Artikkelen er skrevet sammen med stipendiat Vebjørn Wold, stipendiat Lars Petter Halvorsen Omland, stipendiat, professor Mads Andenæs, professor Malcolm Langford, professor Geir Woxholth, professor Tobias Mahler, professor Tone Linn Wærstad, professor Harald Irgens-Jensen, førsteamanuensis Johannes Hygen Meyer, professor Kristian Gjøsteen og førsteamanuensis Trude Myklebust

I en dom avsagt 18. juni 2026 (HR-2026-1359-A, Entercard) viser Høyesterett ingen nåde mot personer som deler BankID. Saken gjaldt en mann som på grunn av psykiske helseutfordringer delte BankID med ekssamboeren sin, som deretter misbrukte denne til å ta opp en rekke forbrukslån på totalt nesten 1,3 millioner i hans navn. Kvinnen var straffedømt for forholdet, og tre banker valgte å fremme krav mot kvinnen som ledd i straffesaken. Entercard valgte isteden å saksøke mannen.

Høyesterett kom til at han var fullt ut erstatningsansvarlig for Entercards tap, og fant det dermed ikke «nødvendig» å ta stilling til det partene hadde brukt mest tid på: Spørsmålet om mannen kunne være avtalerettslig bundet som følge av uaktsomhet eller ulovfestet fullmakt.

At Høyesterett dermed ikke konstruerte en regel om avtalerettslig binding på grunnlag av straffbart identitetsmisbruk, er et slags lyspunkt. Samtidig ligger resultatet i dommen tett på avtalerettslig binding. I avsnitt 70 ser det faktisk ut som Høyesterett mener mannen hefter også for avtalt rente. Dette følger ikke av domsslutningen, og må være et arbeidsuhell.

For øvrig er dommen dessverre mer rettsuavklarende enn rettsavklarende. Sentrale faktiske og rettslige forhold er dessuten oversett eller misforstått. Siden saken gjaldt hendelser som skjedde før ikrafttredelsen av den nye finansavtalen, hvor våre lovgivere uttrykker et ganske annet syn på hvordan risikoen for misbruk av BankID skal fordeles mellom bank og kunde, bør den ikke få betydning for saker som faller inn under den nye loven.

Aktsomhetsnormen

Det generelle utgangspunktet for rene formuestap er at ansvarsgrunnlag krever brudd på en «allmenn handlenorm», jf. senest HR-2026-1345-A, Tesla. Tapet var forvoldt ved bedrageri av banken, slik at det ansvarsbetingende forholdet i prinsippet skulle betraktes som en form for medvirkning til bedrageri. I tråd med HR-2020-2021-A, Easybank, tok Høyesterett utgangspunkt i hvilke «rimelige forholdsregler» BankID-innehavere må ta for å unngå tap hos tredjeparter. Vurderingen ble forankret i BankID-avtalen.  

Mannen saken gjaldt hadde overlevert BankID til sin samboer, og i en treårsperiode fulgte han ikke med på e-post, skattemelding eller bevegelser på kontoen i nettbanken. At dette er forhold som taler for ansvarsgrunnlag er greit nok. Det er klart at man som hovedregel må kunne regne med at folk ikke deler BankID med andre, og at reglene bør gi insentiver til brukerne om ikke å dele BankID.

Spørsmålet er imidlertid hvilke handlingsalternativer folk i slike situasjoner har, når sykdom rammer eller man ikke har nødvendige digitale ferdigheter til å henge med på veien mot «verdens mest digitaliserte samfunn» – som er myndighetenes mål.

Høyesterett viser til at mannen kunne ha inngått en avtale om disposisjonsfullmakt for bankkontoen. Problemet er bare at dette ikke er et reelt handlingsalternativ som dekker hjelpebehovene. For det første gir disposisjonsfullmakt disponenten verken innsyn i, eller mulighet for å betale, e-fakturaer i kontohaverens navn. Dette er fordi e-faktura er knyttet til personnummer, ikke til en spesifikk konto. Dersom mannen hadde gitt ekssamboeren sin disposisjonsfullmakt, kunne hun altså ha brukt alle pengene hans – men ikke hjulpet til med å betale e-fakturaer.

