Misbruk av BankID og ID-tyveri kan få store konsekvenser for de det gjelder, og det vil kunne oppstå uenigheter om hvem som skal bære tapet.

Finansmarkedet er en bransje som i stadig større grad preges av finansiell innovasjon, effektivisering og digitalisering. Avtaleinngåelse om finansielle tjenester signeres som regel elektronisk av banken og kunden. BankID er en elektronisk legitimasjon for sikker identifisering og signering på nett. Løsningen er basert på en samordnet infrastruktur, utviklet av banknæringen i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen. BankID benyttes av samtlige norske banker, offentlige digitale tjenester og stadig flere virksomheter i ulike bransjer. 

I takt med utviklingen og digitaliseringen på området, har risiko for misbruk og ID-tyveri blitt desto mer aktuelt. ID-tyveri forstås slik at når noen skaffer seg, besitter, overfører, benytter eller fremstår som rette innehaver av et identifikasjonsbevis eller personopplysningene til en person for å begå økonomisk svindel, bedrageri eller annen kriminalitet.
Misbruk av BankID og ID-tyveri kan få store konsekvenser for de det gjelder, og det vil kunne oppstå uenigheter om hvem som skal bære tapet.

Rettslig bakgrunn

Per tid finnes det ingen direkte lovregulering av innehavers ansvar ved misbruk av BankID ved avtaleinngåelser. Slike rettsspørsmål har i hovedsak blitt behandlet ut fra alminnelige erstatningsrettslige regler. 

Nåværende finansavtalelov har imidlertid beslektede regler om andres misbruk av konto eller betalingsinstrument som fremkommer i lovens kapittel 2 avsnitt V. BankID vil inngå som del av et betalingsinstrument i de tilfellene BankID benyttes i forbindelse med gjennomføring av en betalingsordre. Det kan for eksempel være en pengeoverføring via nettbank. 

Innehaver av et betalingsinstrument har en plikt til å ta forsvarlig vare på sikkerhetsordninger knyttet til et betalingsinstrument, jf. finansavtaleloven § 34 første ledd. Bestemmelsen oppstiller en aktsomhetsnorm, hvor det forventes at innehaver tar “alle rimelige” forholdsregler. Lovens § 35 regulerer kundens ansvar i de tilfeller betalingsinstrumentet er misbrukt av andre. Utgangspunktet er at kundens svarer for inntil kr. 12 000 når kunden ved grov uaktsomhet har unnlatt å oppfylle sine forpliktelser etter § 34 første ledd. Dersom kunden kun har utvist simpel uaktsomhet, er det maksimale ansvaret for kunden kr. 1 200. 

Til tross for at finansavtaleloven i dag ikke direkte regulerer kundens ansvar ved misbruk i forbindelse med betalingstransaksjoner, har reglene vært egnet til å kaste lys over avveiningene som må gjøres i det alminnelige ansvarsgrunnlaget etter ulovfestet rett. 

¹https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/id-tyveri/#:~:text=Identitetstyveri%20er%20n%C3%A5r%20noen%20skaffer,svindel%2C%20bedrageri%20eller%20annen%20kriminalitet.
² Med “betalingsinstrument” menes «personlig instrument eller sett av prosedyrer som er avtalt mellom kunden og institusjonen, og som kunden benytter for å iverksette en betalingsordre», jf. finansavtaleloven § 12 bokstav c.
³ Også kalt culpanormen. Normen legger til grunn at den som har opptrådt uaktsomt, og som ved dette har påført andre en skade, kan være erstatningspliktig for tapet. 

BankID i Høyesterett, HR-2020-2021-A

BankID ble for første gang behandlet i Høyesterett 22. oktober i fjor i HR-2020-2021-A. Saken gjaldt et ektepar som tok opp en rekke kreditter i innehavers navn ved bruk av hans BankID.

Innehaver drev et gatekjøkken hvor ekteparet jobbet. BankID-brikken var oppbevart på arbeidsplassen i en veske plassert i en skuff i et skap. Misbruket skjedde mens innehaver var bortreist. Det forelå ingen forklaring på hvordan passordet var blitt kjent for ekteparet. Høyesterett la til grunn at innehaver kunne bebreides for hvordan han hadde oppbevart BankID-brikken, men at han likevel ikke hadde opptrådt uaktsomt med passordet. 

