Bruk av BankID har blitt en del av vår hverdag – vi bruker det blant annet for å logge inn i nettbanken, for bekrefte betalinger når vi handler på nett eller for å signere avtaler eller ta opp forbrukslån. Dette har i stor grad forenklet vår hverdag, men det kommer ikke uten risiko.
Den enkle tilgangen på blant annet forbrukslån gjennom bruk av BankID har ført til at en rekke personer har opplevd ID-tyveri. Selv om de har oppbevart sin bankbrikke på relativt normalt vis, har andre likevel klart å ta opp lån i deres navn. I mange tilfeller har dette ført til et enormt erstatningsansvar for kunden ovenfor banken.
Men Høyesterett har nå med dommen i BankID-saken endelig klargjort hva som skal til for at banken kan kreve det svindlede beløpet erstattet av kunden. Dommen slår fast at bankene har et langt større ansvar ved svindel med BankID enn de tidligere har hatt. Dette er en stor seier for våre rettigheter som kunder.
I denne artikkelen skal vi ta for oss dommens viktigste punkter.
En mann ble utsatt for BankID-svindel av et ektepar som fikk innvilget forbrukslån på over kr 100 000 av banken ved å bruke mannens BankID ved signering av låneavtale. Ekteparet hadde fått tilgang til mannens kodebrikke som lå tilgjengelig på hans kontor, men det var ikke klart hvordan de hadde fått tilgang til hans personlige passord.
Lånet ble utbetalt til en konto i mannens navn som ekteparet hadde opprettet, og de overførte deretter pengene til en konto i den ene ektefellens navn. Banken hadde utbetalt pengene kun ved at mannens BankID var benyttet av ekteparet, og banken foretok ingen kontroll av at låneavtalen faktisk ble inngått med mannen.
Banken krevde beløpet erstattet fra mannen som hadde vært utsatt for BankID-svindelen. I tingretten og lagmannsretten ble mannen dømt til å betale erstatning til banken, men Høyesterett frifant mannen for bankens krav om erstatning for det utbetalte beløpet.
Mannen i saken hadde oppbevart kodebrikken sin i en veske plassert i en skuff i et skap på sitt kontor. Kontoret var ikke låst eller lignende, slik at alle ansatte hadde tilgang til kontoret og kodebrikken. Høyesterett vurderte om mannen hadde vært uaktsom – som med andre ord betyr uforsiktig – når han oppbevarte kodebrikken et sted andre hadde tilgang til den:
«Det kan ikke være slik at enhver oppbevaring som skaper mulighet for at andre kan få tilgang til kodebrikken, vil være uforsvarlig. For eksempel kan det ikke kreves at brikken skal låses ned hver gang man forlater sin egen arbeidsplass.
Det må imidlertid kunne kreves at man har en viss kontroll på brikken. Det må etter mitt syn innebære at man må unngå at brikken gjennom lengre tid blir liggende må en måte som gjør at den kan tas i bruk av andre, i alle fall hvis dette kan skje uten av innehaveren vil kunne oppdage bruken.»
Retten mente at mannen kunne bebreides for å ha oppbevart kodebrikken slik han gjorde over en lang periode, og at han i alle fall burde ha låst den inne eller tatt den med seg da han var på ferie. Det var likevel ikke tilstrekkelig for at vilkåret om uaktsomhet for erstatningsansvar var oppfylt i denne saken.
Høyesterett uttalte videre at det ikke er uaktsomt å oppbevare kodebrikken hjemme, da boligen som regel er låst og normalt ikke tilgjengelig for andre enn de som bor der og deres gjester. Det betyr at det er godt nok å oppbevare kodebrikken hjemme.
Høyesterett mente banken, som den profesjonelle parten, måtte ta ansvar for at de valgte å inngå låneavtale på et så betydelig beløp for en enkeltperson kun gjennom BankID.
Retten mente at banken hadde mulighet til å kontrollere om det faktisk var rett person som de inngikk avtale med før de utbetalte beløpet. Hadde banken gjort dette, ville det det være stor sannsynlighet for at svindelen kunne vært unngått. Retten mente derfor at banken bevisst hadde valgt en handlemåte som innebar en risiko for svindel og tap for dem.
Banken, i likhet med andre banker, mente at når en kodebrikke blir misbrukt må det skyldes kodebrikkeeierens uforsiktighet, og at det derfor er kodebrikkeeieren som må bevise at svindelen ikke har skjedd på grunn av at han eller hun har vært uforsiktig.
Høyesterett var ikke enig i dette, og presiserte at det er banken som må bevise at svindelen skyldes kundens uforsiktighet.
Selv om dette egentlig ikke er ny juss, er det likevel overraskende nok en viktig avklaring fordi bankene i stor grad har blitt hørt med det motsatte.
I BankID-saken mente Høyesterett som nevnt at mannen kunne bebreides for måten han oppbevarte kodebrikken, men det var ikke over 50% sannsynlighet for at ektefellene hadde fått tilgang til hans personlige kode som følge av hans uforsiktige opptreden. Høyesterett mente at usikkerheten måtte gå utover banken, og frifant derfor mannen for erstatningskravet fra banken.