Torsdag 27. november besluttet Høyesteretts ankeutvalg å tillate fremmet anke over en dom fra Eidsivating lagmannsrett, om misbruk av BankID i nære relasjoner. Saken gjelder en mann som overlot datamaskin, BankID-brikke og passord til sin tidligere samboer for å få hjelp med å håndtere post og regninger. Den tidligere samboeren tok opp lån i hans navn for til sammen 1,284 millioner kroner. Den konkrete saken gjelder et Entercard-lån på 455.000 kroner. Lagmannsretten kom til at mannen var ansvarlig på erstatningsrettslig grunnlag for det fulle lånebeløpet med tillegg av forsinkelsesrenter og omkostninger.

Misbruk av BankID i nære relasjoner er dessverre et utbredt problem, og i mange tilfeller er sikkerhetsinformasjon gitt (mer eller mindre) frivillig. Dette skiller sakstypen fra HR-2020-2021-A (Easybank), og reiser flere spørsmål hvor rettstilstanden er uklar. Høyesteretts avklaringer vil derfor ha stor praktisk betydning.

Vil være avgjørende

Et første spørsmål er om frivillig overlevering av BankID kan etablere en tillitsfullmakt på ulovfestet grunnlag. Högsta domstolen åpnet i 2021 for en slik tilnærming i en sak om et mindre forbrukslån (drøyt 18.000 SEK). I norsk teori er det imidlertid – av undertegnede og flere andre – lagt til grunn at det neppe er grunnlag for avtalebinding basert på ulovfestet representasjon ved misbruk av BankID. Fraværet av avklarende høyesterettspraksis gjør likevel rettstilstanden usikker.

Dersom avtalebinding ikke kan konstateres, må spørsmål om tapsfordeling løses med utgangspunkt i erstatningsrettslige regler.

Kodebrikke og mobiltelefon er ofte lett tilgjengelig for personer med nære relasjoner. Hvilken betydning dette skal ha for aktsomhetsnormen er uklart. I LB-2018-192525 la Borgarting vekt på at passordet i realiteten er den eneste beskyttelsen mot misbruk av BankID i nære relasjoner, og uttalte at denne risikoen er «kjent og forutsetningsvis akseptert» av bankene, som må kostnadsberegne og fordele risikoen. I LB-2020-55377 (avsagt etter Easybank) la samme lagmannsrett derimot til grunn det motsatte: at nettopp tillitsforholdet i nære relasjoner tilsier en «særlig aktsomhetsplikt for å beskytte sitt passord». De to dommene trekker i diametralt motsatte retninger. Høyesteretts avklaring vil være avgjørende for utviklingen av aktsomhetsnormen på dette området.

Ny lov

Ny finansavtalelov trådte i kraft 1. januar 2023 og inneholder i kapittel 3 III regler om begrensning av slikt erstatningsansvar. Etter § 8-2 første ledd gjelder loven som hovedregel også for avtaler inngått før ikrafttredelsen. Unntakene i annet ledd omfatter ikke kapittel 3 III. Det kan derfor stilles spørsmål ved om tapsfordelingsreglene får anvendelse også på (ugyldige) avtaler inngått etter misbruk av BankID før lovens ikrafttredelse – et spørsmål hittil uavklart i praksis.

Ny finansavtalelov samordner reglene om misbruk av BankID og betalingsinstrumenter. Hovedregelen er at banken bærer tapet, mens kunden må dekke en egenandel ved grov uaktsomhet og hele tapet ved forsett. Sistnevnte er presisert i § 3-20 (4) (og § 4-30 (4) for betalingstransaksjoner) ved at kunden må ha brutt sine plikter «forsettlig slik at rettighetshaveren [dvs. BankID-innehaveren] måtte forstå at misligholdet kunne innebære en nærliggende fare» for misbruk.

I HR-2022-1752-A (Olga-svindel) slo Høyesterett fast at tidligere lovs forsettbegrep krevde at kunden var bevisst selve pliktbruddet. Spørsmålet om det også krevdes skyld i relasjon til risikoen for tap, ble derimot ikke avklart. Ny lovs ordlyd krever uttrykkelig begge deler, men rekkevidden av skyldkravet i relasjon til tapet er fortsatt uklar.

Økt ansvar er effektivt

Der vilkårene for ansvar foreligger, oppstår spørsmål om lemping etter skadeserstatningsloven § 5-2 og/eller finansavtaleloven § 3-21. Bestemmelsene har særlig betydning i saker om misbruk i nære relasjoner, hvor passord og kodebrikke ofte er overlevert frivillig for å få hjelp i hverdagen – situasjoner som ofte resulterer i meget store tap.

Ved BankID-misbruk i forbindelse med låneopptak er det endelig grunn til å vurdere ovennevnte problemstillinger i lys av forbrukerkredittdirektivet, herunder om banken har foretatt en forsvarlig kredittvurdering. EU-domstolen har ved flere anledninger slått fast at det gjelder en plikt for domstolene til å vurdere EU-rettslige forbrukerrettigheter, herunder rettigheter som følger av forbrukerkredittdirektivet, av eget tiltak (ex officio).

Den saken som nå er sluppet inn for Høyesterett, ligger godt til rette for å avklare flere – om ikke alle – disse spørsmålene. Selv om enkelte problemstillinger kanskje ligger litt i utkanten av det som er mest sentralt i den konkrete tvisten, er det å håpe at Høyesterett benytter anledningen til å gi veiledning også om disse.

Klare rettslige rammer er avgjørende både for forbrukerne, for bankene og for et rettssystem som i økende grad må håndtere konsekvensene av økt risiko som følge av digitalisering. Erfaringen etter Easybank og Olgasvindel er dessuten at rettsavklaring med økt ansvar for bankene er svært effektivt mht. å gi insentiver for bedre sikkerhetssystemer.