Høyesterett vektla at banken, Easybank, hadde inngått avtale om lån utelukkende basert på bruk av BankID. Etter Høyesteretts syn hadde banken mulighet til å gjennomføre ytterligere kontrolltiltak før lånebeløpet ble utbetalt. 
Høyesterett konkluderte med at det ikke var grunnlag for erstatningsansvar, med det resultat at Easybank tapte saken og måtte betale innehavers sakskostnader. 

Avgjørelsen representerer en tydelig endring på området for misbruk av BankID. Det har generelt sett vært praktisert en streng aktsomhetsnorm på området. Dersom uvedkommende har fått tilgang til passord eller kodebrikke, har det i de fleste tilfeller resultert i erstatningsansvar da aktsomhetsnormen har vært brutt. Avgjørelsen medfører et utvidet ansvar for bankene som profesjonell part ved misbruk av BankID, selv i de tilfellene kunden har vært uaktsom.

Den nye finansavtaleloven

Stortinget har i desember 2020 vedtatt ny finansavtalelov. Den nye lovens §§ 3-19 og 3-20 regulerer rettighetshaverens plikter og ansvar for tap ved ID-tyveri. Loven favner videre ved at den også omfatter ansvar ved misbruk av elektronisk signatur i forbindelse med finansielle tjenester, og ikke kun misbruk av konto og betalingsinstrument.

Etter den nye finansavtaleloven § 3-19 første ledd skal rettighetshaveren «bruke de elektroniske signaturfremstillingsdataene i samsvar med vilkårene for utstedelse og bruk og skal ta alle rimelige forholdsregler for å beskytte personlig sikkerhetsinformasjon som er knyttet til de elektroniske signaturfremstillingsdataene». Den nye loven innebærer følgelig at det også ved misbruk av BankID skal være krav om at kunden skal ta «alle rimelige forholdsregler» for å beskytte sin BankID. 

⁴ Ref. punkt 1.2. 
⁵ Prop. 92 LS (2019-2020), Innst. 104 L (2020-2021), Lovvedtak 24 (2020-2021)

Hovedregelen etter § 3-20 første ledd er at banken er ansvarlig for tap som oppstår ved misbruk av BankID, til tross for at rettighetshaveren ville vært ansvarlig etter ellers gjeldende rettsregler. Etter andre ledd gjelder en egenandel på inntil 450 kroner, forutsatt at innehaveren kunne ha oppdaget misbruket på forhånd. Dersom innehaveren ved grov uaktsomhet har unnlatt å oppfylle sine forpliktelser etter § 3-19, kan vedkommende etter tredje ledd bli ansvarlig for en egenandel på inntil 12 000 kroner. Innehaveren svarer for hele tapet dersom tapet skyldes forsettlige forhold på innehaverens side. 

Normalt er det den som fremsetter krav som har bevisbyrden. Tidligere har bankene enkelt kunne dokumentere at det er forbrukeren sin BankID som er benyttet i ID-tyverisakene og bruken i seg selv har vært tilstrekkelig som bevis på uaktsomhet. I realiteten har derfor forbrukeren vært den som har måttet bevise at aktsomhetskravet har vært overholdt.  Med den nye loven skjerpes beviskravet til fordel for forbrukeren. Den nye finansavtalelovens § 3-6 legger til grunn at bevisbyrden for at en forbruker har samtykket til elektronisk avtaleinngåelse eller svikaktig eller forsettlig har unnlatt å oppfylle pliktene etter § 3-19 ligger hos tjenesteyteren -bankene-. Etter bestemmelsens fjerde ledd kreves det kvalifisert sannsynlighetsovervekt, noe som innebærer en høy terskel for å innfri beviskravet. 

Hva betyr lovendringen for forbrukerne?

Høyesterettsavgjørelsen og det vedtatte lovforslaget til ny finansavtalelov har vesentlig betydning for forbrukerne. Fra et utgangspunkt hvor forbrukerne tradisjonelt sett har måttet stå ansvarlig for tapet dersom de er blitt utsatt for ID-tyveri, er risikoen i stor grad flyttet over på bankene. Det kan ramme enkeltpersoner svært hardt å bli ansvarlig for urettmessige opprettede lån etter misbruk av BankID. Hensynet til forbrukerne, forbrukervernet og bankenes posisjon som den profesjonelle part tilsier en utvikling i positiv retning. 

