, NFC‑funktionen, som utgör ett annat betalningsinstrument som omfattas av ett annat regelverk. Det fysiska mediet är identiskt (kortet som banken utfärdar), men det innehåller nu två olika betalningsinstrument.

50.      Denna tolkning är som nämnts den som bäst överensstämmer med principen om teknikneutralitet i direktiv 2015/2366, vars bestämmelser inte får hindra utvecklingen av nya betalningsinstrument och betaltjänster, i takt med att den tekniska utvecklingen gör det möjligt. Det ska inte finnas något som hindrar att det i framtiden förs in andra betalningsinstrument i ett kort, utöver den personliga funktionen och NFC‑funktionen som redan nu är möjliga.

51.      Sammanfattningsvis bör NFC‑funktionen hos ett personligt multifunktionellt bankkort betecknas som ett betalningsinstrument, i den mening som avses i artikel 4.14 i direktiv 2015/2366.

B.      Användningen av kort med NFCfunktion som anonyma betalningsinstrument som inte kan blockeras (fråga 2 b och fråga 3),

52.      Den hänskjutande domstolen undrar om en kontaktfri betalning av ett lågt belopp, vid användning av NFC‑funktionen, bör betraktas som ”en anonym användning av betalningsinstrumentet”, i den mening som avses i undantaget i artikel 63.1 b i direktiv 2015/2366.

53.      Genom fråga 3 vill den hänskjutande domstolen dessutom veta om artikel 63.1 a i direktivet är tillämplig i ett sådant fall, i vilken det föreskrivs ett undantag som liknar (men inte är identiskt med) det ovannämnda, när ”betalningsinstrumentet inte kan blockeras eller ytterligare användning inte kan förhindras”.

54.      I artikel 63 i direktiv 2015/2366 föreskrivs ett antal undantag för betalningsinstrument för låga belopp (och för elektroniska pengar, men det är inte relevant här), som innebär att rättigheter och skyldigheter med avseende på tillhandahållande och användning av betaltjänster, som föreskrivs i avdelning IV, inte ska tillämpas.

55.      Artikel 63.1 handlar om vissa specifika betalningsinstrument, nämligen sådana ”som enligt ramavtalet endast avser enskilda betalningstransaktioner på högst 30 EUR eller som antingen har en utgiftströskel på 150 EUR eller lagrar medel som aldrig överstiger 150 EUR”.

56.      I sådana fall får betaltjänstleverantörerna avtala med betaltjänstanvändarna att inte tillämpa vissa rättigheter eller skyldigheter som föreskrivs i andra bestämmelser i direktiv 2015/2366:

–      Om betalningsinstrumentet ”inte kan blockeras eller dess vidare användning förhindras” (punkt 1 a), får parterna avtala om att inte tillämpa artikel 69.1 b,(26) artikel 70.1 c och d(27) och artikel 74.3.(28)

–      Om betalningsinstrumentet ”används anonymt eller om betaltjänstleverantören av andra till betalningsinstrumentet knutna skäl inte kan bevisa att en betalningstransaktion var auktoriserad” (punkt 1 b), får parterna avtala om att inte tillämpa artikel 72,(29) artikel 73(30) eller artikel 74.1 och 74.3.(31)

1.      Skyldigheter för den utfärdande banken om korten inte kan blockeras eller deras vidare användning förhindras

57.      Med det första undantaget (artikel 63.1 a) införs ett system för ”mildrat” ansvar för den bank som utfärdat betalkortet.

58.      Om kortet inte kan blockeras eller dess ”vidare användning” inte kan förhindras (till exempel vid onormal användning på grund av att kortet har förlorats, stulits, missbrukats eller använts utan auktorisation), får banken avtala med sina kunder om att den inte ska ha sådana allmänna skyldigheter som föreskrivs i direktivet, att möjliggöra blockering av kortet och förhindra dess vidare användning vid onormal användning.

