Ble svindlet ved bruk av BankID

  • av
Id-tyveri bankID

Dommen inntatt i LA-2018-179648 gjaldt identitetstyveri og misbruk av BankID. En bank hadde innvilget og utbetalt et lån på kr 100 995. Låneavtalen ble signert elektronisk ved hjelp av Bank-ID, som tilhørte en mann fra Sørlandet. Det var imidlertid ikke han selv som hadde tatt opp lånet.

Mannen engasjerte en advokat, som tok kontakt med banken. Han anførte at mannen hadde blitt utsatt for identitetstyveri, og bestred betalingsansvar. Banken fastholdt at mannen hadde betalingsansvar, og rettet et erstatningskrav mot ham i forbindelse med dette. Banken anførte at når mannens kodebrikke og personlige passord hadde kommet på avveie og blitt misbrukt, måtte det skyldes at mannen ikke hadde overholdt sine beskyttelsesplikter i henhold til avtalevilkår og finansavtaleloven. Banken mente at mannen hadde opptrådt uaktsomt, og at han derfor måtte være erstatningsansvarlig for det økonomiske tapet.

Les også: Svindel med BankID.

Lagmannsretten bemerket at det var banken som måtte ha bevisbyrden for at mannen hadde opptrådt uaktsomt. Spørsmålet var om det var sannsynliggjort at bedrageriet som ble begått av svindlerne, ble muliggjort ved uaktsomhet fra mannens side.

Den aktuelle kodebrikken som ble brukt i forbindelse med lånopptaket ble oppbevart i en skuff i et skap på mannens kontorplass på et gatekjøkken, som han eide og drev. Skuffen var ikke sikret med noen lås. Kontorplassen var ikke fysisk avgrenset fra bedriftens øvrige lokaler, og alle ansatte på gatekjøkkenet hadde tilgang til lokalet, inkludert en av svindlerne. Vedkommende hadde kjøpt en annen gatekjøkken-avdeling, og var innom for å lære seg systemene og maskinene i den forbindelse.

Kodebrikken hadde vært fysisk tilgjengelig på kontorplassen i den tidsperioden svindelen ble gjennomført. Mannen hadde selv vært på ferie. Lagmannsretten uttalte at for «alle som kom i nærheten av kontorplassen på gatekjøkkenet og som ville undersøke hva som kunne finnes der av interesse, ville det ikke by på spesielle utfordringer og ta relativt kort tid å lokalisere vesken med brikken i den aktuelle skuffen».

Vedrørende den personlige koden, hevdet mannen at han ikke hadde skrevet den ned noe sted, og at den heller ikke på andre måter var tilgjengelig for uvedkommende. Det var følgelig ukjent hvordan svindlerne fikk tilgang til koden. Etter en omfattende vurdering av ulike hypoteser, kom lagmannsretten til at det måtte være mest sannsynlig at svindlerne fikk kjennskap til den personlige koden uten å bruke særlige ressurser eller avanserte metoder, for eksempel ved at den var skrevet ned i nærheten av der kodebrikken ble oppbevart, eller at den var enkel å gjette seg til.

Lagmannsretten kom til at mannen ikke hadde håndtert sin kodebrikke i samsvar med hans plikter etter finansavtaleloven, som fastslår at en kunde som er bruker av et betalingsinstrument, skal «ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet». Brikken var ikke forsøkt gjemt bort, låst ned eller fjernet fra kontorplassen, som alle ansatte hadde tilgang til. Dette tilsa en manglende kontroll over brikken.

Les også: Hva er id-tyveri.

«Dermed ble det skapt en risiko som lå over det som burde kunne forventes å følge av å skulle ta «alle rimelige forholdsregler» for å beskytte BankID-brikken. For lagmannsretten fremstår derfor den måten som A opplyser at han i den aktuelle perioden oppbevarte BankID-brikken på i kontorplassen i [sted1], som uaktsom.»

Når det gjaldt den personlige koden, var det mest sannsynlig at mannen på en eller annen måte hadde lagt til rette for eller medvirket til at den hadde kommet på avveie. Dette kunne ha skjedd ved at koden ble skrevet ned et sted, eller ved at mannen hadde valgt en såpass enkel kode at den var lett å gjette seg til. Lagmannsretten uttalte at «å benytte en kode som er så lett å gjette seg til at noen kan klare det på noen få forsøk, faller uansett ikke under å ta «alle rimelige forholdsregler» for å beskytte betalingsinstrumentet».

Selv om lagmannsretten ikke kunne fastslå konkret hvordan den personlige koden hadde kommet på avveie, hadde den likevel gjort det. Lagmannsretten kom derfor til at mannen ikke aktsomt hadde etterlevd de reglene som gjelder for alle brukere av personlig BankID. Han ble dømt til å betale erstatning til banken.

Saken ble imidlertid anket, og i februar 2020 bestemte Høyesterett at den var av så prinsipiell karakter at den skulle behandles. Den endelige rettsavgjørelsen har ikke kommet enda, men vil trolig avklare den gjeldende retten i forbindelse med om eier av BankID må være erstatningsansvarlig ved identitetstyveri.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *