- Misbrukt BankID er ikke en fullmakt

Advokatbladet har tidligere omtalt en sak som for tiden verserer for Høyesterett. 

Entercard Norge har saksøkt en mann som fikk sin BankID misbrukt av ekssamboeren. Hun inngikk en kredittavtale med hans BankID, og blant spørsmålene i saken er om han hefter på avtalerettslig grunnlag etter det som i praksis blir en form for «digital tillitsfullmakt».

De siste tiårene har låneformidlingen i Norge blitt digitalisert. Ved bruk av BankID og automatiserte prosedyrer, spesialiserte forbrukslånsbankene seg på å yte usikret kreditt svært raskt. 

Det ble raskt klart at disse systemene enkelt lot seg misbruke - både av hardbarkede kriminelle, og av svikaktige (ofte spillavhengige) familiemedlemmer. 

Falske lånesøknader - iblant med feil navn og telefonnummer, og falske opplysninger om inntekt og formue - førte til store utbetalinger til svindlere.

- River ned lovgivers byggverk

Svært mange norske forbrukere ble saksøkt av disse bankene for slike tap. Påstanden var at tapet skyldtes svindelofferets uforsiktige håndtering av BankID og personlige passord – ikke bankenes kalkulerte risiko ved denne typen kredittytelse. 

At disse kravene ofte vant frem, førte etter hvert til en offentlig debatt og lovendring. 

Etter at finansavtaleloven trådte i kraft 1. januar 2023, kan svindelutsatte kunders ansvar nå begrenses sterkt. Fullt ansvar inntrer først der kunden «forsettlig» har brutt sine plikter til å hegne om sin BankID.

Men her kommer altså banksidens fullmaktargument inn. 

Da finansavtaleloven ble revidert, var den klare forutsetningen at misbruk av BankID ikke ledet til avtalebinding av innehaveren. Innehavers eventuelle ansvar for slike disposisjoner skulle løses erstatningsrettslig, med sterkt begrenset ansvar frem til forsettlig pliktbrudd. 

Man ville da få en mer balansert ansvarssituasjon, som la en del risiko på bankene og dermed stimulerte til bedre sikkerhetsløsninger. 

Hvis bankene nå kan konstruere en fullmakt på grunnlag av straffbart misbruk av andres BankID, vil man med ett ha revet ned deler av lovgivers byggverk, og norske forbrukere vil stå igjen uten den lovbeskyttelsen de er ment å ha.

- En slags vandrende fullmakt

På et konseptuelt plan kan man selvsagt tenke seg at interesseavveiningen i disse sakene kunne vært løst gjennom fullmaktsregler. Slik har det blitt gjort i Sverige og Danmark, men dette skyldes elementer i deres formuerett vi ikke finner her i Norge. 

Og i svensk juridisk teori er det spurt om ikke erstatningsrettslige sporet ville vært mer egnet i disse sakene. 

Vi er enige i dette, blant annet fordi at (i) de erstatningsrettslige reglene er mer fleksible og tilpasset det moderne samfunnets stadig nye risikoer, (ii) det ikke bør være mulig å drive inn svindelkrav i ren namsprosess etter tvangsfullbyrdelsesloven, samt (iii) de grunnleggende betenkelighetene ved å gjøre BankID, som skal være strengt personlig, til en slags vandrende fullmakt.

- Skaper sterkt spenningsforhold

I bunn ligger også det klare utgangspunktet i norsk rett om at falsk ikke binder – heller ikke ved uaktsomhet eller manglende reklamasjon. 

Det er ingen grunn til å uthule dette utgangspunktet gjennom utvidet anvendelse av tillitsfullmakten i BankID-svindelsaker. 

De sakene hvor Høyesterett har konstatert fullmaktsbinding uten grunnlag i lov (Rt. 2011 s. 410 og HR-2016-476-A) har omhandlet tilfeller hvor tillitspersoner i svært profesjonelle sammenhenger har handlet utover sin interne kompetanse. 

Tillitsfullmakten er ment å beskytte omsetningslivets tillit der de lovfestede fullmaktstypene ikke strekker til. Noe slikt er det ikke behov for i BankID-sakene – tvert om vil bruk av tillitfullmakten her skape et sterkt spenningsforhold til de omkringliggende reglene lovgiver har innført.

Behov for nyanser

Man kan mene at den aktuelle saken er et spesielt tilfelle, fordi innehaveren overlot sin BankID frivillig – selvsagt ikke for at samboeren skulle ta opp et stort forbrukslån, men for å hjelpe ham med å administrere dagliglivet. Men dette er ikke særegent. 

En femtedel av nordmenn oppgir at de deler BankID med nærstående. 

Det skyldes blant annet at BankID etter hvert blitt helt nødvendig for å klare seg, samtidig som svært mange har behov for hjelp til å bruke det og det ikke er utviklet adekvate fullmaktordninger. 

Hvordan avveiningen av ansvar skal løses ved frivillig overgivelse av BankID, er da også spesifikt kommentert i forarbeidene i finansavtaleloven. 

Lovgiverviljen, slik den er uttrykt av ordførerne i justiskomiteen for det forslaget som til slutt ble vedtatt, viser at det også i disse tilfellene er behov for nyanser. 

Som eksempel nevnes at «… eldre personer og personer som ikke kan språket godt, og som har behov for hjelp av andre til å betale regninger», ikke nødvendigvis skal måtte bære det fulle tapet ved misbruk.

Det er også forutsatt at ansvaret etter omstendighetene skal kunne lempes. Dette er grunnen til at forsettkravet i finansavtaleloven § 3-20 (3) er formulert som det er. Det er her, og ikke i en avtalebindingsvurdering, disse spørsmålene hører hjemme.

- Innfører en svært betenkelig fullmaktsfigur

Å konkludere med avtalebinding i slike saker vil tilsidesette lovgivers klare forutsetning med innføringen av ny finansavtalelov, og innføre en svært betenkelig fullmaktsfigur. 

Rettskildebildet tvinger frem følgende konklusjon: 

Misbrukt BankID kan lede til erstatningsansvar for innehaver (som fra 2020 og fremover er begrenset av finansavtaleloven § 3-20) - men ikke til avtalebinding. 

I erstatningsvurderingen hører også mange av punktene Marte Kjørven har påpekt i Rett24 hjemme – herunder at eventuelle brudd på kredittvurderingsplikten i finansavtaleloven og forbrukerkredittdirektivet skal sanksjoneres effektivt jf. EU-domstolens sak C-679/18, noe som i saker om bankID-svindel tilsier en betydelig lemping av ansvaret.