59.      Så som den hänskjutande domstolen med rätta påpekar, får en bank som utfärdar ett kort med NFC‑funktion bara omfattas av detta undantag om den kan bevisa att det inte är tekniskt möjligt att blockera kortet eller förhindra dess vidare användning, i de ovannämnda fallen. Det åligger banken att bevisa att detta inte möjligt, eftersom undantaget ska tolkas restriktivt.

60.      Den hänskjutande domstolen tillägger också med rätta att om banken inte skulle vara skyldig att bevisa att kortet inte kan blockeras, skulle det räcka att den marknadsför ett tekniskt sett mediokert kort (utan någon som helst blockering) för att konsumenternas intressen ska skadas, och därmed övervältras den risk som är förknippad med icke auktoriserade betalningar på dessa.

61.      Jag instämmer i dessa bedömningar. I annat fall skulle undantaget från ansvar strida mot skäl 91(32) och artikel 73 i direktiv 2015/2366, vilka ålägger betaltjänstleverantören en skyldighet att garantera säkerheten vid betalningar och att ta ansvar för (om än med en mindre begränsning) icke auktoriserade betalningstransaktioner.

62.      Det ankommer på den hänskjutande domstolen att pröva detta, men allt tyder på att den tekniska utvecklingen gjort det möjligt för en bank att blockera ett personligt multifunktionellt betalkort.(33) Vissa bestämmelser i direktivet (bland annat artiklarna 69, 70 och 74) förutsätter att detta är möjligt. Det förefaller således inte som om införlivandet av NFC‑funktionen i korten hindrar att de blockeras.

63.      Om så är fallet utgör artikel 63.1 a i direktiv 2015/2366 hinder för en klausul i ett ramavtal som den som Denzibank föreskriver (klausul 18), enligt vilken ”det … inte [är] tekniskt möjligt att blockera referenskortet för små betalningar” (och som nekar återbetalning av vissa felaktigt betalda belopp, vid förlust eller stöld av kortet).

2.      Den utfärdande bankens ansvar när betalningsinstrumentet används anonymt

64.      Den hänskjutande domstolen vill veta om användningen av NFC‑funktionen hos ett personligt multifunktionellt betalkort kan omfattas av uttrycket ”används anonymt”, vilket motsvarar undantaget i artikel 63.1 b i direktiv 2015/2366.

65.      Jag vill erinra om att den bestämmelsen föreskriver ett mildrat ansvar för betaltjänstleverantören om betalningsinstrumentet används anonymt eller om ”betaltjänstleverantören av andra till betalningsinstrumentet knutna skäl inte kan bevisa att en betalningstransaktion var auktoriserad”.

66.      Såsom den hänskjutande domstolen och kommissionen påpekar, har dessa båda fall det gemensamt att det inte går att bevisa vem som i själva verket auktoriserade betalningstransaktionen. Detta förklarar eventuellt varför domstolen i domen T‑Mobile Austria behandlade undantaget i artikel 53.1 b i direktiv 2007/64 generellt, utan att göra åtskillnad mellan de båda ovannämnda omständigheterna.(34)

67.      De argument jag tidigare anfört(35) fick mig att förespråka att NFC‑funktionen hos ett personligt multifunktionellt bankkort ska anses ingå i kategorin anonymt betalningsinstrument. Jag vill dessutom tillägga att det måste göras åtskillnad mellan identifieringen av kortinnehavaren (vilket alltid är möjligt, eftersom kortet är personligt) och den auktorisering av betalningen som görs av den som har kortet i sin besittning (vilket inte behöver vara kortinnehavaren, om det har förlorats, stulits, kapats eller missbrukats).

68.      En auktorisering av en betalning med NFC‑funktionen hos ett personligt betalkort kräver bara en enkel autentisering (som bara bevisar innehavet) och inte någon sträng autentisering (vilket är fallet när det krävs en PIN-kod eller en underskrift). En sådan auktorisering av en betalning kan därför anses vara anonym, eftersom den bank som utfärdar korten inte kan bevisa om det verkligen är kortinnehavaren som har auktoriserat betalningen, och inte någon annan som har stulit, kapat eller missbrukat kortet.