Disposisjonsfullmakt løser heller ikke hjelpebehovet for alle andre tjenester der BankID er nødvendig, og hvor digitale fullmaktløsninger ikke eksisterer, for eksempel for kommunikasjon med NAV. Det er derfor ikke overraskende at nasjonale undersøkelser viser at en femtedel av Norges befolkning deler BankID. Systemet er nemlig rigget slik at det ikke finnes gode alternativer. Brukerne har heller ingen kontroll over hvilke tjenester og brukersteder BankID’en kan brukes, og ingen mulighet for selv å begrense og kontrollere risikoen.

At disse forholdene ikke tas inn i vurderingen av hva som er «rimelige forholdsregler» hos BankID-innehavere, fremstår som en klar svakhet ved dommen.  

Forhold på bankens side

I Easybank etablerte Høyesterett en relativisert culpanorm, der forhold på bankens side inkluderes i vurderingen av ansvarsgrunnlag. Her tok Høyesterett utgangspunkt i at låneinngåelse kun basert på BankID innebærer at banken «bevisst [har] valgt en handlemåte som innebar en klar risiko for tap» og at banken må forventes å iverksette ytterligere sikkerhetstiltak.

I Entercard derimot, betones det sterkt at det ikke foreligger brudd på krav i lov, forskrift eller bransjenorm, at dette innebærer at banken ikke kan bebreides, og at det heller ikke var grunnlag for å sette ned erstatningen på grunn av skadelidtes medvirkning etter skl. § 5-1. Dette er en for snever oppfatning av culpanormen for rene formuestap overfor banken, hvor det riktige også her er å vurdere brudd på en «allmenn handlenorm». Det er da heller ingen spor av at Høyesterett i Easybank-saken for seks år siden mente at slike mulige tiltak må følge av lov, forskrift eller bransjenorm for å være relevante.

Høyesterett uttaler eksplisitt at en bransjenorm vedtatt av Finans Norge i 2020 ikke kan tillegges vekt fordi den «ikke gjaldt på lånetidspunktet». Allerede i en rapport fra Finans Norge i 2013 ble det påpekt at digital inngåelse av låneavtaler medførte økt risiko for ID-misbruk. Likevel satte næringen ikke i verk tiltak før syv år senere. Men istedenfor å kritisere dette, blir det premiert av Høyesterett. Lærdommen for bransjen er kanskje at det er tryggest å unnlate å vedta bransjenormer, for på den måten å redusere risikoen for bebreidelse i ettertid.

Drøftelsene av bankens forhold bærer for øvrig preg av at Høyesterett ikke fullt ut har fått belyst risikoen ved dagens eID-system. I en områdegjennomgang av ID-forvaltningen fra 2019 ble det påpekt at manglende kontroll med om det faktisk er innehaveren som bruker en eID, utgjør et «grunnleggende sikkerhetshull» i systemet. Det er nettopp dette «grunnleggende sikkerhetshullet» som muliggjør bedragerier med misbruk av BankID – uavhengig av hvordan BankID’en har kommet svindleren i hende. Finansbransjen har, ved å legge opp til rask og helautomatisert låneformidling, tatt en kalkulert risiko basert på systemer med kjente sårbarheter, og tjent på det.

Høyesterett uttaler i avsnitt 97 at frivillig deling av BankID innebærer en «risiko som verken finansforetak som slutter avtaler med kunder basert på BankID, eller den aktuelle BankID-tjenestetilbyder kan beskytte seg mot gjennom tekniske sikkerhetstiltak». Dette er ikke riktig, og innebærer dessuten en selvmotsigelse i dommen. Noen avsnitt over drøfter Høyesterett bl.a. biometrisk kontroll, videomøte og fysisk oppmøte. Slike tiltak ville åpenbart tatt ned risikoen forbundet med at en femtedel av befolkningen deler BankID. Når Høyesterett avviser relevansen av tiltakene, er det altså ikke fordi de ikke eksisterer, men fordi de ikke følger av lov, forskrift eller etablert praksis, og fordi kostnader og effekt er usikre. Synspunktet synes primært å bygge på en oppfatning om at det ikke er domstolenes oppgave å pålegge tiltak som innebærer «et skjerpet sikkerhetsnivå».

At et tiltak kunne ha avverget tapet, og at dette tillegges betydning i den erstatningsrettslige vurderingen av om banken kan velte tap etter bedrageri over på BankID-innehavere, er imidlertid ikke det samme som at det oppstilles et generelt krav om å benytte det. Det får være opp til bankene å gjøre kost-nytte vurderinger. Både domstolene og lovgiver er dårlig rustet til å bestemme hvilke konkrete tiltak som bør iverksettes til enhver tid. Til det endrer risiko, svindelmetoder og teknologi seg for raskt. Reglene bør derfor gi insentiver til å iverksette tiltak utover minimumskrav i lov og forskrift.  

