- Friske påstander om kampen mot ID-tyveri

Av:

• Marte Eidsand Kjørven, professor ved Institutt for privatrett, UiO. Kjørven har jobbet i Lovavdelingen med forslag til ny finansavtalelov i 2016-2017
• Geir Woxholth, professor ved Institutt for privatrett, Universitetet i Oslo

Gry Nergård i Finans Norge påstår i et innlegg 25. oktober 2021 i Juristen at finansnæringen «ikke bare deltar, men leder an» i kampen mot ID-tyveri. Innlegget er et tilsvar til Maren Moe fra Jussbuss 21 oktober 2021.  

Påstanden er frisk i lys av forhistorien. Sannheten er at bransjen har vært en brems når det gjelder rettssikkerheten og rettsutviklingen på dette området. Resultatet er at mange ID-tyveriofre er blitt gjeldsslaver.

Bakgrunnen for debatten er en rekke saker der lån er tatt opp etter misbruk av BankID. I mange av sakene har det til og med foreligget straffedom mot svindleren – men bankene har likevel valgt å forfølge ofrene for ID-svindel for å få dekket sine tap.

Bankene har dessverre i en del tilfelle fått underrettene med seg på grunnlag av en argumentasjon som klart er feilaktig. Eksempler på forhold som av bankene og tingrettene har blitt ansett som erstatningsbetingende uaktsomme er å bruke nettbank i samme rom som samboer og å skrive ned passordet (selv om du er 93 år og har alzheimer). I noen tilfeller har underrettene gått så langt som til nærmest å konstatere et rent objektivt ansvar for BankID-innehaveren.

Disse feilaktige avgjørelsene hadde aldri blitt truffet, hvis bankene hadde «ledet an i kampen mot ID-tyveri». Bankene kunne ha forhindret flere tilfeller av svindel med bedre kontrolltiltak, og burde i alle tilfelle ikke ha bragt sakene inn for domstolene med en så svak argumentasjon.

En arbeidsgruppe nedsatt av Finans Norge anbefalte i en rapport fra 2013 at «bankene til en viss grad påtar seg ansvar og ”pulveriserer” tap som oppstår i den nedre del av uaktsomhetsskalaen når det gjelder håndtering og bruk av BankID». Dessverre var det mange banker som ikke fulgte oppfordringen. Som Gry Nergård selv påpeker, har dette hatt «dramatiske og potensielt livsødeleggende» konsekvenser for dem som er rammet.

Høsten 2020 slo Høyesterett omsider fast at mye av denne underrettspraksisen bygger på feil forståelse av gjeldende rett (HR-2020-2021-A). Der underinstansene har fokusert på privatpersoners ansvar for å beskytte banker mot tap gjennom å oppstille urealistiske krav til aktsomhet, retter Høyesterett oppmerksomheten mot bankenes egne muligheter for å unngå tap i sin forretningsvirksomhet.

Høyesterett legger til grunn at dersom banken hadde satt i verk ytterligere kontrolltiltak, ville det ha vært «stor sannsynlighet for at misbruket ville vært unngått». Når banken valgte å inngå avtale og betale ut et stort beløp utelukkende basert på elektronisk identifikasjon, hadde den «bevisst valgt en handlemåte som innebar en klar risiko for tap». Banken kunne derfor ikke velte tapet over på offeret for ID-tyveri.

Høyesterett plasserte med dette ansvaret for tap etter misbruk av BankID der det bør være: hos aktørene som tjener på bruk av digitale løsninger, og som har de beste forutsetningene for å iverksette risikoreduserende tiltak.

Samtidig med sakførsel for domstolene har det de siste fire årene vært en debatt om ansvarsreguleringen i ny finansavtalelov. Finans Norge har i denne sammenhengen tydelig advart mot å flytte en større del av risikoen for tap etter svindel over på finansnæringen. Den nå vedtatte lovens regulering følger i hovedsak samme linje som dommen fra Høyesterett.

Gry Nergård viser til at det er vedtatt en bransjenorm med ulike tiltak, bl.a. at «banken ikke skal utbetale lån uten å sjekke på flere tilgjengelige måter om det faktisk er eieren av BankIDen som tar opp lånet og som får lånet utbetalt.» Bransjenormen trer i kraft over nyttår, altså omtrent samtidig med ny finansavtalelov.

I lys av dommen fra Høyesterett og ny finansavtalelov fremstår bransjenormen nødvendig allerede for å beskytte bankene mot eget tap. At normen først kommer nå i forbindelse med ikrafttredelsen av ny finansavtalelov fremstår på denne bakgrunn ikke som spesielt imponerende.

Hvis man som næring skal anses for å «lede an i kampen mot ID-tyveri» burde det ha vært en selvfølge fra første stund at bankene søker å verifisere opplysningene i en digital lånesøknad. Som Høyesterett påpeker kunne bankene på den måten unngått flere tilfeller av svindel. En annen sak er at det selvsagt er positivt at bransjen nå tar grep.

Dersom bransjen virkelig ønsker å rydde opp, kan det likevel gjøres mer. Et nærliggende tiltak kan være å forsøke og kompensere for det en del nok vil anse som «økonomiske justismord» som er begått de senere år før den nevnte dommen fra Høyesterett fikk satt en stopper. Bankene har en frihet til å gå gjennom tidligere saker og slette gjeld som ikke står seg etter dommen fra Høyesterett.

Det er urovekkende at Jussbuss, som sitter tett på ofrene, erfarer at bankene fremdeles «tviholder … på en praksis som muliggjør omfattende og ruinerende svindel». Næringen bør ta dette på alvor for å sikre seg en bedre troverdighet.