69.      Den omständigheten att NFC‑funktionen hos ett personligt betalkort är anonym har sina fördelar och nackdelar:

–      Å ena sidan möjliggör den en snabbare behandling av betalningarna och främjar utvecklingen av nya betaltjänster och betalningsmetoder, i enlighet med de mål som eftersträvas med direktiv 2015/2366.(36)

–      Å andra sidan medför den en risk för missbruk av kortet, som undgår innehavarens och den utfärdande bankens kontroll. För att minimera denna risk medger NFC‑funktionen, som jag tidigare har betonat, bara betalning av låga belopp (upp till 30 euro) och det finns alltid en högsta beloppsgräns (150 euro).

70.      Inom ramen för dessa gränser utgörs avvägningen i direktiv 2015/2366 av att om innehavaren av ett personligt betalkort går med på att det innehåller en NFC‑funktion, tillämpas undantaget i artikel 63.1 b i direktiv 2015/2366. Följaktligen är avtalsvillkor som innehåller detta undantag, vilket tycks vara fallet med klausulerna 15, 16 och 17 i DenizBanks ramavtal, förenliga med det direktivet.

71.      Sammanfattningsvis kan en kontaktfri betalning av ett lågt belopp vid användning av NFC‑funktionen betecknas som en ”anonym” användning av ett personligt multifunktionellt betalkort, i den mening som avses i artikel 63.1 b i direktiv 2015/2366.

C.      Tolkningsfråga 1: underförstådd ändring av klausulerna i ett ramavtal

72.      Den hänskjutande domstolen vill veta om artikel 52.6 a i direktiv 2015/2366, jämförd med artikel 54.1 i samma direktiv, ska tolkas så att användaren samtycker till den ändring av avtalsvillkoren som betaltjänstleverantören föreslår om han eller hon inte motsätter sig ändringen.

73.      Om en sådan tolkning skulle godtas, tillägger den hänskjutande domstolen, skulle banken ”helt obegränsat kunna komma överens med en konsument om en medgivandefunktion som gäller alla tänkbara avtalsvillkor”.

74.      I artikel 52.6 a i direktiv 2015/2366 föreskrivs att ”[o]m så avtalats, … [ska] betaltjänstanvändaren … anses ha godkänt de ändrade villkoren i enlighet med artikel 54, om betaltjänstanvändaren inte före den dag då de föreslås träda i kraft underrättar betaltjänstleverantören om att de inte godkänns”.(37)

75.      Skyldigheten att lämna förhandsinformation till konsumenterna utgör en central del i det unionsrättsliga konsumentskyddet. I ett sammanhang där ett stort antal avtal ingås och det råder en uppenbar obalans mellan betaltjänstleverantören och konsumenterna, hjälper förhandsinformationen konsumenterna att fatta välgrundade beslut. Den skyddar dessutom deras avtalsfrihet och gör det möjligt för dem att ta ställning till det utbud som finns på marknaden, samt främjar klarhet vid genomförande av avtal.(38)

76.      Direktiv 2015/2366 återspeglar denna inriktning, såväl i skälen (bland annat skäl 59),(39) som i artiklarna 51–54.(40)

77.      I artikel 51 regleras i vilken form förhandsinformation ska lämnas till betaltjänstanvändarna och hur det ska ske. I artikel 52 anges den detaljerade och exakta information som betaltjänstleverantören ska lämna till användaren.(41)

78.      En del av denna information är den som rör ändringar i ramavtalet, vilka regleras i den ovan återgivna artikel 52.6 a i direktivet. Betaltjänstleverantören och användaren får i undantagsfall avtala om ett underförstått medgivande till ändring av avtalsvillkoren (”om så avtalats”).

79.      Klausul 14 i ramavtalet mellan DenizBank och dess kunder innehåller denna möjlighet. Där föreskrivs ett underförstått medgivande till ändringar som banken har föreslagit (och underrättat kunden om), och det anges att kunden anses godta dem om han eller hon inte motsätter sig dem.(42)

80.      Enligt DenizBank, innefattar det underförstådda medgivandet, vilket är tillåtet enligt artikel 52.6 a i direktiv 2015/2366, alla typer av ändringar i avtal. DenizBank anser att det inte är realistiskt och att det är mycket svårt att få betaltjänstanvändarna att uttryckligen ge sitt samtycke till ändringar av ett avtal som det som innehåller regelverket för personliga multifunktionella bankkort.

81.      Ett underförstått medgivande till ändringar är enligt DenizBank en nödvändig mekanism i bankens affärsmodell. Den kan inte anses vara till skada för konsumenternas intressen, eftersom den lättare och snabbare ger dem tillgång till förbättringar av deras betalningsinstrument eller till nya tekniska framsteg, vilket är fallet med den NFC‑funktion som korten har försetts med.

82.      Jag anser att den möjlighet till underförstått medgivande till ändringar av avtalsvillkor, som föreskrivs i artikel 52.6 a i direktiv 2015/2366 om användaren och betaltjänstleverantören har avtalat om det, ska tolkas restriktivt om innehållet i ändringarna är till nackdel för konsumenten.

83.      Denna möjlighet utgör ett undantag till huvudprincipen att ändringar av ramavtalet, liksom de ursprungliga villkoren, uttryckligen måste godkännas av användaren.

84.      För en sådan restriktiv tolkning talar de mål som eftersträvas med direktiv 2015/2366 (däribland konsumentskyddet) och den systematiska placeringen av artikel 52.6 a bland bestämmelserna om förhandsinformation som betaltjänstleverantören under alla förhållanden ska lämna till användaren, för att uppväga det underläge som denne befinner sig i. Det föreligger, som jag tidigare nämnt, en informationsobalans, både när det inledande medgivandet ska lämnas till att ingå ramavtalet som vid medgivande till efterföljande ändringar.

85.      Jag anser liksom den hänskjutande domstolen och kommissionen att ett eventuellt underförstått medgivande inte kan omfatta alla villkoren i ramavtalet. Det skulle i praktiken innebära att betaltjänstleverantören ges en näst intill absolut och de facto ensidig rätt att ändra avtalet. Erfarenheterna visar att de flesta konsumenter inte gör någon kritisk granskning av förslag till ändringar av villkoren i deras avtal, särskilt inte om de är tekniskt eller juridiskt komplicerade.

86.      Vid förhandlingen medgav DenizBank att dess bankpraxis utesluter användning av underförstått medgivande vid väsentliga ändringar av avtalsvillkoren. Den förklarade emellertid inte på något övertygande sätt varför klausul 14 i ramavtalet inte följer denna praxis och på vilket sätt den bara gäller mindre viktiga ändringar i avtalsförhållandet.

87.      Möjligheten att tillämpa underförstått medgivande till ändringar kan enligt min uppfattning bara gälla mindre viktiga ändringar av villkoren i ett ramavtal, under förutsättning att de garantier som direktiv 2015/2366 föreskriver iakttas.(43)

88.      Som jag tidigare har nämnt innebär den omständigheten att NFC‑funktionen införlivas i ett personligt multifunktionellt betalkort för kontaktlösa betalningar för låga belopp ett nytt betalningsinstrument. Det rör sig således antingen om en ny tjänst, som bör bli föremål för att nytt tilläggsavtal, eller om en väsentlig ändring av villkoren i det tidigare ramavtalet(44) (som reglerade förhållandena mellan den bank som utfärdat kortet och konsumenten).

89.      I båda fallen (ett nytt avtal eller en objektiv novation avseende en väsentlig del av det tidigare avtalet), bör konsumenten efter att denne informerats om fördelarna och riskerna med kortets NFC‑funktion, ge sitt uttryckliga, tydliga medgivande till detta betalningsinstrument, vilket inte är förenligt med ett underförstått medgivande.

