høyesterett
Høyesterett skal trekke opp grensen for ansvar i sak om ID-svindel
Høyesterett skal behandle et stadig mer praktisk spørsmål: Hvem skal bære tapet når BankID misbrukes til å ta opp lån - banken eller den som har blitt svindlet?
Ankeutvalget ved justitiarius Torill Øie og dommerne Thomas Christian Poulsen og Bergljot Webster (bildet) har sluppet saken inn for Høyesterett.
Foto: Rizwana Yedicam / Høyesterett
Saken gjelder utstrekningen av ansvar når BankID-en misbrukes av en nærstående.
Bakgrunnen er at mannens eks-samboer tok opp forbrukslån i hans navn. Spørsmålet for Høyesterett er altså om det er han eller banken som skal holdes ansvarlig for bankens tap.
Høyesterett får dermed anledning til å trekke opp grensen mellom den enkeltes ansvar for å beskytte BankID og finansforetakenes ansvar for å sikre digitale låneprosesser.
Les dommen fra Eidsivating lagmannsrett her.
Tok opp millionlån
Våren 2017 ba mannen sin tidligere samboer om hjelp til å håndtere post, regninger, bankoverføringer og andre økonomiske forhold.
I følge dommen fra Eidsivating lagmannsrett hadde han gått «tom» etter flere dødsfall i nær familie, og strevde med å holde orden på papirarbeidet samtidig som han jobbet som selvstendig næringsdrivende håndverker.
Partene i saken
A (advokat Arnor Zoran Scheibler)
mot
Entercard Norge - Filial av Entercard Group AB (advokat Mathias Fridtjof Seierstad Haugan)
Saken behandles torsdag 21. mai.
For å få hjelp, overlot han datamaskin, BankID-brikke og passord til eks-samboeren. Deretter sjekket han verken post, e-post, bankkontoer eller skattemeldinger i en periode som strakte seg fra våren 2017 til september 2020.
Signert med mannens BankID
I mellomtiden brukte eks-samboeren mannens BankID til å søke om en rekke lån i hans navn. Totalt ble det søkt om lån for 11,6 millioner kroner. Det ble innvilget lån for 1,284 millioner kroner.
Ett av lånene var et forbrukslån på 455.000 kroner fra Entercard. Låneavtalen ble signert med mannens BankID, den 23. juli 2018, og pengene ble deretter utbetalt til hans bankkonto.
Mannen forklarte at han ikke kjente til låneopptaket. Eks-samboeren ble senere domfelt for identitetskrenkelse og grovt bedrageri. Likevel gikk Entercard til sak mot mannen med krav om tilbakebetaling.
Fra 100.000 i tingretten til fullt ansvar i lagmannsretten
I tingretten ble mannen dømt til å betale 100.000 kroner. Retten mente han hadde opptrådt uaktsomt, men lempet ansvaret.
I Eidsivating lagmannsrett fikk banken fullt medhold.
Mannen ble dømt til å betale hele lånebeløpet på 457.608 kroner, forsinkelsesrenter, inndrivelseskostnader og sakskostnader for både tingretten og lagmannsretten.
Erstatningsrettslig grunnlag
Retten avgjorde saken på erstatningsrettslig grunnlag og bygget ikke avgjørelsen på at mannen var avtalerettslig bundet av låneavtalen.
Kjernen var om han hadde opptrådt uaktsomt ved å overlate BankID og passord til eks-samboeren og om denne uaktsomheten var en tilstrekkelig nær årsak til bankens tap.
Retten la vekt på at BankID etter vilkårene er personlig og ikke skal overlates til andre. Den viste også til Høyesteretts tidligere praksis om misbruk av BankID, der innehaveren må ta «alle rimelige forholdsregler» for å beskytte personlige sikkerhetsanordninger.
Unnlot å kontrollere økonomien over flere år
Lagmannsretten mente at mannens situasjon skilte seg fra mer ordinære svindeltilfeller. Eks-samboeren hadde ikke skaffet seg tilgang ved hacking eller tyveri, men hadde fått BankID-brikke og passord fra mannen selv.
Hun hadde også fått bred tilgang til post, e-post, kontoer og økonomisk oppfølging. Retten mente derfor at han hadde tatt en bevisst risiko - og at han i tillegg unnlot å kontrollere økonomien sin over flere år.
Mannen anførte at banken burde gjort mer. Lånet gjaldt et forholdsvis stort forbrukslån, søknaden ble behandlet i all hovedsak maskinelt, og prosessen gikk raskt.
Han mente Entercard kunne avdekket misbruket gjennom enkle kontrolltiltak, blant annet knyttet til telefonnummeret som var oppgitt i søknaden.
Lagmannsretten avviste dette. Banken hadde gjennomført kredittvurdering og kontrollert i konto- og adresseringsregisteret at kontoen pengene ble utbetalt til, tilhørte mannen.
Retten mente det ikke var grunnlag for særlige bebreidelser mot Entercard. Selv om banken eventuelt burde undersøkt telefonnummeret nærmere, ville det mest sannsynlig ikke avdekket misbruket, i følge dommen.
Avtaler med vidtrekkende økonomiske konsekvenser
Saken berører et rettsområde i utvikling. I HR-2020-2021-A uttalte Høyesterett at situasjonen kan være annerledes når BankID brukes til å inngå avtaler med vidtrekkende økonomiske konsekvenser enn når den brukes til ordinære betalingstransaksjoner:
«Slik jeg ser det, kan situasjonen være annerledes når BankID benyttes i andre sammenhenger. Det denne saken gjelder, er bruk av BankID som elektronisk signatur ved inngåelsen av en avtale med vidtrekkende økonomiske konsekvenser for innehaveren med en bank som han ikke hadde noe kundeforhold til».
I lovforarbeidene til ny finansavtalelov (Prop 92. LS (2019-2020) uttaler departementet at finansinstitusjoner har bedre muligheter enn den enkelte forbruker til å forebygge og pulverisere tap ved misbruk av elektronisk signatur:
«Tjenesteyteren, og tilbyderen av tillitstjenester, har langt flere muligheter enn den enkelte rettighetshaveren til å iverksette tiltak for å unngå at tredjepersoner misbruker de elektroniske signaturfremstillingsdataene, og til å pulverisere tap i den forbindelse»
...
«Departementet viser som eksempel til at når kredittyteren utbetaler kredittbeløp til andre enn rettighetshaveren selv, og stiller kredittbeløpene til disposisjon svært raskt, må det kunne hevdes at kredittyteren selv legger forholdene til rette for misbruk. Muligheten for at rettighetshaveren oppfatter misbruket – kanskje før kredittbeløpet utbetales – ville øke betraktelig dersom kredittytere i større grad sendte bekreftelser på låneforespørsel til rettighetshaverens offentlig registrerte mobilnummer, adresse eller elektroniske postkasse».
