Høyesterett har avsagt dom i en sak (HR-2026-1359-A) som reiste prinsipielle spørsmål som i liten grad har vært prøvd av domstolene før.
Det har vært og er et åpent spørsmål om det rettslig sett er mulig å holde personer objektivt ansvarlig for andres handlinger med deres BankID, dersom de med vitende og vilje har lånt bort sin BankID til andre.
Dette var nettopp oppe i en Høyesterettssak, men Høyesterett unnlot å avklare dette spørsmålet prinsipielt. I stedet ble mannen som hadde lånt bort sin Bank ID holdt ansvarlig på alminnelig erstatningsmessig grunnlag basert på ansvarsbetingende uaktsomhet.
Saken gjaldt en mann som hadde gitt sin tidligere samboer tilgang til BankID-brikke, passord og personnummer for å få hjelp til betalinger og bankoverføringer mens han gikk gjennom en vanskelig periode. Samboeren brukte senere hans BankID til å ta opp forbrukslån i hans navn, inkludert et større lån som ble innvilget av Entercard Norge. Dette lånet ble senere misligholdt.
Høyesterett kom til at mannen skal holdes fullt erstatningsansvarlig for tapet Entercard har lidt.
Et sentralt punkt i dommen er at BankID er en personlig digital legitimasjon, som ikke skal overlates til andre, heller ikke personer i samme husstand.
Mannen hadde bevisst gitt ekssamboeren tilgang til BankID, e-post, datamaskin og sentrale personopplysninger. Over en periode på mer enn tre år kontrollerte han ikke egen post, e-post, bankkontoer eller skattemeldinger – og ble først på et senere tidspunkt kjent med at det var tatt opp forbrukslån i hans navn.
Retten la også vekt på at mannen kjente til ekssamboerens tidligere problemer med egen økonomi og pengespill. Etter Høyesteretts syn har han i det minste grovt brutt sin aktsomhetsplikt.
Banken hadde gjort nok
Mannen mente at Entercard burde gjort mer for å avdekke misbruket før lånet ble innvilget. Høyesterett var ikke enig i dette.
Banken gjennomførte blant annet kredittsjekk, kontrollerte at lånet ble utbetalt til en konto som tilhørte mannen, og sendte lånetilbud og signeringslenke til hans e-postadresse. Høyesterett fant ikke grunnlag for å kreve ytterligere kontrolltiltak som fysisk oppmøte, videomøte eller biometrisk kontroll i denne saken.
Høyesterett kommenterte også at mannen kunne etablert en såkalt disposisjonsfullmakt, som kunne gjort det mulig for ham å få bistand uten å komme i konflikt med de absolutte sikkerhetskravene.
Retten mente derfor at det ikke forelå forhold på bankens side som kunne frita mannen for ansvar.
Ikke grunnlag for å redusere ansvaret
Høyesterett vurderte også om ansvaret skulle reduseres eller lempes. Mannen viste blant annet til at ansvaret ville bli økonomisk tyngende for ham.
Retten la til grunn at saken hadde hatt store konsekvenser for mannen, men mente likevel at det ikke var grunnlag for lemping. Han hadde over lang tid gitt en annen person omfattende kontroll over sin digitale identitet og økonomi, uten å følge opp hva som skjedde.
Høyesterett la også vekt på tilliten til BankID-systemet. Når en bruker selv deler BankID og passord, oppheves en viktig sikkerhetssperre som systemet bygger på.
Ta gjerne kontakt med våre erfarne advokater dersom du trenger bistand eller rådgivning.