IV.    Förslag till avgörande

90.      Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara tolkningsfrågorna från Oberster Gerichtshof (Högsta domstolen, Österrike), enligt följande:

1)      Närfältskommunikationsfunktionen (NFC) hos ett personligt mulitifunktionellt betalkort ska betecknas som ett betalningsinstrument, i den mening som avses i artikel 4.14 i Europaparlamentets och rådets direktiv (EU) 2015/2366/EG av den 25 november 2015 om betaltjänster på den inre marknaden.

2)      En kontaktfri betalning av ett lågt belopp vid användning av NFC‑funktionen ska betecknas som en ’anonym’ användning av ett personligt multifunktionellt betalkort, i den mening som avses i artikel 63.1 b i direktiv 2015/2366.

3)      En bank som utfärdar ett personligt multifunktionellt betalkort som har försetts med NFC‑funktion får omfattas av det undantag som föreskrivs i artikel 63.1 a i direktiv 2015/2366 om den kan bevisa att det inte är tekniskt möjligt att blockera kortet eller att förhindra dess vidare användning, om det har förlorats, stulits, missbrukats eller använts utan auktorisation.

4)      Möjligheten till underförstått medgivande till ändringar av ramavtalet, vilken tillåts enligt artikel 52.6 a i direktiv 2015/2366 om användaren och betaltjänstleverantören ingår avtal om det, ska tolkas restriktivt och den får inte tillämpas på ändringar av väsentliga delar av ramavtalet, som ändringar rörande införlivande av NFC‑funktionen i ett betalkort.


1      Originalspråk: spanska.


2      Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (EUT L 319, 2007, s. 1).


3      Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 2015, s. 35). Direktiv 2007/64 upphävdes med verkan från den 13 februari 2018.


4      Införlivandet av NFC‑tekniken i kontaktlösa (contactless) kort gör det möjligt att upprätta en trådlös förbindelse mellan kortet och en näraliggande kompatibel terminal, utan att det krävs någon annan åtgärd. NFC är en trådlös kommunikationsteknik, för korta sträckor och med hög frekvens, som möjliggör en nästan omedelbar överföring av uppgifter mellan olika enheter. Den används i olika applikationer, däribland kreditkort och bankkort, och i allt högre utsträckning i mobiltelefoner. NFC‑standarderna omfattar kommunikationsprotokoll och format för uppgiftsutbyte, vilka främst bygger på standarden ISO 14443, som handhas gemensamt av Internationella standardiseringsorganisationen (ISO) och Internationella elektrotekniska kommissionen (IEC).


5      2018 års lag om betaltjänster (nedan kallad ZaDiG), vilken införlivade direktiv 2015/2366 med österrikisk rätt.


6      Den hänskjutande domstolen har senare korrigerat denna fråga, på så sätt att den avser artikel 63.1 a och inte 63.1 b i direktiv 2015/2366.


7      Vid förhandlingen påpekade kommissionen att direktiv 2015/2366 har lagt större tonvikt på konsumentskydd i samband med betaltjänster än direktiv 2007/64.


8      Det följer av fast rättspraxis att det endast är i undantagsfall som domstolen, med tillämpning av den allmänna rättssäkerhetsprincip som ingår i unionens rättsordning, kan se sig föranledd att begränsa berörda personers möjlighet att åberopa en av domstolen tolkad bestämmelse i syfte att ifrågasätta rättsförhållanden som tillkommit i god tro. För att en sådan begränsning ska kunna komma i fråga ska två väsentliga kriterier vara uppfyllda, nämligen att de berörda handlat i god tro och att det föreligger en risk för allvarliga störningar (se, bland annat, dom av den 27 februari 2014, Transportes Jordi Besora, C‑82/12, EU:C:2014:108, punkt 41, dom av den 19 april 2018, Oftalma Hospital, C‑65/17, EU:C:2018:263, punkt 57, och dom av den 3 oktober 2019, Schuch-Ghannadan, C‑274/18, EU:C:2019:828, punkterna 60–62).


