Det er på tide at finansnæringen deltar i kampen mot ID-tyveri

I 2004 ble BankID for første gang tatt i bruk i Norge.[1]I dag har BankID 4.3 millioner brukere[2] og et langt videre anvendelsesområde enn det opprinnelige. For eksempel krever ikke bankene mer enn en enkel identifisering og signering med BankID ved kredittopptak.

Utviklingen av moderne teknologi har utvilsomt positive sider for et effektivisert samfunnsliv. BankID-svindel der det opptas lån i svindelofferets navn er en bakside av medaljen som bankene ikke enda har tatt på alvor.

Det fremstår ubegrunnet at bankene enda ikke foretar ytterligere kontrolltiltak for å forsikre seg om at den det faktisk utbetales lån til, er den som signerer låneavtalen. Av hensyn til bankkundene er det på høy tid at finansnæringen kommer på banen.

For mange kan svindeltap i millionklassen unngås om bankene stiller ytterligere krav til legitimering ved inngåelse av avtaler om forbrukslån med skyhøye renter. Bankene kan legge opp til biometrisk autentisering eller en flerleddet sikkerhetsprosedyre for å gjøre det vanskeligere å være svindler, istedenfor å la en enkel signering med BankID beregnet for enkle transaksjoner være tilstrekkelig.

Bankenes svake kontrollrutiner begrunnes i at signering med BankID alene er en sikker løsning for å identifisere «låntakeren». I lys av de stadig mer raffinerte metoder for å tilegne seg noens BankID, samt bankenes tendens til å holde svindelofferet ansvarlig tross kjent og/eller dømt svindler, er praksisen både ruinerende og umoderne.

Høyesterett har tatt dette innover seg og gitt bankene tydelige signaler om at dagens kontrollrutiner er for svake. I en ny dom fra 2020, HR-2020-2021-A, måtte banken selv bære tapet som oppstod da svindlerne benyttet en annens BankID for låneopptak. Begrunnelsen var at banken ikke foretok ytterligere initiativ for å kontrollere underskrivers identitet med annet enn signatur med BankID.

Høyesteretts kritikk av bankens praksis er tydelig. Og i lys av at samme identifiseringsrutine brukes for å logge inn på steder som Vigo.no og Helsenorge, er kritikken utvilsomt på sin plass. At svindelen antakelig ville vært unngått hvis banken hadde villet, skinner gjennom. Jussen går fremover. Begrunnelsen er tydelig; BankID kan ikke alene erstatte personlig oppmøte i banken.

Likevel tviholder bankene enda på en praksis som muliggjør omfattende og ruinerende svindel.

For de ofrene som ikke har midler til å gå til retten er situasjonen derfor den samme som før høyesterettsavgjørelsen fra 2020; de forholder seg til en forbruksbank som ikke iverksetter ytterligere tiltak for å kontrollere at låneopptaket ikke foretas av - og utbetales til – en svindler. Deretter holdes de ansvarlige for svindeltapet. Banken får i pose og sekk – de trenger verken forbedre seg eller lide en reell tapsrisiko. 

Kampen mot ID-tyveri tas i dag av forbrukeren alene. Skal banken kreve at forbrukeren behandler BankID-informasjonen sin med varsomhet, må bankkunden kunne kreve det samme fra dem. Bankene har ressurser og muligheter til å imøtegå den overhengende faren for svindel som BankID utgjør, ved å etablere sårt trengte kontrolltiltak. Både bankkundenes sikkerhet og Høyesterett krever at det skjer nå.