Dag Herrem omtaler i innlegg på Rett24 16. juli den særnorske og omfattende rettspraksisen der ofre for BankID-svindel holdes ansvarlig for bankenes tap, etter at penger er betalt ut til svindlere basert på låneavtaler med falsk digital signatur. Herrem reiser et viktig spørsmål: Hvordan kan det avsies så mange dommer som støter mot alminnelig rettsfølelse, uten at det stilles flere spørsmål ved det rettslige grunnlaget?

Vi skal peke på noen mulige forklaringer og beskrive forhold som gir grunnlag for karakteristikken systemsvikt.

Fravær av lovgiver

Lovgiver har åpnet for bruk av BankID på stadig nye områder – uten samtidig å sørge for regulering av den medfølgende risikoen. Et eksempel er at tvangsfullbyrdelsesloven i 2017 ble endret slik at elektronisk signerte gjeldsbrev kan brukes til direkte tvangsinndrivelse. Lovendringen ble vedtatt uten et ord om ivaretagelse av ofre for id-tyverier. Risikoen er veltet over på ofre som har fått BankID’en sin misbrukt. For å hindre trekk i lønn og tvangssalg av bolig, må offeret innlede kostbare rettslige prosesser mot flere banker som tilsynelatende har tvangsgrunnlag. I et eksempel vi kjenner til har dette ført til at mor og barn har mistet hjemmet sitt, og blitt tvunget til å flytte til hvert sitt sted.  

Lovgiver har omsider tatt grep i forslaget til ny finansavtalelov. Finansnæringen hevder forslaget ikke er tilstrekkelig utredet. Det virkelige problemet er imidlertid at man i utgangspunktet åpnet bredt for digital signatur, uten en skikkelig utredning av konsekvenser for enkeltpersoner og samfunnet.

Feil lovanvendelse

I mange av sakene er det opplagt at domstolen anvender erstatningsreglene feil. Domstolene slår fast uaktsomhet raskt, uten oppstilling av noen tydelig aktsomhetsnorm. Retten anser det tilstrekkelig å konstatere at offeret har håndtert kodebrikken annerledes enn brukeravtalen foreskriver. Offerets individuelle forutsetninger drøftes lite. Bankens ansvar for å sikre seg mot ran ved misbruk av BankID drøftes ikke. Når uaktsomhet er konstatert, anses kravet til årsakssammenheng oppfylt, og uten noen drøftelse av betydningen av at tapspotensialet er ubegrenset. Bankenes praksis med kun å legge frem for retten saker der de vinner frem, samt manglende publisering i Lovdata av en rekke saker, kan ha sementert en uriktig rettspraksis.

Dommene fra Gjøvik tingrett (TGjov-2017-170313) og Borgarting lagmannsrett (LB-2018-192525) er unntakene. Sistnevnte har prinsipielt tilsnitt:

«Når risikoen er kjent, og forutsetningsvis akseptert ved at BankID likevel godtas som identifikasjon blant annet ved opptak av banklån, er det etter rettens syn mest nærliggende at bankene kostnadsberegner risikoen og fordeler den på den samlede kundemassen som har fordelen av at man akseptere BankID som en sikker elektronisk signatur. Alternativet – å kompensere sikkerhetsrisikoen gjennom en urealistisk aktsomhetsnorm som i realiteten overfører bankenes eget tap til tredjepersoner gjennom et objektivt erstatningsansvar eller en omvendt bevisbyrde – er det etter lagmannsrettens oppfatning ikke rettslig grunnlag for.

Allerede i 2014 ble en sak om misbruk av BankID i forbindelse med låneopptak anket inn for Høyesterett, men saken slapp ikke inn til behandling. (HR-2014-2412-U.) Når Høyesterett nå har sluppet inn en sak, håper vi på prinsipielle avklaringer.

Finansklagenemnda

Ifølge Finansklagenemndas vedtekter skal den behandle «klager som gjelder tvister som springer ut av kontraktsforhold med finansselskap».  Nemnda avviste allerede i 2013 en sak om BankID-svindel (FinKN-2013-422) fordi låneavtale var signert ved misbruk av BankID, og tvisten springer da ikke ut av et (gyldig) kontraktsforhold. Praksisen er opprettholdt i en rekke saker. Forbrukerrådet, Finans Norge, Virke, NHO, Finansieringsselskapenes forening og Verdipapirfondenes forening fastsetter vedtektene for nemnda. Hadde aktørene ønsket det, kunne vedtektene vært endret slik at ofrene for svindel fikk tilgang til gratis tvisteløsning i nemnda.

Ingen rettshjelp

Størst mulig utbytte for svindleren sikres ved å ta lån i mange banker. Betalingskravene strømmer på med inkassovarsler, innkalling til forliksrådsmøter mm. Kravene stilles ikke i bero i påvente av rettslig avklaring eller politietterforskning. Individene får også problemer med å håndtere egen, reell gjeld.  Den psykologiske effekten er betydelig – det blir vanskelig å åpne posten. Bankene inndriver kravene mot samme BankID-innehaver ett og ett. Kanskje blir kompliserte rettsspørsmål og betydningen av flodbølgeeffekten borte fra analysen nettopp fordi bankene ikke forener kravene til samlet behandling for retten?