9      Dom av den 9 april 2014 (C‑616/11, EU:C:2014:242; nedan kallad domen T-Mobile Austria) punkterna 33 och 34.


10      Ibidem, punkt 35.


11      Domstolen konstaterade att i samtliga språkversioner hänvisar epitetet ”personlig(a)” till syntagmen ”anordning(ar)”. I den franska språkversionen (”tout dispositif personnalisé et/ou ensemble de procédures”), som härvid sammanfaller med den spanska, den italienska, den ungerska, den portugisiska och den rumänska språkversionen, hänvisar epitetet ”personlig(a)” emellertid inte till syntagmen ”rutiner”. I den tyska versionen däremot (”jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf”), hänvisar epitetet ”personlig(a)” till syntagmen ”rutiner”. Den engelska versionen (”any personalised device(s) and/or set of procedures”), som bland annat sammanfaller med den danska, den grekiska, den nederländska, den finska och den svenska språkversionen, kan läsas på båda sätten (domen T-Mobile Austria, punkt 31, samt generadvokat Wathelets förslag till avgörande i samma mål, vilket föredrogs den 19 april 2014, EU:C:2013:691, punkt 36).


12      Det är möjligt att doktrinens polemik rörande denna fråga i Österrike till stor del beror på ordalydelsen av den tyska språkversionen av artikel 4.23 i direktiv 2007/64 (”jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf”).


13      Domen T-Mobile Austria, punkt 35 in fine: ”… begreppet betalningsinstrument som definieras i artikel 4.23 i samma direktiv kan omfatta icke personliga rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som används av betaltjänstanvändaren för att initiera en betalningsorder”.


14      Europaparlamentets och rådets förordning (EU) 2015/751 av den 29 april 2015 om förmedlingsavgifter för kortbaserade betalningstransaktioner (EUT L 123, 2015, s. 1).


15      Beträffande användningen av kontaktfria betalningsinstrument hänvisar jag till Europeiska centralbankens analys Card payments in Europe – current landscape and future prospects: a Eurosystem perspective, 2019, som finns på https://www.ecb.europa.eu/pub/pubbydate/2019/html/ecb.cardpaymentsineu_currentlandscapeandfutureprospects201904~30d4de2fc4.en.html#toc1, samt till European Cards Stakeholders Groups analys Feasibility Study on the development of open specifications for a card and mobile contactless payment application, 2017, https://www.ecb.europa.eu/paym/groups/erpb/shared/pdf/7th-ERPB-meeting/Annex_to_Stat_past_ERPB_Recommendations_ECSG_Interim_Report_contatless_feasibility_study_and_progress_indicators.pdf?115946678f056d5ccc9eba5f72cb4a88.


16      Vid förhandlingen tillbakavisade DenizBank inte helt detta påstående från VKI. DenizBank bekräftade att det inte alltid är säkert att en användare som får kortet per post (vilket enligt DenizBank är det vanliga förfarandet) är medveten om att kortet har en aktiverad NFC‑funktion.


17      Domstolen har använt sig av den teleologiska metoden då den tolkat andra begrepp i direktiv 2007/64, som var föregångare till direktiv 2015/2366. Se dom av den 25 januari 2017, BAWAG (C‑375/15, EU:C:2017:38), punkterna 40–45, beträffande begreppet ”varaktigt medium”, i den mening som avses i punkt 4.25 i direktiv 2007/64, av den 22 mars 2018, Rasool (C‑568/16, EU:C:2018:211), punkterna 30–39, avseende begreppet ”betaltjänst” i den mening som avses i artikel 4.3, och av den 4 oktober 2018, ING-DiBa Direktbank Austria (C‑191/17, EU:C:2018:809), avseende begreppet ”betalkonto” i den mening som avses i artikel 4.14.


18      Kommissionens delegerade förordning av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (EUT L 69, 2018, s. 23).


