Kronikk Dette er en kronikk, skrevet av en ekstern bidragsyter. Kronikken gir uttrykk for skribentens holdninger.
Kontakten privatpersoner har med banker har blitt mer og mer digitalisert. I mange tilfeller er det tilstrekkelig med innlogging på bankens nettside med personnummer, BankID og personlig passord for å opprette et kundeforhold. Det kan dermed søkes om store lån uten særskilt kontakt med banken. Dette har svindlere utnyttet ved å ta opp lån i andre personers navn, etter at svindlerne på ulike vis har fått tilgang til personenes påloggingsinformasjon og BankID.
Det har vært flere saker i rettssystemet de siste årene mellom ofrene for identitetstyveri, og bankene som har utbetalt lån til identitetstyvene. Spørsmålet i disse sakene er hvem som skal bære tapet ved lånene: ofrene for identitetstyveri eller bankene.
Det er ofte avgjørende om identitetstyvene har fått påloggingsinformasjonen fordi ofrene har vært uaktsomme, det vil si at de har vært mindre forsiktige enn man må kunne forvente. I et flertall av sakene har retten kommet til at ofrene har opptrådt uaktsomt, selv om det har vært uklart hvordan identitetstyvene har fått tilgang til påloggingsinformasjonen. I mange av sakene er identitetstyven en samboer, ektefelle eller annen nærstående person til offeret. Nærstående har ofte misbrukt tilliten og tilgangen til boligen til ofrene. Noen ganger har dette blitt hensyntatt av domstolene, andre ganger har domstolene ment at ofrene var uaktsomme og dermed ansvarlig for lånet.
Det kan derfor være uklart hva som er uaktsom oppbevaring av BankID og påloggingsinformasjon, spesielt overfor nærstående.
Domstolene stiller strenge krav til oppbevaringen av BankID og påloggingsinformasjon, fordi dette er personopplysninger som er egnet til å misbrukes hvis de kommer på ville veier. Dette har skapt et inntrykk av at privatpersoner nesten alltid vil være ansvarlig for lån i eget navn, selv om det har skjedd ved identitetstyveri.
Høsten 2020 avklarte Høyesterett at dette ikke er tilfellet. Rettstilstanden er faktisk mer forbrukervennlig enn det man kan ha fått inntrykk av gjennom medier og artikler.
Dom fra Høyesterett – Ikke ansvarlig for bankens tap
I oktober 2020 avsa Høyesterett en dom hvor spørsmålet var om offeret hadde vært aktsom. I saken hadde et ektepar over lengre tid hatt tilgang til kontorlokalene til en gatekjøkkeneier, hvor gatekjøkkeneieren oppbevarte sin BankID. Gatekjøkkeneieren og ekteparet var ikke i familie, og ekteparet hadde tilgang til kontorlokalene via arbeidsrelasjoner. Ekteparet opprettet kundeforhold i gatekjøkkeneierens navn hos en ny bank ved bruk av gatekjøkkeneierens kodebrikke og passord, og fikk utbetalt 100.995,-.
Ekteparet ble straffedømt for låneopptaket, men banken holdt gatekjøkkeneieren ansvarlig for lånet. Lånet ble utbetalt da gatekjøkkeneieren var på en fire ukers ferie, og kodebrikken til gatekjøkkeneieren var oppbevart på kontoret. Den personlige koden eller annen påloggingsinformasjon lå ikke sammen med kodebrikken.
Høyesterett påpekte at oppbevaring av en kodebrikke i hjemmet ikke er uaktsomt, selv om den ligger åpent tilgjengelig. Ved oppbevaring på en arbeidsplass, uttalte Høyesterett at det må vurderes i den enkelte situasjonen om eieren av kodebrikken har tatt alle rimelige forholdsregler.
Kodebrikken lå i en veske i en skuff i et skap, og var ikke fritt tilgjengelig på kontoret. Gatekjøkkeneieren kunne bebreides for at den hadde ligget der over lengre tid. Høyesterett påpekte at innehaveren av en kodebrikke må ha en viss kontroll over brikken, og kodebrikken bør ikke bli liggende over lengre tid på et sted hvor andre kan misbruke den. Kontorlokalene var tilgjengelig for ansatte i gatekjøkkenet og for ekteparet.
Høyesterett konkluderte likevel med at gatekjøkkeneieren ikke hadde vært uaktsom. Dette var fordi banken utbetalte forbrukslånet uten å kreve noen identifikasjon ut over innlogging og elektronisk signatur med BankID. Når banken ikke hadde ytterligere sikkerhetsrutiner som kunne fange opp svindelen, måtte banken selv ta risikoen for svindel og tap.
I en kort tilleggsuttalelse påpekte Høyesterett at i saker hvor privatpersonen blir erstatningsansvarlig, kan domstolene vesentlig redusere erstatningsbeløpet.
Dommens betydning
Dommen innebærer etter vår vurdering en endring i favør av offeret. Det er ikke slik mange har oppfattet at offeret nærmest automatisk blir ansvarlig for et låneopptak som skjer på bakgrunn av identitetstyveri.
Enhver person har en plikt til å oppbevare kodebrikke og påloggingsinformasjon på en sikker måte, men det må tas hensyn til hva som er «praktisk mulig uten at det utgjør en urimelig stor byrde.» Det er banken som har bevisbyrden for at offeret har vært uaktsom.
Høyesterett la stor vekt på at bankene må selv bære risikoen hvis de ikke sørger for rutiner som gjør at de kan fange opp slike svindelforsøk, særlig hvis bankene har gjort det enkelt å søke og få utbetalt større lån.
Dommen innebærer at bankene i stor grad selv må dekke tapet som oppstår ved identitetstyveri hvis banken velger en meget enkel låneprosess. Etter vår oppfatning er dette rett og rimelig, og en gledelig klargjøring av rettstilstanden.
Selger dømt for ID-tyveri fra kunder – bestilte varer til seg selv
Eksperter advarer mot ny svindelmetode: Slik sikrer du telefonen din