Advokathjelp er nødvendig. Etter praksis i Finansklagenemnda Skade regnes BankID-svindel som ett krav i relasjon til rettshjelpsforsikring, selv om det er tatt opp mange lån (FinKN-2018-850 og FinKN-2020-13.) Dekningen begrenses dermed til kr. 100.000 for samtlige krav. Hvis offeret har inntekt, er muligheten for fri rettshjelp i praksis avskåret, selv om inntekten umulig kan dekke levekostnader samt reelle og ikke-reelle kreditorers løpende krav. Det grunn til å spørre om kravet i EMK artikkel 6, om tilgang til domstolene for å få fastslått sine borgerlige rettigheter og plikter, brytes.

Manglende tilgang til bevis

Svindleren har typisk tegnet telefonabonnement i personens navn og opprettet e-postadresse. Det opprettes en innskuddskonto i offerets navn. Hit utbetales lånene – tilsynelatende til en konto som er eid av den som tok opp lånet. Pengene sluses videre til svindlernes nettverk, kanskje i utlandet. Bankens kommunikasjon er elektronisk - til den falske e-postadressen. Eieren av kodebrikken blir ikke klar over hva som skjer og mangler tilgang til bevis for svindelen. Han har normalt ikke tilgang til telefonnummeret eller epostadressen som er oppgitt, hva som står i lånesøknaden, når lånene er tatt opp osv.

Personvernnemndas sak PVN-2019-08 om innsyn i personopplysninger i mobilabonnement etter ID-tyveri illustrerer. Offeret ønsket innsyn i samtalelogg for å sjekke om finansinstitusjoner var blitt kontaktet. Personvernnemnda avviste begjæringen om innsyn fordi opplysningene «ikke er personopplysninger om A, men personopplysninger om den som har opprettet mobilabonnementet. GDPR artikkel 15 gir da heller ikke A rett til innsyn. Det er politiet som i et slikt tilfelle vil kunne be om utlevering av opplysninger. Når politiet ikke har funnet grunn til å etterforske ytterligere, kan ikke A velge å tre inn i den rollen.»

Kun få saker etterforskes og etterforskningen tar tid. Bankenes inndriving mot pseudodebitor vil ha kommet langt før politiets konklusjoner foreligger. Selv da er erfaringen fra saker vi kjenner til, at noen involverte banker ikke er interessert i at profesjonell kriminalitet er dokumentert. Disse bankene nøyer seg med å peke på forenklede konstateringer av uaktsomhet.

Bankene er lite villige til å dele informasjon om interne sikkerhetsprosedyrer som er avgjørende for spørsmål om skadelidtes medvirkning, eller som kan tilsi at en bank har vært uaktsom. I ett tilfelle er vi kjent med, ble innskuddskontoen som var opprettet for utbetaling av lånene stengt for innskudd etter initiativ fra av banken selv. Kontoen ble imidlertid ikke stengt for uttak. De siste overføringene til svindleren skjedde etter at kontoen var stengt for innskudd. 

Privatetterforskning er kostbart, med usikkert utfall.  I Borgartingssak LB-2019-192625, var offer for BankID-svindel dømt i tingretten til å betale lån opptatt i hans navn fordi retten fant det bevist at han hadde signert avtalen selv. Innleid privatetterforsker fant spionprogramvare på personens PC.  Banken frafalt kravet og saken for lagmannsretten gjaldt kun saksomkostninger. Lagmannsretten kom til at det forelå «tungtveiende grunner» for at banken, som feilaktig hadde saksøkt et offer for BankID-svindel, skulle slippe å dekke offerets saksomkostninger. Dette i stedet for å legge avgjørende vekt på at både hovedregelen om saksomkostninger og forskjellen i styrkeforhold mellom partene jf. tvl § 20-2 (3) c, tilsa at banken dekket offerets saksomkostninger. Igjen bærer individene kostnadene ved svakhetene i systemet.

Systemsvikt

Samlet sett dreier det seg om komplett systemsvikt. Svindel med BankID har fått utvikle seg til et samfunnsproblem. Individers utsikter til et ordinært liv med egen bolig og selvforsørgingsevne ødelegges, mens bankene tjener gode penger, særlig på forbrukslån. Samfunnet må plukke opp deler av regningen, men bankene slipper. Vi håper at Høyesterett presiserer erstatningsretten på dette livsområdet slik at risikoen plasseres der risikoen hører hjemme, og uten oppstilling av urealistiske og ikke-individualiserte aktsomhetsnormer. Vedtakelse av ny finansavtalelov vil avhjelpe de mest akutte problemene dersom lovgiver tetter hullene i forslaget, herunder det foreslåtte forbudet mot lemping. Dette er imidlertid neppe nok. De omfattende problemene knyttet til tilgang til bevis, mangel på rettshjelp og gratis tvisteløsning må også løses. Lovgiver bør Særlig ta tak i hvordan sårbare grupper kan beskyttes.