Høyesteretts BankID-avgjørelse. Større trygghet og dyrere lån

22. oktober 2020 tok landets høyeste domstol, Høyesterett, for første gang stilling til om et offer for BankID-svindel kan holdes erstatningsansvarlig for bankens tap.

Avgjørelsen gir forbrukerne sterkere vern ved misbruk av BankID. Bedre forbrukervern kan imidlertid komme med en pris i form av økte lånekostnader og tapt innovasjon. Det beste for forbrukerne er at man finner en god balanse mellom forbrukertrygghet, kostnader og innovasjon. 

 Lenke til Høyesterett sin avgjørelse:
https://www.domstol.no/Enkelt-domstol/hoyesterett/avgjorelser/2020/hoyesterett-sivil/hr-2020-2021-a/

Høyesteretts dom 22. oktober 2020, HR-2020-2021-A, gjelder erstatningskrav etter misbruk av BankID.

En mann fra Kristiansand ble frifunnet for et erstatningskrav fremsatt av en EasyBank ASA som hadde utbetalt et forbrukslån på 100 000 kroner til et ektepar som hadde misbrukt mannens BankID.  Det var ukjent hvordan misbrukerne hadde fått tilgang til passordet til BankID. Høyesterett kom likevel til at det ikke var sannsynlighetsovervekt for at dette hadde skjedd som følge av uforsiktig opptreden fra BankID-innehaverens side.

Videre fant Høyesterett at mannen kunne bebreides for måten kodebrikken var oppbevart på. Han hadde hatt den i et ulåst skap på en kontorplass på arbeidsstedet gjennom en lengre periode, også mens han var fraværende på ferie. En av misbrukerne og flere andre hadde tilgang til kontorplassen.

Høyesterett la imidlertid vekt på at Easybank hadde valgt å inngå avtale om lån med et betydelig beløp for en enkeltperson, utelukkende basert på bruk av BankID. Etter Høyesteretts syn hadde banken hatt mulighet til å foreta ytterligere kontrolltiltak før man utbetalte lånebeløpet. Holdt opp mot dette fant Høyesterett at det ikke var grunnlag for å anse innehaver av BankIDs handlemåte som uaktsom og frikjente dermed mannen for erstatningsansvar.

Tidligere rettspraksis

BankID er både en elektronisk ID og -signatur som består av noe bankkunden har og noe kunden vet. For å logge seg inn med BankID må man benytte en kodebrikke eller BankID på mobil samt personlig passord og personnummer. Opprinnelig ble BankID benyttet til betalingstransaksjoner, men bruksområdet har utvidet seg til å omfatte elektronisk signering av avtaler, innlogging på offentlige portaler som Altinn, Min skatt, Aktørportalen til domstolene etc.

Det følger av vilkårene for utstedelse og bruk av BankID, at Passord, personlige koder og andre sikkerhetsprosedyrer ikke må røpes for noen, heller ikke overfor politiet eller husstandsmedlemmer. Gjennomgående har det vært lagt til grunn en meget streng aktsomhetsnorm for oppbevaring og bruk av BankID i rettspraksis. Dersom innehaver av BankID har gitt noen tilgang til passord eller kodebrikke har det derfor ofte blitt lagt til grunn at aktsomhetsnormen har vært brutt og dermed erstatningsansvar.

Med denne avgjørelsen har Høyesterett slått fast at bankene som profesjonell part har et større ansvar ved svindel med BankID enn lagt til grunn i tidligere rettspraksis.

Hva er forsvarlig oppbevaring av BankID?

Utgangspunktet for vurderingen av om BankID-innehaveren har opptrådt uaktsomt er ifølge Høyesterett, om innehaveren kan sies å ha tatt alle rimelige forholdsregler for å beskytte sin BankID, herunder brikken. Vurderingen av hva som er rimelige forholdsregler, må bygge på hva som praktisk mulig uten at det utgjør en urimelig stor byrde for innehaveren eller vil gjøre selve bruken av BankID upraktisk. 

Høyesterett skriver at når BankID benyttes til betalingstransaksjoner, så kan det som et utgangspunkt ikke kreves at banken skal foreta sikkerhets- eller kontrolltiltak utover å konstatere at BankID er brukt på riktig måte. Imidlertid legger Høyesterett til grunn at dette kan stille seg annerledes i tilfeller der et misbruk består i at BankID er brukt som elektronisk signatur ved inngåelse av avtaler som for den private parten er av stor betydning, økonomisk eller på annen måte.

Der avtaleparten, tjenesteyteren, tilhører en gruppe som kan forventes å iverksette tiltak for å unngå tap, må dette etter Høyesteretts syn få betydning når man skal stilling til om innehaveren i det enkelte tilfellet har opptrådt uaktsomt og ut fra det blir erstatningsansvarlig. Høyesterett legger til grunn at i en erstatningssak vil bevisbyrden normalt vil ligge på den parten som fremsetter et erstatningskrav. I dette tilfellet Easybank.

Oppbevaring av passord

I avgjørelsen fant Høyesterett at det var ukjent hvordan misbrukerne hadde fått tilgang til BankID-innehavers passord og at det er skadelidte - i dette tilfellet Easybank - som har bevisbyrden for at vilkårene for erstatningsansvar er oppfylt. Misbrukerne hadde ifølge Høyesterett, flere aktuelle muligheter for å få tilgang til passord uten å være avhengig av at BankID-innehaveren opptrer uforsiktig. Blant annet kan en keylogger kobles mellom en PC og tastaturet for å registrere alle inntastinger på tastaturet, og at det ikke er foretatt undersøkelser som er egnet til å utelukke at en keylogger er brukt. 

