Høyesterett avsa den 13. september 2022 en prinsipielt viktig dom om misbruk av BankID (HR-2022-1752-A).
Saken gjaldt en sytti år gammel pensjonist som ble oppringt av svindlere som utga seg å være fra banken hennes. De lurte henne til å tro at noen forsøkte å oppta et lån i hennes navn og fikk henne til å oppgi personlig BankID-passord og koden fra brikken. Svindlerne klarte deretter å tappe bankkontoen hennes for kr 153.240. Spørsmålet var i hvilken grad kunden kunne holdes ansvarlig for tapet.
Slikt bedrageri er relativt utbredt, og har fått kallenavnet «Olga-svindel» fordi det primært rettes mot eldre personer som ofte er ukyndige i håndteringen av digitale hjelpemidler.
Det følger uttrykkelig av vilkårene for BankID at koden aldri skal oppgis til andre, heller ikke til banken eller til politiet. Det var derfor uomtvistet at kunden hadde brutt vilkårene for BankID og finansavtaleloven § 34 som pålegger kunden å følge gjeldende vilkår for bruk av betalingsinstrumenter. Spørsmålet var i hvilken grad hun kunne holdes ansvarlig for tapet etter reglene i finansavtaleloven § 35.
Partene var enige om at kunden minimum hadde utvist grov uaktsomhet og dermed uansett var ansvarlig for en egenandel på kr 12.000 etter § 35 tredje ledd annet punktum. Banken anførte at kunden hadde utvist forsett slik at hun kunne holdes ansvarlig for hele tapet, jf. finansavtaleloven § 35 tredje ledd, tredje punktum.
Høyesterett var ikke enig med banken. Kunden hadde riktignok med viten og vilje oppgitt sitt personlige passord og koden, men dette var ikke et forsettlig pliktbrudd etter Høyesteretts syn. At kunden ikke hadde satt seg inn i egne avtaleforpliktelser og bankens klare anvisninger for bruk av BankID medførte i realiteten ansvarsfritak.
De fleste vil nok likevel ha sympati med domsresultatet isolert sett. Det var tale om en privatperson som uforskyldt ble utsatt for utspekulerte svindlere, og som ikke hadde noen egeninteresse i transaksjonene som deretter ble gjennomført. Kunden handlet som hun gjorde i den hensikt å unngå svindel.
Saken gjaldt belastninger på kundens innskuddskonto. Dette er kundens egne midler, der banken har en lovbestemt plikt til umiddelbar og automatisk gjennomføring av kundens betalingsinstrukser.
At banken har gjennomføringsplikt, setter saken i en annen stilling enn hvor svindlere misbruker andres BankID til å inngå nye finansavtaler i offerets navn, typisk en låneavtale. I sistnevnte tilfeller har banken et helt annet handlingsrom ved at lånesøknaden kan avslås og banken kan ta seg tid til ytterligere kontroll før lånet utbetales. En teknisk korrekt belastning mot kundens egen konto skal imidlertid gjennomføres på sekundet såfremt kunden har dekning på kontoen. I motsatt fall kan kunden holde banken ansvarlig for konsekvensene av unnlatt betaling. I henhold til Høyesteretts dom kan banken også holdes ansvarlig for kundens tap ved betalingsinstrukser som for banken fremstår helt ordinære. Dette kan sette banken i en situasjon der den er «damned if you do, damned if you don´t».
Dommen føyer seg inn i en rekke avgjørelser som i stor grad skyver ansvaret for feil og misbruk av BankID over på bankene. Den nye finansavtaleloven, som trer i kraft ved årsskiftet, går ytterligere i denne retning. Da vil gjeldende § 35 erstattes med § 4-30 som i fjerde ledd introduserer et mer kundevennlig forsettbegrep, nemlig at kunden «måtte forstå at misligholdet kunne innebære en nærliggende fare for at betalingsinstrumentet kunne bli misbrukt».