Det oppstår etter dette et spenningsforhold mellom Easybank og Entercard mht. betydningen av sikkerhetskrav i lov, forskrift og bransjestandarder. Det som derimot er klart, er at lovgiver i finansavtaleloven bygger på et system der bankene som utgangspunkt må bære risikoen, helt uavhengig av om alle sikkerhetskrav i lov, forskrift og bransjenormer er oppfylt. Unntak gjelder bare dersom kunden forsettlig har brutt sine plikter, jf. nedenfor om dette. I et slikt perspektiv fremstår Entercard mer som et gufs fra fortiden enn som et uttrykk for den retningen lovgiver (og Høyesterett i Easybank) har staket ut.

Lemping

Selv om vilkårene for erstatning er til stede, kan ansvar etter en konkret vurdering settes ned etter regelen om lemping i skl. § 5-2. Høyesterett fant, med en svært problematisk begrunnelse, at mannens ansvar ikke skulle settes ned etter denne bestemmelsen.

I Easybank fremhevet Høyesterett at der vilkårene for erstatningsansvar er oppfylt vil det «kunne være grunnlag for å sette erstatningsbeløpet vesentlig ned». I Entercard er innfallsvinkelen en ganske annen. Høyesterett erkjenner at tapet er betydelig, og vil virke økonomisk tyngende. Men så uttales det i avsnitt 97:

«Dersom en forbruker forsettlig har brutt sin aktsomhetsplikt, utgjør det en risiko som verken finansforetak som slutter avtaler med kunder basert på BankID, eller den aktuelle BankID-tjenestetilbyderen kan beskytte seg mot gjennom tekniske sikkerhetstiltak alene, nettopp fordi dette skjer ved at innehaveren selv opphever den sperren systemet bygger på. Sterke preventive hensyn taler derfor mot lemping.»

Vi er bekymret for at bankene kommer til å gripe til denne uttalelsen som et argument for at lemping er utelukket ved enhver frivillig deling av BankID. Til sammenligning: I Rt. 2004 s. 165 ble erstatningsansvaret for en ung mann som var strafferettslig dømt for å ha tent på et eldresenter, lempet med 50 %. I HR-2025-2523-A ble erstatningsansvaret til klimaaktivister som var domfelt for grovt skadeverk etter å ha sprøytet maling over fasaden til Klima- og miljødepartementet, satt ned med 50 %.

Å dele BankID er ikke straffbart. Tvert imot: Mannen er utsatt for en alvorlig straffbar handling i form av en identitetskrenkelse. Det er mer enn underlig at dette ikke tillegges vekt i lempingsvurderingen. 

Vi velger likevel å tro at landets øverste domstol ikke i fullt alvor kan ha ment at det er en større forbrytelse å dele BankID enn å tenne på et eldresenter. Til tross for den tilsynelatende prinsipielle begrunnelsen, kan derfor dommen – etter vårt syn – ikke forstås som uttrykk for noe annet enn at Høyesterett mente at de konkrete omstendighetene i saken tilsa at ansvaret ikke ble lempet.  

Forholdet til ny finansavtalelov

I finansavtaleloven av 2020 har lovgiver, via innstillingen i justiskomiteen, eksplisitt gitt uttrykk for at vern mot livsødeleggende konsekvenser ved BankID-misbruk også skal gjelde ved visse tilfeller av frivillig deling av BankID. Formålet med å nyansere disse tilfellene er nettopp, blant annet, at mennesker som «har behov for hjelp av andre til å betale regninger» ikke automatisk skal «være ansvarlig for hele tapet». At disse hensynene ikke er tatt med i Høyesteretts vurderinger av verken ansvarsgrunnlag eller lemping er underlig i seg selv. Det krever en begrunnelse når Høyesterett leser sentrale hensyn på en helt annen måte enn lovgiver har gjort.

