Er det riktig at en person som er utsatt for ID-svindel må betale erstatning når svindleren tar opp lån i personens navn? Ja, sa tingretten og lagmannsretten. Nei, sa Høyesterett. Høyesterett kom denne uken med en viktig og prinsipiell dom som plasserte ansvaret hos banken (HR-2020-2021 – Easybank).

Kort om faktum

En mann ble utsatt for ID-svindel. Svindlerne stjal også BankID-kodebrikken, og brukte denne til å ta opp totalt 1,5 millioner kroner i lån i forskjellige banker i mannens navn. Svindlerne stakk av med pengene. En av bankene, Easybank, gikk til sak mot mannen. Easybank mente at mannen måtte være erstatningsansvarlig fordi svindlerne hadde brukt mannens BankID-kodebrikke og passord til å ta opp lånet.

Mannen hadde oppbevart kodebrikken i en veske i en skuff i et skap på arbeidsplassen. En av svindlerne og flere andre hadde tilgang til kontorplassen, og svindleren stjal kodebrikken mens mannen var på ferie. Det var imidlertid uklart hvordan svindlerne hadde fått tak i passordet. En mulighet var at de hadde overvåket mannen da han tastet inn dette på PC’en, eventuelt med en såkalt keylogger, som registrerer inntastinger på PC’en.  

Kort om jussen

Vilkår for erstatning

Etter ulovfestet norsk erstatningsrett må tre vilkår være oppfylt for å få rett til erstatning:

• Det må foreligge et ansvarsgrunnlag
• Det må foreligge et økonomisk tap, og
• Det må foreligge en påregnelig årsakssammenheng mellom den ansvarsbetingende handlingen og det økonomiske tapet.

Det springende punktet i saken gjelder det første vilkåret: Har kunden håndtert kodebrikken og passordet på en uaktsom måte slik at det utgjør et erstatningsbetingende ansvarsgrunnlag?

Ansvarsgrunnlag – aktsomhetsnormen

Det alminnelige ansvarsgrunnlaget i norsk rett er den såkalte culpanormen, som innebærer at den som har opptrådt uaktsomt kan ha plikt til å erstatte det økonomiske tapet som er oppstått. Et sentralt utgangspunkt ved vurderingen er om vedkommende har handlet innenfor de atferdsnormer som gjelder på det aktuelle området. Man må da se på om personen kunne og burde handlet annerledes. Spørsmålet i saken var om mannen hadde tatt alle rimelige forholdsregler for å beskytte kodebrikken.

Saken ligner på en rekke andre slike saker som har versert i norske domstoler de siste årene. I de fleste sakene har personen som har blitt utsatt for ID-svindel, blitt dømt til å betale erstatning til banken. Domstolene synes å ha lagt til grunn at dersom lånet er tatt opp ved bruk av BankID og passord, så indikerer det at personen ikke har passet godt nok på kodebrikken og passordet, og dermed opptrådt erstatningsbetingende uaktsomt – selv om kunden beviselig er utsatt for ID-svindel. I denne saken ble svindlerne også tatt og idømt fengselsstraff. Likevel fant tingretten og lagmannsretten altså at mannens håndtering av kodebrikken var uaktsom, og at han derfor måtte betale erstatning til Easybank.

Saken har skapt mye engasjement, og både akademia og Forbrukerrådet bistod mannen da saken gikk for Høyesterett i høst. Både dagens finansavtalelov og forslaget til ny finansavtalelov, som Stortinget behandler nå i høst, har bestemmelser som begrenser kundens ansvar ved misbruk. Men stridens kjerne er altså hva som ligger i kravet til at kunden må opptre aktsomt med tanke på å beskytte kodebrikke og passord.

Kort om Høyesteretts vurdering

Høyesterett fant at kunden hadde vært noe uforsiktig ved sin oppbevaring av kodebrikken (ved å ha den i et skap på arbeidsplassen), men at det ikke var grunnlag for å anse hans handlemåte som uaktsom med den virkning at han ble erstatningsansvarlig for det tapet Easybank var påført.

Høyesterett la vekt på at Easybank er en profesjonell aktør som har valgt å inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. Det ville vært mulig for banken å foreta ytterligere kontrolltiltak før man ubetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed, sa Høyesterett, bevisst valgt en handlemåte som innebar en klar risiko for tap.

Høyesterett uttalte også at bevisbyrden normalt vil ligge på den parten som fremsetter et erstatningskrav. Dersom det er tvil om det foreligger ansvarsbetingende forhold i denne saken, ligger bevisbyrden på Easybank.

Høyesterett fant at kunden ikke hadde opptrådt uaktsomt, og at det derfor ikke forelå ansvarsgrunnlag. Kunden ble frikjent for erstatningskravet, og Easybank må betale kundens sakskostnader på 1,25 millioner kroner.

Avslutning

Høyesteretts avklaring nå er meget viktig, ettersom Høyesterett tar stilling til aktsomhetskravet, og hvilke beviskrav og hvilke krav som stilles til oppbevaring av BankID-brikke og passord. Det er ventet at dommen vil få betydning for mange lignende saker.