19      Skäl 11 i delegerad förordning 2018/389.


20      Enligt artikel 4.30 i direktiv 2015/2366, avses med ”stark kundautentisering” ”en autentisering som grundas på användning av två eller flera element, kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det faktum att någon har kommit över ett av elementen inte äventyrar de andra elementens tillförlitlighet, och som är utformad för att skydda autentiseringsuppgifternas sekretess”. Denna starka autentisering, vilken föreskrivs för att uppnå säkrare elektroniska betaltjänster för konsumenterna som ger ett starkare skydd för deras personuppgifter, innebär att minst två av dessa säkerhetselement används: Något som bara användaren vet, som ett lösenord eller en sifferkod; något som bara användaren har, som hans eller hennes mobiltelefon; någon unik egenskap hos användaren, som hans eller hennes röst eller fingeravtryck.


21      Skäl 8 i delegerad förordning 2018/389.


22      ”Undantagen” från principen om sträng kundautentisering fastställs i delegerad förordning 2018/389, då den genomför artikel 97 i direktiv 2015/2366, baserat på betalningstransaktionens risknivå, belopp, huruvida den upprepas och den betalningskanal som används vid utförandet av betalningstransaktionen.


23      Artiklarna 10–18 i delegerad förordning 2018/389 föreskriver andra undantag från kravet på sträng kundautentisering, vid betalkontoinformation, obemannade terminaler för transport- och parkeringsavgifter, betrodda betalningsmottagare, återkommande transaktioner, kreditöverföringar mellan konton som innehas av samma fysiska eller juridiska person, transaktioner av begränsat värde samt säkra processer och protokoll för företagsbetalningar.


24      ”Definitionen av betaltjänster bör vara teknikneutral och medge utveckling av nya typer av betaltjänster, samtidigt som likvärdiga driftsvillkor säkerställs för både befintliga och nya betaltjänstleverantörer.”


25      Ett betalkort kan även innehålla två olika funktioner när det kan användas som kreditkort och som debetkort, vilket innebär att ett och samma bankkort innehåller två personliga betalningsinstrument.


26      Skyldighet för användare att underrätta betaltjänstleverantören så snart de erfar att betalningsinstrumentet förlorats, stulits, missbrukats eller använts utan auktorisation.


27      Skyldighet för betaltjänstleverantören att se till att användare har möjlighet att begära att en blockering av betalningsinstrumentet hävs.


28      Betalaren ska inte bära några ekonomiska konsekvenser av användningen av ett betalningsinstrument som förlorats, stulits eller missbrukats.


29      Skyldighet för betaltjänstleverantören att styrka att betalningstransaktionen har autentiserats och genomförts.


30      Betaltjänstleverantörens ansvar för icke auktoriserade betalningstransaktioner.


31      Betalarens ansvar att stå för sådana förluster vid alla icke auktoriserade betalningstransaktioner upp till 50 EUR som är en följd av att ett förlorat eller stulet betalningsinstrument använts eller av att ett betalningsinstrument missbrukats, om betalaren handlat bedrägligt eller underlåtit att uppfylla sina skyldigheter att använda instrumentet på lämpligt sätt och att skydda säkerhetsbehörighetsuppgifterna (punkt 1), och att betalaren inte ska bära några ekonomiska konsekvenser av användningen av ett betalningsinstrument som förlorats, stulits eller missbrukats (punkt 3).


32      ”Betaltjänstleverantörerna är ansvariga för säkerhetsåtgärder. Dessa åtgärder måste stå i proportion till de berörda säkerhetsriskerna. Betaltjänstleverantörer bör inrätta en ram för att minska riskerna och upprätthålla effektiva incidenthanteringsförfaranden …”


33      Detta medgav DenizBank vid förhandlingen, då den svarade på VKI:s yttrande. VKI hade gjort gällande att ”nästan alla österrikiska banker, med undantag av motparten, föreskriver i sina allmänna försäljningsvillkor att kortets NFC‑funktion ska blockeras efter ett meddelande om blockering, vilket också … görs” (VKI:s skriftliga yttrande, punkt 5).


