BankID-svindel – svindel med kodebrikke

En form for identitetstyveri som dessverre har blitt mer vanlig den siste tiden, er misbruk av BankID. BankID er en personlig elektronisk legitimasjon, og blir blant annet brukt i forbindelse med transaksjoner, signering av elektroniske dokumenter og låneopptak. Et eksempel på misbruk av BankID er at en ektefelle eller samboer får tak i den andres kodebrikke og personlige passord, og bruker dette til å inngå kredittavtaler i vedkommendes navn. Dette medfører et stort økonomisk tap når bankene krever avtalene innfridd av svindelofferet, og i flere tilfeller må disse selge sine hjem og eiendeler for å få råd til å nedbetale lånene.

Når slike saker havner i retten, er spørsmålet om offeret for identitetstyveriet har opptrådt erstatningsbetingende uaktsomt ved å ikke forhindre at partneren gjennomfører svindelen. Problemstillingen har medført ulike resultater og noe uklar tolkning av den gjeldende retten i tingretter og lagmannsretter, og en avklaring fra Høyesterett lar foreløpig vente på seg.

En sak hvor offeret for identitetssvindel med BankID fikk støtte i retten, er LB-2018-192525. Spørsmålet for lagmannsretten var om en kvinne var erstatningsansvarlig overfor to banker for ektefellens misbruk av hennes BankID ved et låneopptak på til sammen kr 790 000.

Kvinnens ektefelle hadde tatt opp kredittkortlån hos to forskjellige banker i hennes navn, på henholdsvis kr 400 000 og kr 390 000. I forbindelse med søknadsprosessen hadde han oppgitt hennes personopplysninger, og brukt hennes BankID for blant annet elektronisk signering av dokumentene. Hun hadde ingen kjennskap til låneopptakene, eller at hennes BankID hadde blitt brukt i den forbindelse. Kredittbeløpene ble utbetalt til mannens bankkonto. Begge låneavtalene ble innledningsvis betjent, men etter hvert misligholdt.

Når regningene ikke ble betalt, og lånene gikk til inkasso, forstod kvinnen at hennes ektemann hadde svindlet henne. Hun anmeldte forholdet til politiet i 2016, avsluttet forholdet og flyttet fra ham. Ektefellen ble idømt fengselsstraff for identitetstyveri. Bankene krevde at kvinnen skulle betale ned gjelden som hennes mann hadde tatt opp i hennes navn. Hun ble nødt til å selge boligen, og ble satt i en vanskelig økonomisk situasjon.

Saken havnet først i tingretten, hvor kvinnen ble dømt til å betale over en million kroner til bankene. Ifølge tingretten måtte hun holdes ansvarlig for bankenes tap, fordi hun hadde utvist uaktsomhet ved å la sin tidligere ektefelle bruke hennes BankID til låneopptakene. Dommen ble anket videre til lagmannsretten, som kom til en annen konklusjon.

Lagmannsretten påpekte innledningsvis at det måtte være bankene som satt med bevisbyrden i slike saker. Det kunne ikke være tilstrekkelig for å konstatere erstatningsbetingende uaktsomhet at BankID har blitt misbrukt. Det måtte også være et rom for feilvurderinger. Spørsmålet for lagmannsretten var videre om kvinnen hadde utvist erstatningsbetingende uaktsomhet ved at hennes tidligere ektemann hadde fått tak i og misbrukt hennes BankID.

Vedrørende kodebrikken, som hadde blitt brukt i forbindelse med lånopptakene, uttalte lagmannsretten følgende:

«Etter lagmannsrettens syn var måten kodebrikken ble oppbevart på ikke uaktsom i seg selv. Det kan være vanskelig å sikre seg helt mot at en ektefelle som ønsker å svindle deg får tilgang til kodebrikken, og det kan ikke automatisk være uaktsomt dersom det skjer. I kravet om at kunden skal ta «alle rimelige forholdsregler», jf. finansavtaleloven § 34 første ledd, ligger at det ikke kan kreves tiltak som er uforholdsmessig tyngende, eller går utover den praktiske nytten tiltakene kan ha i en husstand hvor familiemedlemmene bor tett og omgås hverandre.»

Vedrørende kvinnens personlige passord, var det knyttet usikkerhet til hvordan den tidligere ektemannen hadde fått tak i dette. Kvinnen hadde verken oppgitt passordet, eller skrevet det ned på et sted hvor han hadde tilgang. Han måtte ha gjettet dette, eller sett henne skrive det inn. Lagmannsretten kom til at selv om kvinnen kanskje ikke hadde skjermet passordet overfor ham slik hun kunne, måtte hun anses å ha gjort det som med rimelighet kunne forventes for å skjule passordet.

Videre uttalte lagmannsretten følgende om bankenes ansvar i forbindelse med bruk av BankID som elektronisk identifikasjon:

«Lagmannsretten vil i denne forbindelse påpeke at de sikkerhetsforanstaltningene som gjør BankID til godkjent elektronisk identifikasjon på høyeste sikkerhetsnivå, innebærer en sikkerhetsmessig sårbarhet for misbruk i nær familie. Siden det vil være svært vanskelig å sikre seg mot at ektefeller har tilgang til personnummer og kodebrikke, er det i realiteten bare det personlige passordet som sikrer mot misbruk. Dette må antas å være en kjent sikkerhetsrisiko som er avveid mot de fordelene elektronisk signatur har i dagens samfunn, og som i en viss grad kompenseres ved de tillitsbånd som må forutsettes å være til stede i de fleste ekteskap. Når risikoen er kjent, og forutsetningsvis akseptert ved at BankID likevel godtas som identifikasjon blant annet ved opptak av banklån, er det etter rettens syn mest nærliggende at bankene kostnadsberegner risikoen og fordeler den på den samlede kundemassen som har fordelen av at man aksepterer BankID som en sikker elektronisk signatur.»

Bankene ble dømt til å betale tilbake det som kvinnen hadde betalt i forbindelse med identitetssvindelen, samt hennes saksomkostninger for begge rettsinstansene.