Verre er det at dommen også skaper unødvendig usikkerhet for forbrukere som lovgiver har forutsatt skal være vernet av de nye reglene. Dette gjelder særlig bruken av begrepet «forsett» i avsnittet om lemping, som er sitert over. Ordvalget, eller forholdet til finansavtalelovens skyldterskler, kommenteres ikke. Det er på ingen måte opplagt at forbrukeren i denne saken hadde utvist forsett i den nye finansavtalelovens forstand, og dommen kan ikke tillegges vekt for tolkningen av finansavtalelovens regler.

Dersom forsett foreligger etter finansavtaleloven, vil eventuell lemping av ansvaret måtte forankres i den alminnelige regelen i skl. § 5-2. Derfor er dommens uttalelser om lemping særlig uheldige.  

EØS-retten

EØS-retten står ikke sentralt for spørsmålet Høyesterett tar stilling til. To forhold skal likevel bemerkes.

EIDAS-forordningen stiller krav til sikkerhet i systemer for eID og elektroniske signaturer. Forordningen var ikke tema under forhandlingene, men likevel gjør Høyesterett et poeng ut av at den stiller krav om at «innehaveren skal ha enekontroll – «sole control» – over sine signaturfremstillingsdata». At forordningen skal forstås på denne måten, som et krav til brukerne istedenfor krav til systemeier, er omstridt. Sivilombudet har i en sak fra i fjor kritisert Diskrimineringsnemnda for å legge en slik tolkning til grunn uten en nærmere drøftelse.

Høyesterett har med denne dommen dermed – muligens uforvarende – støttet opp under en omstridt tolkning av eIDAS-forordningen av svært stor betydning for spørsmål om tilgangen til eID for personer som trenger hjelp til bruken. Det burde vært fremlagt for EFTA-domstolen hvis det skulle tillegges vekt på denne måten.

Videre unnlater Høyesterett å undersøke om bankens plikter etter forbrukerkredittdirektivet til forsvarlig kredittvurdering, er oppfylt. I og med at Høyesterett forankrer mannens aktsomhetsplikt i BankID-avtalen, som er en standardavtale mellom en næringsdrivende og forbruker, oppstår også spørsmål om klarheten og rimeligheten av denne avtalen etter forbrukeravtaledirektivet. Implikasjonene av EØS-basert forbrukerrett er et forhold domstolene, etter EU-domstolens praksis, skal ta stilling til av eget tiltak. Høyesterett i storkammer understreket selv sitt eget ansvar for å sikre dette i den historiske Dartride-kjennelsen (HR-2026-1309, avsnitt 69 og 70), for bare noen få dager siden. Den institusjonelle hukommelsen rekker tydeligvis ikke særlig langt.

Betydningen for fremtidige saker

Etter seks timer med forhandlinger i Høyesterett, hvorav mer enn halvparten av tiden ble brukt på spørsmål Høyesterett ikke tar stilling til, står vi igjen med en dom som bidrar til lite annet enn unødvendig rettsuklarhet. Dommen bør etter vårt syn forstås i lys av de konkrete og spesielle omstendighetene i saken. Den må dessuten anses irrelevant for saker som faller innenfor særreguleringen i finansavtaleloven.

Det er likevel ikke til å stikke under stol at dommen har skapt en rettuklarhet, særlig hva gjelder lemping, med potensielt alvorlige konsekvenser. JURK’s advarsel i DN før dommen falt om at den kunne få «svært inngripende konsekvenser» for personer som svindles i nære relasjoner, gjerne som ledd i et generelt vold- eller kontrollregime, kan dessverre bli en realitet. Som kjent går rettsuklarhet i praksis utover den svake part.

David mot Goliat

I Easybank var forbrukeren representert ved et team av advokater i et stort forretningsjuridisk firma. Forbrukerrådet opptrådte dessuten som partshjelper. I Entercard ble forbrukeren representert av én advokat, uten Forbrukerrådet i ryggen. Partenes sakskostnadsoppgaver viser at bankens advokater har brukt vesentlig mer tid på saken. På saksforberedelsens siste dag sendte Finans Norge dessuten inn skriftlig innlegg «til belysning av allmenne interesser», som det så fint heter i tvisteloven § 15-8. De «allmenne interessene» er naturligvis finansnæringens interesser, som ble stående ubesvart fra forbrukersiden. Flere sentrale deler av dommen fremstår som en ren gjengivelse av Finans Norges argumentasjon fra det skriftlige innlegget.  

Det hadde vært ønskelig om vår øverste domstol hadde vært i stand til å utjevne disse styrkeforholdene. Dessverre tyder dommen på det motsatte.