34      Domen T-Mobile Austria, punkt 34.


35      Punkterna 36–51 i detta förslag till avgörande.


36      Se skälen 15, 21 och 96 i direktiv 2015/2366. I punkt 28 i dom av den 21 mars 2019, Tecnoservice Int. (C‑245/18, EU:C:2019:242), utgick domstolen från de mål som eftersträvar direktbehandling och snabbare betalningar i skäl 40 och skäl 43 i direktiv 2007/64 då den tolkade artikel 74.2 i direktivet på ett sätt ”som innebär att ansvaret begränsas för både betalarens och betalningsmottagarens betaltjänstleverantör, varvid de undantas från skyldigheten att kontrollera om den unika identifikationskod som lämnats av betaltjänstanvändaren verkligen motsvarar den person som angetts som mottagare”.


37      I det fallet har betaltjänstanvändaren rätt att avgiftsfritt avsluta ramavtalet när som helst fram till den dag då ändringarna skulle ha tillämpats.


38      I facklitteraturen finns det vissa tvivel om den verkliga nyttan av att lämna den här typen av information, när det rör sig om finanssektorn. Det finns de som anser att den lämpligaste lösningen är en förhandsreglering av avtalsvillkoren, i stället för en utökning av förhandsinformationen. Se exempelvis Alfaro, J.: ”Att lämna information till mindre sofistikerade konsumenter – med lägre utbildningsnivå – gynnar inte dem, eftersom deras kostnader för att ta till sig, bearbeta och förstå konsekvenserna av den information de får är höga, så höga att det inte är rationellt att investera tid och möda i att försöka förstå den, även om bankerna spontant lämnar den till dem, vilket innebär att informationen inte leder till ’bättre val’ hos dessa mindre sofistikerade konsumenter”. Blogg https://derechomercantilespana.blogspot.com, postat den 25 november 2018, No todos los prestatarios son iguales: lecciones para el legislador.


39      Det bör ”föreskrivas att konsumenterna har rätt till kostnadsfri relevant information innan denne binds av ett betaltjänstavtal. När som helst under avtalsförhållandet bör konsumenterna också kunna begära att få förhandsinformation och ramavtalet på papper kostnadsfritt för att göra det möjligt att jämföra de tjänster och villkor som betaltjänstleverantörerna erbjuder och vid tvist kontrollera sina avtalade rättigheter och skyldigheter, så att ett starkt konsumentskydd upprätthålls.”


40      Samma sak var fallet med direktiv 2007/64, vilket domstolen betonade i sin dom av den 25 januari 2017, BAWAG (C‑375/15, EU:C:2017:38), punkt 45.


41      Informationen rör bland annat användning av betaltjänsten, avgifter, ränta och växelkurser, kommunikation mellan parterna, skydds- och korrigeringsåtgärder, tvistlösning samt ändringar i, och avslutande av, avtalet.


42      I den klausulen anges villkoren för hur kunden ska underrättas om ändringsförslaget, i pappersform eller på ett annat varaktigt medium, att det ska ske innan ändringarna ska träda i kraft, fristen för det underförstådda samtycket samt användarens rätt att invända mot ändringarna och att säga upp ramavtalet.


43      I beslutet att begära förhandsavgörande (sidan 12) tar den hänskjutande domstolen upp sin rättspraxis, vilken återspeglas i olika domar (1Ob 210/12g; 2Ob 131/12x; 8Ob 58/14h; 9Ob 26/15m; 10Ob 60/17x), rörande gränserna för underförstått medgivande till avtalsvillkor. Vid förhandlingen nämnde VKI även Bundesgerichtshofs (Högsta domstolen, Tyskland) dom av den 11 oktober 2007 (III ZR 63/07), vilken Oberster Gerichtshof (Högsta domstolen) i sin tur hade hänvisat till i punkt 2.20 i sin dom av den 11 april 2013 (ECLI:OGH002:2013:0010OB00210.12G.0411.000) för att bekräfta att ”medgivandefunktionen” (underförstått medgivande) inte får innefatta väsentliga ändringar av avtalet.


44      Enligt artikel 4.21 i direktiv 2015/2366, avses med ramavtal ”ett betaltjänstavtal som reglerar det kommande genomförandet av enskilda och successiva betalningstransaktioner och som kan innehålla skyldigheter och villkor för att öppna ett betalkonto”.