Coop har under helgen hållit majoriteten av sina butiker stängda efter en omfattande it-attack. Matvarujätten härleder problemen till sin underleverantör av kassasystem, Visma Esscom, som i sin tur får sin mjukvara från det amerikanska företaget Kaseya med omkring tusen drabbade kunder.
Coops jurister tittar nu på om it-attacken kan polisanmälas, men företaget har inte uppgett om man kommer att gå vidare med ett skadeståndsanspråk.
Enligt Mårten Schultz, professor i civilrätt vid Stockholms universitet, regleras möjligheten att få skadestånd i första hand i det avtal som tecknats mellan företagen, det vill säga mellan Coop och underleverantören.
– I alla sådana här omfattande avtal som rör mycket pengar, finns i princip alltid genomtänkta regler för hur skadestånd och viten ska beräknas. I hög grad är skadeståndsreglerna knutna till försäkringar, säger han.
"Invecklade frågor"
Om Coop eller något annat av de drabbade företagen skulle vilja gå vidare med en process mot det amerikanska företaget Kaseya, finns däremot inget avtal utan då utgår man från allmänna skadeståndsprinciper, enligt Mårten Schultz.
Generellt sett är det dock svårare att få ersättning för ekonomiska skador från någon annan än avtalsparten, om det inte har förekommit ett brott enligt den svenska lagstiftningen, menar han.
– I det här fallet kompliceras det av att det är ett företag i USA, då uppkommer ganska invecklade frågor både om vilket lands regler som gäller, men också om vilken domstol som det ska prövas i.
Frågan kompliceras ytterligare av att skadeståndsrätten i USA skiljer sig åt mellan delstaterna.
Ska matcha skadans storlek
En snabb kalkyl utifrån årsredovisningen visar att Coop kan förlora tiotals miljoner i uteblivna intäkter per dag. Vad ett företag kan kräva i en sådan här situation beror på vad som avtalats, men utgångspunkten i skadeståndsrätten är att ersättningens storlek ska matcha storleken på skadan.
Det krävs också att det går att bevisa att någon har ansvar.
– Det låter utifrån vad du beskriver som att alla är offer här. Om det är Coops underleverantör som är orsaken, så verkar de också vara ett offer. Man har inte generellt ett ansvar för att inte bli utsatt för brott.
Enligt Mårten Schultz finns ofta ett glapp mellan den allmänna rättsuppfattningen och juridiken när det gäller just ansvarsfrågan.
– Som utgångspunkt krävs det att någon har gjort ett fel och det behöver inte nödvändigtvis vara fel att inte förutse alla typer av hackerattacker. Om ingen av de inblandade har gjort något fel landar smällen på den som har drabbats av skadan.