4 days ago
1
Utgangspunktet for saken som nå er avgjort, er en mann som overlot datamaskin, BankID-brikke og passord til sin forhenværende samboer. Kvinnen misbrukte denne tilgangen til å låne nesten 1,3 millioner kroner i hans navn.
Ett av lånene, et Entercard-lån på snaut en halv millioner kroner, er tema i det som nå har vært lagt opp som den retningsgivende prinsippsaken på et betent forbrukerjuridisk område. Eidsivating lagmannsrett ga banken fullt medhold, og fant mannen ansvarlig for både lånebeløpet, forsinkelsesrenter og omkostninger.
Mannen anførte at låneavtalen måtte være ugyldig som falsk, all den tid den ble inngått som ledd i et grovt bedrageri og identitetskrenkelse. Han anførte også at Entercard måtte bebreides for å gi et så stort lån uten å gjøre noe ytterligere for å autentisere hvem som faktisk inngikk avtalen.
Vil ikke klandre banken
Entercard mener på sin side at de var i aktsom god tro, all den tid det var brukt BankID. Høyesterett gir kredittforetaket fullt medhold, og skriver:
«A har også anført at Entercard burde ha foretatt ytterligere autentisering, eksempelvis ved fysisk oppmøte, videomøte eller biometrisk kontroll. Jeg kan ikke se at slike tiltak kan oppstilles som krav til kredittyter i denne saken hvor det er tale om et forbrukslån på 455 000 kroner.
Når det gjelder biometrisk kontroll, viser jeg til at det både på avtaletidspunktet og i dag er alminnelig akseptert at identifikasjon skjer ved bruk av eID basert på personnummer, engangskode (kodebrikke eller tilsvarende) og personlig passord. Dette utgjør en etablert og normativt forankret form for sikker autentisering. Å kreve ytterligere biometrisk verifikasjon ville innebære et skjerpet sikkerhetsnivå som verken følger av lov, forskrift eller alminnelig bransjepraksis.
Jeg kan heller ikke se at det i et digitalisert samfunn kan oppstilles et generelt krav om fysisk oppmøte ved inngåelse av låneavtaler av denne art eller annen bruk av eID. Et slikt krav ville bryte med de grunnleggende forutsetningene for elektronisk identifikasjon og digitale avtaleinngåelser, og i realiteten undergrave formålet med eID‑løsningene.»
Dropper avtalespørsmålet
Ett av de sentrale spørsmålene i oppkjøringen til saken har vært om man kan bindes til et slikt lån på avtalerettslig grunnlag, dersom man låner bort sin BankID.
– Jeg og andre har argumentert med at norsk avtalerett ikke åpner for å konstruere fullmakt på dette grunnlaget, men rettstilstanden er usikker. Dersom Høyesterett skulle komme til at deling av BankID innebærer en fullmakt, vil det for alle praktiske formål slå bena under sentrale deler av forbrukervernet mot BankID-misbruk som ble innført i ny finansavtalelov, sa professor ved Institutt for privatrett Marte Eidsand Kjørven til Rett24 i vår.
Etter dommen som ble avsagt torsdag, er spørsmålet fortsatt ubesvart. Høyesterett kommer til at mannen uansett er ansvarlig etter ordinære erstatningsrettslige regler, og dropper derfor å drøfte spørsmålet om en eventuell avtalerettslig forpliktelse etter fullmakt.
Null lemping for forbrukeren
Et spørsmål som da gjensto, var om ansvaret på noe vis burde lempes, styrkeforholdet mellom partene tatt i betraktning. Her er Høyesterett krystallklar – retten mener dette er noe kunden i dette tilfellet må ta det fulle og hele ansvar for selv. Førstvoterende Therese Steen skriver:
«Jeg legger videre vekt på betydningen BankID og andre former for eID har i det norske samfunnet. Digital identifikasjon og signering er i dag en grunnleggende forutsetning for effektiv gjennomføring av finansielle tjenester og for den bredere digitaliseringen av samfunnet.
Tilliten til eID er en grunnleggende forutsetning for at forbrukere, foretak og offentlige myndigheter benytter seg av elektroniske løsninger, se fortalen til eIDAS-forordningen betraktning 1. Tilbydere av eID‑løsninger er derfor underlagt omfattende forpliktelser, både av teknisk og organisatorisk art, for å sikre at løsningene ikke kan misbrukes. Det forhold som i mindre grad lar seg kontrollere på systemnivå, er om brukeren etterlever de grunnleggende vilkårene for bruk av eID, herunder plikten til å bevare enekontroll over egne autentiseringsmidler. Dersom en forbruker forsettlig har brutt sin aktsomhetsplikt, utgjør det en risiko som verken finansforetak som slutter avtaler med kunder basert på BankID, eller den aktuelle BankID-tjenestetilbyderen kan beskytte seg mot gjennom tekniske sikkerhetstiltak alene, nettopp fordi dette skjer ved at innehaveren selv opphever den sperren systemet bygger på. Sterke preventive hensyn taler derfor mot lemping.
Jeg har etter dette kommet til at det ikke er grunnlag for lemping av As erstatningsansvar, verken helt eller delvis.»
Mannens ekssamboer ble i 2022 dømt dømt til samfunnsstraff for grovt bedrageri og identitetskrenkelse. I den forbindelse ble tre andre kredittselskapet, som var blitt lurt på samme måte, tilkjent erstatning for sine respektive tap. Entercard fremmet ikke krav mot kvinnen, men har altså i stedet rettet kravet mot mannen som ble svindlet.
Høyesteretts dom finner du her.
.jpg)
.jpg)
English (US)