Bankene må ta større ansvar ved identitetstyveri

Bankene må ta ansvar ved identitetstyveri
Av: Senioradvokat Andreas Engen Nilsen

Identitetstyveri er et økende samfunnsproblem, og torsdag 22. oktober avsa Høyesterett en dom (HR-2020-2021-A) som kommer til å få vesentlig betydning for domstolenes praksis på området fremover.

Spørsmålet i saken var om en bank – som hadde utbetalt et forbrukslån etter misbruk av BankID – kunne kreve sitt tap erstattet av den som var utsatt for misbruket. Banken anførte at den som var utsatt for misbruket hadde opptrådt uaktsomt både når det gjaldt oppbevaring av kodebrikke og håndteringen av passordet. Kodebrikken var oppbevart i en veske plassert i en skuff i et skap på arbeidsplassen, men når det gjaldt passordet var det ingen klare holdepunkter for hvordan gjerningspersonene hadde fått tak i dette.

Det er bankene som har bevisbyrden for å sannsynliggjøre at det er handlet erstatningsbetingende uaktsomt, og etter en konkret vurdering – hvor det også ble lagt vekt på klar bedragersk hensikt fra gjerningspersonene sin side, så fant ikke Høyesterett at det var sannsynlighetsovervekt for at gjerningspersonene hadde fått tilgang til passordet som følge av uforsiktig opptreden fra den som var utsatt for misbruket.

Dette er verken ny argumentasjon eller rettsanvendelse, bl.a. ble samme vurdering lagt til grunn av domstolen i en sak vi førte for Nedre Telemark tingrett i 2017.

Som følge av sprikende praksis i tingrettene så har lagmannsretten, i sak LB-2018-192525, tidligere slått fast at det ved uaktsomhetsvurderingen må foretas en reell vurdering basert på foreliggende opplysninger og bevis knyttet til den pretenderte uaktsomme handling. Dette innebærer at det ikke er tilstrekkelig å legge til grunn at misbruket i seg selv beviser at innehaveren av BankID har opptrådt uaktsomt.

Høyesteretts vurdering av om banken hadde sannsynliggjort at BankID-eieren hadde opptrådt uaktsomt i forbindelse med beskyttelsen av sitt passord, var således i tråd med lagmannsrettens tidligere vurdering.

Når det gjaldt oppbevaringen av kodebrikken så fant Høyesterett at innehaveren av BankID kunne bebreides for måten som kodebrikken ble oppbevart på. På tross av dette konkluderte Høyesterett likevel med at handlemåten "ikke innebærer at han har utvist en uaktsomhet som kan gi grunnlag for erstatningsansvar i denne saken". Bakgrunnen for dette var såkalte forhold på bankens side.

Dette innebærer rent faktisk at Høyesterett, i sin vurdering av om innehaveren av BankID hadde opptrådt erstatningsbetingende uaktsomt, vurderer saken i lys av at banken, som profesjonell aktør, valgte å "inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. Som det er fremhevet i det jeg har sitert fra Prop. 92 LS (2019–2020) side 183–184, ville det vært mulig for banken å foreta ytterligere kontrolltiltak før man ubetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed bevisst valgt en handlemåte som innebar en klar risiko for tap."

Sett i sammenheng med dette anser Høyesterett altså at risikoen, som følger av BankID-kundens noe uforsiktige opptreden, som så begrenset at det ikke kan karakteriseres som erstatningsbetingende uaktsomhet.

I den sammenheng tilføyer Høyesterett at "Jeg legger vekt på at selv om en innehaver av BankID generelt må forventes å være klar over risikoen for misbruk, og at dette kan lede til økonomisk tap knyttet til urettmessige betalingstransaksjoner, fremstår det ikke på samme måte som nærliggende at BankID skal kunne benyttes som eneste grunnlag for inngåelse av avtaler i innehaverens navn som medfører ansvar for meget store pengebeløp."

I praksis konkluderer altså Høyesterett med at bankene har et ansvar for sine sikkerhetsløsninger og kontrolltiltak, og at dette ansvaret får vesentlig betydning for vurderingen av om BankID-kundens handlinger kan anses som erstatningsbetingende uaktsomhet. Dette vil si at forhold på bankenes side hever terskelen for erstatningsbetingende uaktsomhet.

Selv om heller ikke dette er ny argumentasjon eller rettsanvendelse (også dette ble lagt til grunn i vår sak for Nedre Telemark tingrett i 2017), så er det svært avklarende for de lavere instanser.

I vårt arbeid som mangeårig rådgiver og prosessfullmektig for et større finans/forsikringsselskap (og dette selskapets kunder) i saker knyttet til identitetstyveri, så har en av utfordringene ved domstolsbehandling nettopp vært at det i de lavere instanser har vært et vesentlig sprik i hvordan domstolene har angrepet uaktsomhetsvurderingen. I enkelte tilfeller har retten nærmest konkludert med at BankID-kunden har opptrådt erstatningsbetingende uaktsomt, utelukkende basert på at identitetstyveriet har skjedd. Bankene har i en årrekke argumentert med at slikt misbruk ikke er mulig uten uaktsomhet fra BankID-kundens side, og flere domstoler har lagt dette til grunn. Andre har derimot foretatt konkrete vurderinger i tråd med den dom Høyesterett nå har avsagt.

Etter denne dommen fremstår det klart at det nå vil bli en – for forbrukerne – positiv endring, eller forening, i måten de lavere domsinstanser vil angripe uaktsomhetsvurderingen på.

I tillegg til den betydelige vekt Høyesterett synes å ha lagt på bankenes forhold når det gjelder uaktsomhetsvurderingen, så går også Høyesterett langt i å indikere at det i tilfeller der hvor en privatperson blir holdt ansvarlig for bankens tap etter alminnelige erstatningsrettslige regler, så vil det kunne være grunnlag for "å sette erstatningsbeløpet vesentlig ned" etter skadeserstatningsloven § 5-2. Høyesterett synes derfor også å gi en viss føring på at de lavere instanser skal vurdere å lempe BankID-kundenes ansvar i de tilfeller hvor terskelen for erstatningsbetingende uaktsomhet er overtrådt.

I tillegg til dette så foreligger det et forslag til ny finansavtalelov som i utgangspunktet skal behandles av Stortinget denne høsten. I dette lovforslaget så er anvendelsesområdet til finansavtaleloven utvidet til også å omfatte ansvar ved misbruk av elektronisk signatur i forbindelse med låneopptak mv. Dette innebærer at det foreligger stor sannsynlighet for at det innen relativt kort tid vil foreligge bestemmelser om økonomisk ansvarsbegrensning for forbrukerne i tilfeller hvor deres BankID blir misbrukt til å stifte gjeld, eller på annen måte inngå avtaler.

Høyesteretts seneste dom, og forhåpentligvis ny finansavtalelov, vil medføre at forbrukerne i tiden som kommer vil stå sterkere i saker mot bankene dersom man skulle være så uheldig å bli utsatt for identitetstyveri.
Styreansvar Kristian Bredesen Advokatfullmektig
Andreas Engen Nilsen
Senioradvokat
andreas@advonico.no


 
Kontakt oss
Del på: