«BankID-saken» - hvilke avklaringer kom fra Høyesterett?

Høyesterett har behandlet den såkalte «BankID-saken» (HR-2020-2021-A) som gjelder ansvar for innehaver av BankID for låneopptak som ble gjort av uvedkommende med hans BankID-brikke. Saken oppfattes som prinsipiell ettersom det er første gang Høyesterett har behandlet spørsmålet om rette innehavers ansvar for misbruk av BankID ved inngåelse av avtaler.

Saksforholdet var kort fortalt at innehaveren (A) av en BankID-brikke, oppbevarte denne på et kontor i gatekjøkkenet han drev. En person (B) som var under opplæring på gatekjøkkenet og som hadde gjort noe vedlikeholdsarbeid hadde urettmessig tilegnet seg brikken, og sammen med sin ektefelle (C) misbrukte han brikken til å ta opp lån i Brabank ASA (tidl Easybank ASA) i innehaverens (As) navn. Det aktuelle lånet ble utbetalt til en konto som B og C hadde opprettet i As navn i Sparebank 1 SR-Bank. Så langt vi kan se er det ikke oppklart hvordan misbrukerne B og C fikk tak i personnummer og passord til BankID-brikken til innehaveren (A). B og C ble dømt i egen straffesak for å ha forledet Brabank til å innvilge lånet. Spørsmålet for Høyesterett nå var hvorvidt rette innehaver (A) av BankID-brikken kunne holdes erstatningsmessig ansvarlig for misbruket.

Høyesterett konklusjon er at rette innehaver ikke var erstatningsansvarlig overfor banken for det tap den led som følge av misbruket ettersom Høyesterett ikke mente rette innehaver hadde utvist uaktsomhet ved oppbevaring av BankID-brikken. De generelle poengene vi mener man kan trekke ut av dommen er:

1. Ansvaret for misbruk av BankID ved inngåelse av låneavtaler eller andre former for avtaler er ikke lovregulert

Finansavtaleloven har regler om ansvar ved uautoriserte betalingstransaksjoner, men disse kommer ikke til anvendelse på selve inngåelsen av en låneavtale. Dette fulgte nok allerede klart av lovens ordlyd, forarbeider og forarbeidene til ny finansavtalelov. Underrettspraksis har imidlertid ikke vært helt stødig her.

2. Høyesterett oppstiller en rolleforventning til skadelidt bank om å ha iverksatt sikkerhets- og kontrolltiltak

Høyesterett oppstiller krav om at banken må gjøre tiltak for å unngå at skaden oppstår. Konkret oppstiller Høyesterett krav til sikkerhets- og kontrolltiltak hos kredittyteren/tilbyder av BankID. Det uttrykkes en forventning om tiltak som å

a) sende bekreftelse på låneforespørsler til innehaverens offentlig registrerte mobilnummer, adresse eller elektroniske postkasse;

b) utbetale lån til en konto som tilhører den som har søkt kreditt;

c) eventuelt også kreve at konto som det utbetales til er oppført i kredittsøkers selvangivelse.

Dersom slike sikkerhets- og kontrolltiltak ikke er iverksatt vil det, slik Høyesterett formulerer det, få betydning for om innehaveren har opptrådt uaktsomt.

Kravene til ytterligere sikkerhets- og kontrolltiltak vil ifølge Høyesterett som en klar hovedregel ikke gjelde ved bruk av BankID til betalingstransaksjoner. Her fremstår det som det er de vidtrekkende økonomiske konsekvenser av inngåelse av avtaler med BankID som gjør at det oppstilles ekstra krav ved avtaleinngåelser.

På den annen sider sier Høyesterett at fødselsnummeret ikke kan anses som en del av sikkerhetssystemet. I saken var det slik at for å bruke BankID-brikken, måtte man kjenne rette innehavers fødselsnummer. Retten peker på at det er mange muligheter for andre å bli kjent med dette, og da kan det ikke anses som en del av sikkerhetstiltakene.

3. Kunden må ha tatt «alle rimelige forholdsregler»

Når det gjelder rette innehaver, uttaler Høyesterett at det må kunne forventes at vedkommende tar «alle rimelige forholdsregler» for å avverge et misbruk. Dette er en formulering som er hentet fra finansavtaleloven § 34 om plikter ved bruk av betalingsinstrument, men Høyesterett mener uttrykket er en god norm som også bør gjelde utenfor lovbestemmelsens område. Hva som er rimelige forholdsregler mener retten må bygge på hva som er praktisk mulig uten at det utgjør en urimelig stor byrde for innehaveren eller vil gjøre bruken av BankID upraktisk.

Oppbevaring av brikke hjemme mener Høyesterett bare i særlige tilfeller vil være aktuelt å anse som uaktsomt. Det vises til at boligen normalt er låst, og ikke tilgjengelig for andre enn husstandsmedlemmer og deres gjester.

Ved oppbevaring på arbeidssted, må det gjøres en konkret vurdering. Det kan ikke kreves at brikken låses ned hver gang man forlater sin arbeidsplass. Men en viss kontroll på brikken må innehaveren ha, den kan ikke ligge åpent og fritt tilgjengelig. At innehaveren i foreliggende sak ikke hadde hatt kontroll på brikken over lengre tid, og mens han var på ferie, tilsa at det var uaktsom opptreden. Men hensyntatt at banken ikke hadde iverksatt bedre sikkerhets- og kontrolltiltak, kunne det ikke medføre ansvar for innehaveren.

4. Oppbevaring av passord - bevisbyrde

Retten viser til de generelle bevisbyrderegler om at det normalt er den som fremsetter et krav om erstatning som har bevisbyrden for at vilkårene for kravet er oppfylt. Siden BankID-brikken var benyttet av rette innehaver kort tid før misbruket, så kunne passordet like gjerne vært fanget opp ved ordinær bruk eller ved spionprogramvare, som ved at det hadde vært nedskrevet. Det var da ikke tilstrekkelige holdepunkter for at innehaveren hadde opptrådt uforsiktig ved oppbevaring av passord.

5. Ikke vurdert BankID på mobil

Dommen presiserer at den ikke har tatt stilling til løsninger med BankID på mobil da det ikke var benyttet mobil i foreliggende sak. Vi kan da ikke si med sikkerhet at vurderingene ville blitt like dersom det var BankID på mobil som var benyttet.

***

Hva blir konsekvensene av dommen?

Dommen er fersk og det gjenstår å se hva som blir konsekvensene. Man må med rette forvente at finansnæringen iverksetter bedre sikkerhets- og kontrolltiltak så langt det lar seg praktisk sett gjennomføre. I forslaget til ny finansavtalelov er det også foreslått ansvarsbegrensninger for innehavers erstatningsansvar ved avtaleinngåelser med BankID. Blir regelverket vedtatt vil det gi et betydelig sterkere forbrukervern.

Prisen for høyere forbrukervern er imidlertid at det blir enklere å misbruke systemet, og kostnaden ved misbruk vil nok til syvende og sist bæres av forbrukerne. Vi trenger derfor ikke bare økt forbrukervern, men også vern mot at systemet og regelverket misbrukes.