Dette gjelder imidlertid ikke uten begrensninger. En konsekvens av utviklingen vil etter all sannsynlighet være at bankene iverksetter ytterligere kontroll- og sikkerhetstiltak utover verifisering med BankID ved låneopptak. Som en følge av tiltakene, kan det medføre økte lånekostnader.
En relevant problemstilling som reises vil være i hvilken grad forbrukerne likevel blir ansvarlige dersom bankene beskytter seg gjennom ekstra tiltak i tillegg til BankID-verifisering ved låneopptak. 

Generelt sett vil ekstra kontroll- og sikkerhetstiltak gjøre det vanskeligere å misbruke andres BankID, noe som vil være positivt, både for bransjen og for forbrukerne.
Bevisbyrden for aktsomhetsnormen skjerpes for bankene med den nye finansavtaleloven. Det sikrer et ekstra vern for forbrukerne, særlig ved at det kreves kvalifisert sannsynlighetsovervekt for å bevise at en forbruker har samtykket til elektronisk avtaleinngåelse eller svikaktig eller forsettlig har unnlatt å oppfylle pliktene etter § 3-19. 

Samlet sett medfører lovendringen og høyesterettsavgjørelsen et bedre vern for forbrukerne i de tilfellene hvor de er blitt utsatt for misbruk av BankID. At bankene iverksetter ytterligere kontroll- og sikkerhetstiltak medfører ikke at ansvaret skyves tilbake på forbrukeren. 

Hvilke konsekvenser har lovendringen for bankene

Høyesterett konkluderte med at Easybank var ansvarlig til tross for at BankID-innehaver hadde vært uforsiktig og kunne bebreides. Den praktiske betydningen av avgjørelsen er at bankene har en vesentlig økt risiko for tap knyttet til misbruk av BankID dersom det utbetales lån kun basert på BankID og uten ytterligere sikkerhets- eller kontrolltiltak. For banknæringen resulterer dette i at det ikke vil være erstatningsgrunnlag i tilsvarende saker. 

Det nye lovforslaget som nå er vedtatt representerer også et tydelig skifte på området med påfølgende konsekvenser for bransjen.  Bevisbyrden i ID-tyverisakene er skjerpet, hvor det nå ikke lenger er tilstrekkelig å vise til at det er forbrukerens BankID som er benyttet for å bevise uaktsomhet. Endringen vil kunne by på store utfordringer for bankene for eksempel for å bevise at BankID er delt med uvedkommende. Eventuell deling av BankID skjer i private hjem, noe som vil gjøre det krevende for bankene å nå beviskravet.

Det er tydelig at høyesterettsavgjørelsen og den påfølgende vedtatte lovendringen får omfattende konsekvenser for bankene, og innvirkningene gjelder på flere plan. Endringene kan medføre konsekvenser for bankenes utstedelser av BankID, kontroll- og sikkerhetstiltak ved utbetaling av lån og vurderingen av de enkelte ID-tyverisakene. 

Status og oppsummering

Stortinget har ferdigbehandlet saken og vedtatt den nye finansavtaleloven. Loven er imidlertid ikke gjennomført enda. Utviklingen på området innebærer ikke en lempet aktsomhetsnorm og forbrukerne må fremdeles ta alle rimelige forholdsregler for å beskytte sin BankID. BankID-brikken må oppbevares på en måte slik at ikke uvedkommende får tilgang til den og passord må aldri deles.

Finansbransjen vil måtte implementere tiltak for å sikre utstedelsen av og avtaleinngåelser med BankID. Det vil være avgjørende for bankene å implementere effektive tiltak for å håndtere risikoen med ID-tyverier tidlig og for å unngå møte med det høye beviskravet.
Det kan anføres at endringene vil være et steg tilbake i innovasjon og digitalisering, men det er prisen for et sterkere vern av forbrukerne ved misbruk av BankID. 

Har du synspunkter eller spørsmål til noe av dette - ta gjerne kontakt!

Even Tukun
Jeg heter Even Tukun, og jobber som advokat i Advokatfirmaet PwC.
Mine fagområder er konkurranserett og offentlige reguleringer.
Jeg er utdannet jurist og siviløkonom og har erfaring fra Konkurransetilsynet
og Nasjonal Kommunikasjonsmyndigheter hvor jeg har har jobbet med begge fagfelt.

Mine interesseområder er konkurranserett, energi og finansregulering.
Jeg ønsker å dele nyheter og informasjon om disse temaene med deg.
Ta gjerne kontakt med meg dersom det er noe du lurer på.