Etter en konkret vurdering finner dermed Høyesterett at det ikke var sannsynlighetsovervekt for at passordet hadde blitt røpet som følge av uforsiktig opptreden fra BankID-innehaverens side. 

Oppbevaring av BankID

Høyesterett skriver at det bare i særlige tilfeller være aktuelt å anse en oppbevaring av BankID hjemme som uaktsom. Når det gjelder oppbevaring på et arbeidssted, må det imidlertid i større grad foretas en konkret vurdering. Ved vurderingen av om hva som skal til for at man har opptrådt uaktsomt på en slik måte at det medfører erstatningsansvar legger retten vekt på at banken er den profesjonelle parten og bankens mulighet for å avverge svindel. 

BankID brikken hadde blitt oppbevart i et ulåst skap på en kontorplass på arbeidsstedet gjennom en lengre periode, også mens BankID-innehaver var fraværende på ferie. Alle ansatte, inkludert en av misbrukerne, hadde tilgang til kontorplassen. Misbruket av BankID skjedde gjennom en lengre periode, uten at BankID-innehaver oppdaget det eller at brikken var borte. Høyesterett fant dermed at BankID-innehaver kan bebreides for måten han har oppbevarte kodebrikken på.

Likevel konkluderte Høyesterett med at BankID-innehavers handlemåte ikke medførte uaktsomhet som ga grunnlag for erstatningsansvar. Begrunnelsen var at skadelidte, Easybank, er en profesjonell aktør som hadde valgt å inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. Etter Høyesteretts syn ville det vært mulig for banken å foreta ytterligere kontrolltiltak før man utbetalte lånebeløpet. Dersom banken hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått.

Høyesterett anser derfor at banken bevisst hadde valgt en handlemåte som innebar en klar risiko for tap. Holdt opp mot dette fremstod den risikoen som er skapt ved at BankID-innehaver hadde opptrådt noe uforsiktig ved sin oppbevaring av kodebrikken, som så begrenset at det etter ikke kunne være grunnlag for å anse hans handlemåte som uaktsom med den virkning at han ble erstatningsansvarlig for Easybank sitt tap. 

Hvorfor er avgjørelsen viktig?

Høyesterett legger til grunn en høy aktsomhetsnorm første gang retten vurderer erstatningskrav etter misbruk av BankID. Den strenge normen gjelder både oppbevaring av brikke og passord.Ved vurderingen av om uaktsomhet gir grunnlag for erstatningsansvar ser imidlertid Høyesterett hen til at banken er en profesjonell part som kan forventes iverksette tiltak for å unngå tap. Tilsvarende har ikke vært lagt til grunn i tidligere praksis ved avtaleinngåelse med elektronisk signatur. 

Uaktsomhetsvurderingen gjelder et konkret tilfelle, og er slik sett ikke prinsipiell. Avgjørelsen innebærer likevel at bankene som profesjonelle aktører får økt risiko for tap knyttet til BankID svindel med mindre de gjennomfører flere kontrolltiltak før utbetaling av lånebeløp. 

Både risiko for tap som følge av svindel og kontroll overfor enkeltkunder gir merkostnader forbundet med det enkelte lån. Etter økonomisk teori vil denne typen kostnader ofte bli veltet over på kundene - i vårt tilfelle låntakere - i form av for eksempel høyere etableringsgebyr og i ytterste konsekvens ved at færre nye tjenester blir lansert.

Siden det etter avgjørelsen skal mer til for at en BankID-innehaver blir erstatningsansvarlig, gir den større trygghet for forbrukerne. Det å bli ansvarlig for urettmessige opprettede lån etter en BankID svindel kan ramme enkeltpersoner svært hardt og er vanskelig å beskytte seg mot. Gode argumenter taler derfor for at BankID-innehavere bør få større trygghet. Økt trygghet for BankID-innehavere kommer imidlertid med en pris - i form av økte lånekostnader og tapt innovasjon.

Nytt forslag til finansavtalelov

Utkast til ny Finansavtalelov er planlagt behandlet i Stortinget 1. desember i år. I lovforslaget har regjeringen foreslått ytterligere forbrukervern ved  ansvarsbegrensninger der kunden blir ansvarlig for inntil 12 000 kroner i egenandel selv om det er utvist grov uaktsomhet ved håndteringen av BankID. 

Det beste for forbrukerne er at man finner en god balanse mellom forbrukertrygghet, kostnader og innovasjon. Som Høyesterett legger til grunn bør både utsteder av BankID og bruker bør ha et visst ansvar.

BankID brukes imidlertid ikke bare til å gjennomføre betalingstransaksjoner og inngå finansavtaler men også som elektronisk signatur. Alle bruker vi BankID til å logge oss inn hos Lånekassen, Altinn, Min skatt etc. Det er i dag mange andre forhold som begrunner regulering av BankID enn betalingstjenester og inngåelsen av finansavtaler.

Mange stiller derfor spørsmål ved om en en regulering av BankID gjennom finansavtaleloven - hvor nettopp finansavtaler står i senter - er det som skal til for at vi får en høvelig regulering av BankID som er vår mest brukte elektroniske signatur.

Ønsker ditt foretak bistand med en sak om BankID svindel?

Advokatfirmaet PwC har erfaring fra saker knyttet til BankID svindel, og bistår gjerne i prosedyreoppdrag og med vurderinger knyttet til hvilke tiltak som bør iverksettes hos foretak som benytter BankID, som følge av Høyesteretts vurderinger.