Effekten av regelverket er at banken holdes ansvarlig for det alt vesentlige av kundens tap ved betalingsinstrukser som for banken vil fremstå som ordinære. Samtidig har kundene et sparsomt incitament til å unngå svindel ved å sette seg inn i sentrale vilkår og systemets tekniske funksjonsmåte. Spissformulert: Ignorance is bliss. Det kan spørres om denne ansvarsfordeling er optimal for samfunnets betalingssystemer.
I vår tid gjennomføres bortimot alle betalingstransaksjoner i nettbank og på andre digitale plattformer. Det er selvsagt uaktuelt å vende tilbake til gamle dagers praksis der regninger ble betalt ved oppmøte i bankskranken. Vårt digitale betalingssystem bygger på BankID, og spørsmålet er hvilke praktiske muligheter bankene har for å forsikre seg om at en betalingsinstruks reelt sett kommer fra kunden, utover verifikasjon ved BankID. Dette aspektet berøres ikke i Høyesteretts dom, som utelukkende har fokus på kundens subjektive forsett. En viss omtale av bankens handlingsalternativer hadde ikke vært malplassert i en prinsippavgjørelse som kan bli normdannende for bankpraksis. Det kan ikke utelukkes at bankene kan unngå slik svindel ved systemendringer – vår innvending er at det ikke er tema i dommen.
Det må i denne sammenheng fremheves at problemet i praksis ikke bare er ID-tyveri, men i høy grad også fingert ID-tyveri. Det vil si at en person hevder seg utsatt for ID-tyveri, mens det i realiteten er kunden selv som har utført transaksjonen, eller kunden samarbeider med svindlerne. Det er vanskelig å bevise denne typen dobbeltbedrageri, blant annet fordi strenge personvernregler hindrer bankens innsikt i hvor pengene blir av. Hvis bankkunder i svært liten grad kan holdes ansvarlig for grove feil, kan det tilrettelegge for økt omfang av fingert ID-tyveri. Blir bedrageri for enkelt vil det ramme integriteten til et betalingssystem vi alle er avhengige av. Det var ingen tvil om at kunden i Høyesteretts siste dom var et helt uskyldig offer, men ofte er det mer diffust.
Reglene er begrunnet med forbrukerbeskyttelse. Men dersom bankenes tap ved bedragerier øker vil dette i neste omgang belastes kundene i form av dyrere tjenester. Grunnleggende sett er derfor spørsmålet om tapet bør dekkes av kunden som har begått feilen, eller om det bør pulveriseres ut på alle kunder. Et grunnleggende prinsipp er at ansvaret bør plasseres hos den part som har mulighet til å begrense tapet. Men norsk finansrett er basert på en tanke om at det er bankene som har utviklet autentiseringssystemet og derfor bør ta tapet hvis systemet har svakheter som åpner for misbruk. Samtidig er BankID blitt den bortimot enerådende autentiseringsform på nesten alle livsområder. Da skulle man ikke tro at systemet er helt ubrukelig.
Hvordan individer identifiserer seg og gjennomfører rettshandler tilhører jo egentlig statens kjernevirksomhet. Tidligere brukte vi fysiske pass og førerkort for å vise hvem vi var, og eiendomshandler skjedde hos domstolene. Den norske statens egne digitaliseringsforsøk har imponert de færreste. Staten synes nå å ha kapitulert som autentiseringsmyndighet, og har i praksis outsourcet sitt ansvar til BankID – et privateid system, som bankene i fellesskap har utviklet og opererer. De fleste formelle henvendelser til myndighetene skjer gjennom BankID, herunder det som gjelder skatt, avgift og transaksjoner i Brønnøysundregistrene. Slik kommunikasjon kan omfatte store økonomiske verdier, og er underlagt strenge ansvarsregler. Den samme staten har altså lovfestet at bankene egentlig i liten grad kan holde kundene ansvarlige for transaksjoner gjennom BankID-systemet basert på at et prinsipp om at det er bankenes ansvar om systemet ikke er godt nok. Men hvis systemet generelt sett ikke er sikkert nok kan det vel misbrukes også utenfor banksektoren, og er det noen grunn til at Skatteetaten skal holde BankID-brukere ansvarlige i helt annen grad enn bankene selv?
Eirik Vinje
Advokat | Partner