Har du vært utsatt for svindel / misbruk av din BankID? En ny dom fra Høyesterett gir viktige avklaringer!
BankID nyter en svært stor grad av tillit i befolkningen, og den hjelper oss på en rekke praktiske områder, men viser BankID seg alltid denne tilliten verdig?
Med en kodebrikke eller mobiltelefon og et passord, åpner det seg en rekke muligheter for oss i dag. Vi kan logge inn på Skatteetatens hjemmeside og endre skattekortet vårt, logge inn på Altinn og lese og endre skattemeldingen vår, logge inn på nettbanken og styre alt av bankkontoer, og vi kan enkelt sende inn nettbaserte søknader om både kredittkort og forbrukslån til tilbydere av slikt; bare for å nevne noe.
Samtidig som vi gleder oss over at hverdagen vår forenkles, gjelder det her som ellers at jo enklere noe er, jo større er sannsynligheten for at noen med uærlige hensikter vil forsøke å utnytte det. Og dette er nettopp tilfellet med BankID. Etter implementeringen av denne ordningen har antall ID-tyverier økt betraktelig, og det er særlig i forhold til kredittkort / forbrukslån at vi ser hvor galt det virkelig kan gå.
Urovekkende mange opplever å bli holdt ansvarlig for kredittkort / forbrukslån som de aldri verken har hørt eller søkt om. Når svindelen / misbruket av BankID avdekkes, blir disse menneskene ofte møtt med at så lenge BankID er benyttet, så er eier av BankID ansvarlig uansett. Men kan dette virkelig være riktig?
Hvem er egentlig ansvarlig for kredittkortet / forbrukslånet når søknaden er sendt ved hjelp av BankID?
Hvis det er søkt om kredittkort / forbrukslån ved hjelp av din BankID, er det i hovedsak på to måter du kan bli holdt ansvarlig. Enten i kraft av kreditt-/låneavtalen, eller fordi banken mener at du er erstatningsansvarlig for kreditten / forbrukslånet fordi du ikke har beskyttet din BankID godt nok.
Så langt har bankene som nevnt hatt som utgangspunkt at bruken av BankID er nok til å holde deg ansvarlig uansett. I en del tilfeller kan banken også fremlegge e-poster / meldinger mellom dem og «søkeren», samt arbeidskontrakter, lønnslipper, o.l.
Utfordringen for det store flertallet av de som opplever svindel / misbruk av deres BankID, er at svindelen / misbruket har blitt utført av en av deres nærmeste; deres samboer, ektefelle, forelder, barn, barnebarn, osv.
Felles for en som står deg så nær er at personen relativt enkelt vil kunne skaffe seg tilgang til både kodebrikke / mobil, posten din, og økonomiske dokumenter du har liggende (f.eks. arbeidskontrakter og lønnsslipper).
Det samme gjelder i forhold til passordet ditt. Svindleren vil f.eks. kunne koble en keylogger til PC’en eller Mac’en din, som registrerer inntastinger på tastaturet. En keylogger er enkel å overse for den som bruker PC’en eller Mac’en. En annen mye brukt metode er å overvåke / filme deg mens du taster passordet.
Når det gjelder kontaktinformasjonen banken forholder seg til, og som de gjerne bruker til å dokumentere / bevise at de har hatt kontakt med «deg», er det et paradoks at denne legges inn manuelt i søknaden av søkeren. Banken har altså kommunisert med svindleren, men forsvarer dette med at kontaktinformasjonen jo er bekreftet med BankID. Men er vi ikke da like langt?
Det finnes en rekke eksempler på at banken ser seg blind på betydningen av at BankID er brukt ved registrering av den kontaktinformasjonen «søkeren», altså svindleren, ønsker at banken skal forholde seg til.
Vi har sett e-post adresser som tydelig signaliserer at den eies av andre enn søkeren, og telefonnummer angitt i søknaden som ifølge www.1881.no ikke engang tilhører eieren av den BankID som brukes. Likevel har ikke banken foretatt seg noe for å undersøke dette nærmere.
Selv når svindleren sørger for at kreditt-/lånebeløpet utbetales til en bankkonto som ikke tilhører offeret, hender det ofte at banken ikke følger opp eller sjekker at alt er som det skal.
Vi kan dessverre altså trygt konstatere at BankID på ingen måte er så trygt som de fleste av oss både håper og tror.
Høyesterett gir klare signaler om at bankene har et ansvar for å øke sikkerheten knyttet til kreditt-/låneopptak!
Høyesterett har sett de utfordringene som ligger i at bankene i for stor grad lener seg på BankID som sikkerhetstiltak. Dette kommer klart frem i Høyesteretts dom den 22. oktober i år.
Dommen gjaldt et ektepar som hadde fått utbetalt et forbrukslån ved å misbruke en annen manns BankID. Høyesterett frifant mannen for kravet fra Easybank ASA på noe over kr 100 000,-, etter at han først hadde tapt saken i både tingretten og lagmannsretten.
Høyesterett fant i utgangspunktet at mannen kunne bebreides for måten han oppbevarte kodebrikken på, men konkluderte likevel med at det ikke var grunnlag for å dømme han til å betale erstatning til Easybank.
Når det gjelder BankID som sikkerhetstiltak uttalte Høyesterett følgende:
«Jeg er likevel kommet til at As handlemåte ikke innebærer at han har utvist en uaktsomhet som kan gi grunnlag for erstatningsansvar i denne saken. Jeg legger da vekt på at skadelidte, Easybank, er en profesjonell aktør som har valgt å inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. Som det er fremhevet i det jeg har sitert fra Prop.92 LS (2019–2020) side 183-184, ville det vært mulig for banken å foreta ytterligere kontrolltiltak før man ubetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed bevisst valgt en handlemåte som innebar en klar risiko for tap [min understreking].»
Som Høyesterett skriver er det altså ikke alltid nok for banken kun å vise til at søknaden om kredittkort / forbrukslån er signert med BankID. Banken har full anledning til å iverksette andre kontrolltiltak, f.eks. ved ganske enkelt å ringe søkeren. Gjør ikke banken dette vil det kunne innebære at det skal mer til før offeret blir holdt ansvarlig for kredittkortet / forbrukslånet.
Hvor godt må du egentlig passe på kodebrikken/mobiltelefonen?
Kravet er at du må sørge for å ta alle rimelige forholdsregler for å beskytte din BankID, herunder både kodebrikken og mobiltelefonen.
Hva som skal anses som «alle rimelige forholdsregler» vil selvsagt kunne variere, og det vil alltid måte vurderes konkret i den enkelte sak om offeret har oppfylt kravet eller ikke.
Samtidig har Høyesterett i dommen gitt en svært viktig avklaring for dem som har blitt utsatt for svindel / misbruk av sine nærmeste:
«Slik jeg ser det, kan det bare i særlige tilfeller være aktuelt å anse en oppbevaring hjemme som uaktsom [min understreking]. Det vernet som ligger i at en bolig er låst og normalt ikke er tilgjengelig for andre enn hustandsmedlemmer og deres gjester, må vanligvis være tilstrekkelig til å oppfylle aktsomhetskravet.»
Før denne dommen skjedde det ikke sjelden at bankene mente at man ikke hadde passet godt nok på kodebrikken hvis den lå løst i en skuff hjemme. Ble kodebrikken så misbrukt av f.eks. offerets samboer, holdt banken offeret ansvarlig.
Dette vil ikke lenger være en holdbar argumentasjon fra bankens side. Høyesteretts avklaring innebærer at man som det klare utgangspunkt ikke skal måtte iverksette særlige sikkerhetstiltak i eget hjem, fordi man må ta høyde for at de nærmeste man har vil misbruke ens BankID til å svindle til seg kredittkort og forbrukslån. Selvsagt vil kanskje noen si, men bankenes praksis viser altså at denne avklaringen er viktig.
Hvem er det egentlig som må bevise at det foreligger svindel / misbruk av BankID?
I praksis ser vi ofte at bankene krever at det er offeret som må bevise at de ikke har søkt om kredittkortet / forbrukslånet, og at de har passet godt nok på kodebrikken / mobiltelefonen og passordet.
I dommen presiserer Høyesterett en svært viktig grunnregel i norsk rett, som gjelder nettopp dette med bevis; det er den som mener å ha et krav mot en annen, som må sannsynliggjøre (bevise) at dette faktisk stemmer:
«Det alminnelige utgangspunktet er at det er den parten som hevder at det er inntrådt en rettsstiftende eller rettsendrende omstendighet, som har bevisbyrden, se Skoghøy side 916.»
Det var altså banken som måtte bevise at de enten hadde en gyldig forbrukslånsavtale med offeret i saken, eller at de hadde rett til å kreve at offeret erstattet forbrukslånsbeløpet som ekteparet hadde fått utbetalt. Banken kunne ikke bevise noen av delene, og resultatet ble dermed frifinnelse for offeret.
Alt håp er ikke nødvendigvis ute selv om du skulle bli holdt ansvarlig!
Selv om man skulle bli funnet å være erstatningsansvarlig overfor banken, åpner loven for at pengebeløpet man skal betale kan reduseres helt (til null) eller delvis. Dette kalles «lemping», og er en regel som kun er ment å bli brukt helt unntaksvis, og kun i særlige tilfeller.
Selv om Høyesterett kom til at banken ikke fikk medhold i kravet sitt, og det slik sett ikke var behov for å ta stilling til om bankens krav skulle «lempes», valgte Høyesterett å uttale seg om «lemping» i BankID-saker på generelt grunnlag;
«Ut fra det jeg har påpekt foran, bemerker jeg likevel at der en privatperson etter alminnelige erstatningsregler blir erstatningsansvarlig overfor en finansinstitusjon for et stort økonomisk tap som er oppstått som følge av misbruk av BankID, vil det, avhengig av de nærmere omstendighetene, kunne være grunnlag for å sette erstatningsbeløpet vesentlig ned [min understreking] etter lempingsregelen i skadeserstatningsloven § 5-2.»
Dette er et tydelig signal fra Høyesterett om at «lemping» vil være et svært relevant spørsmål i saker om svindel / misbruk av BankID, og at det i slike saker kan være aktuelt å redusere bankens krav betraktelig. Også der eier av den BankID som er brukt kan klandres for svindelen / misbruket.
De nærmere rammene for slik «lemping», både i forhold til hva som skal til for å oppnå «lemping» og eventuelt med hvor mye, må klargjøres gjennom fremtidig saker / rettspraksis.
****
Har du blitt utsatt for svindel / misbruk av BankID – kontakt oss for en uforpliktende samtale om saken din!
Husk at innboforsikringen din normalt vil dekke en betydelig del av advokatkostnadene dine i saken mot banken.
****
Anders Stub Søtorp
Advokat/managing partner
T: +47 920 32 414