Hopp til innhold

LA-2018-179648: Forskjell mellom sideversjoner

Fra Rettspraksis
FredrikL (diskusjon | bidrag)
mIngen redigeringsforklaring
FredrikL (diskusjon | bidrag)
mIngen redigeringsforklaring
 
Linje 9: Linje 9:


[A-mann] ble dømt til å betale erstning til Easybank ASA på kr 100.995, samt utenrettslige inndrivingskostnader med 3 500 og sakskostnader for lagmannsretten på kr 63.500.
[A-mann] ble dømt til å betale erstning til Easybank ASA på kr 100.995, samt utenrettslige inndrivingskostnader med 3 500 og sakskostnader for lagmannsretten på kr 63.500.
|Saksgang=Forliksrådet 18.04.2018 - Kristiansand tingrett [[TKISA-2018-87918]] - Agder lagmannsrett LA-2018-179648 (sak nr. 18-179648ASD-ALAG) - Høyesterett (ankeutvalget har tillatt anken fremmet)
|Saksgang=Forliksrådet 18.04.2018 - Kristiansand tingrett [[TKISA-2018-87918]] - Agder lagmannsrett LA-2018-179648 (sak nr. 18-179648ASD-ALAG) - Høyesterett [[HR-2020-2021-A]]
|Parter=[A-mann] (advokat Marius André Stokke) mot Easybank ASA (advokat Kjetil Vangsnes)
|Parter=[A-mann] (advokat Marius André Stokke) mot Easybank ASA (advokat Kjetil Vangsnes)
|Forfatter=Lagdommer Espen Ødegaard, Lagdommer Rune Bård Hansen, Ekstraordinær lagdommer Torje Torjesen
|Forfatter=Lagdommer Espen Ødegaard, Lagdommer Rune Bård Hansen, Ekstraordinær lagdommer Torje Torjesen

Siste sideversjon per 23. okt. 2020 kl. 15:13

Instans: Agder lagmannsrett - Dom
Dato: 2019-11-07
Publisert: LA-2018-179648
Stikkord: Erstatningsrett, Erstatningsansvar utenfor kontrakt, BankID, Kodebrikke, Aktsomhetsvurdering
Sammendrag: Saken gjaldt spørsmål om innehaveren av en BankID, [A-mann], var erstatningsansvarlig for tap lidt av bank ved innvilgelse av bedragerimotivert lånesøknad inngitt av [B og C] ved urettmessig bruk av BankIDen. Spørsmålet var om [A-mann] var ansvarlig i henhold til alminnelig culpa-erstatningsansvar ved å ha utvist uaktsomhet i forbindelse med sin oppbevaring og bruk av BankID.

Lagmannsretten kom til at det var mest sannsynlig at [A-mann] hadde vært uaktsom i enten sin oppbevaring eller bruk av BankID-kodebrikken og passordet, slik at [B og C] hadde fått tilgang til kodebrikken og kjennskap til passordet. Vilkårene for erstatningsansvar var dermed oppfylt.

[A-mann] ble dømt til å betale erstning til Easybank ASA på kr 100.995, samt utenrettslige inndrivingskostnader med 3 500 og sakskostnader for lagmannsretten på kr 63.500.

Saksgang: Forliksrådet 18.04.2018 - Kristiansand tingrett TKISA-2018-87918 - Agder lagmannsrett LA-2018-179648 (sak nr. 18-179648ASD-ALAG) - Høyesterett HR-2020-2021-A
Parter: [A-mann] (advokat Marius André Stokke) mot Easybank ASA (advokat Kjetil Vangsnes)
Forfatter: Lagdommer Espen Ødegaard, Lagdommer Rune Bård Hansen, Ekstraordinær lagdommer Torje Torjesen
Lovhenvisninger: Finansavtaleloven (1999) §12, §34, Tvisteloven (2005) §20-2, §29-12


Saken gjelder om innehaveren av en BankID er erstatningsansvarlig for tap lidt av bank ved innvilgelse av bedragerimotivert lånesøknad inngitt av annen person ved urettmessig bruk av BankIDen.

Sakens faktiske bakgrunn

Easybank ASA («Easybank») mottok 07. mars 2017 elektronisk søknad om forbrukslån på kroner 100 995. Lånet ble innvilget samme dag. Ved signering av låneavtalen ble BankID tilhørende [A-mann] («[A-mann]») benyttet. Lånet ble utbetalt til [A-mann] sin konto den 09. mars 2017, men ble straks etter overført til en annen konto.

På vegne av [A-mann] tok advokat Stokke per brev 12. juni 2017 kontakt med Easybank. Stokke anførte at [A-mann] var utsatt for et ID-tyveri og bestred betalingsansvar. Kredinor SA («Kredinor»), som var engasjert av banken som inkassator, sendte uansett betalingsoppfordring til [A-mann] og fastholdt at [A-mann] hadde betalingsansvar.

Kristiansand tingrett avsa 08. desember 2017 dom i straffesak mot [B-kvinne] og [C-mann]. I dommen ble de tiltalte blant annet domfelt for å ha forledet Easybank til å innvilge lånet som denne saken gjelder, ved å søke om lånet i [A-mann] sitt navn og ved å signere låneavtalen med [A-mann] sin BankID. De to ble i tillegg dømt for en lang rekke andre bedragerier der [A-mann]’ BankID var blitt misbrukt ved avtaleinngåelser og kjøp på kreditt. I forbindelse med straffesaken ble det ikke fremmet erstatningskrav på vegne av Easybank, men [A-mann] ble tilkjent erstatning for kostnader til advokatbistand.

Kredinor hadde i løpet av høsten 2017 oppfordret [A-mann] til en klargjøring av hvordan personlig valgt BankID-passord var kommet på avveie. Uansett dommen mot ekteparet [B og C] oppfattet Kredinor at de ikke hadde fått besvart spørsmålet, og Kredinor innga så på vegne av Easybank forliksklage til forliksrådet i Kristiansand med krav om erstatning fra [A-mann]. Forliksrådet avsa 18. april 2018 dom med slik slutning:

1. [A-mann] frifinnes

2. Easybank Asa dømmes til innen fjorten dager fra dommens forkynnelse å dekke [A-mann] sine omkostninger med kr 5 650,-

Easybank innga stevning 05. juni 2018 for å overprøve forliksrådets avgjørelse.

Kristiansand tingrett behandlet saken etter småkravsreglene i tvisteloven kapittel 10 og avsa 5. oktober 2018 dom med slik domsslutning:

Side:2

1. [A-mann] dømmes til å betale til Easybank ASA kroner 104 374,47 – etthundreogfiretusentrehundreogsyttifire kroner og førtisyv øre – innen 2 – to – uker fra dommens forkynnelse, med tillegg av lovens forsinkelsesrente fra 05.07.2018 til betaling skjer.

2. [A-mann] dømmes til å betale sakskostnader for tingretten til Easybank med kroner 29 793,60 – tjuenitusensyvhundreognittitre kroner og seksti øre – innen 2 – to – uker fra forkynnelse.

3. [A-mann] dømmes til å betale sakskostnader for forliksrådet til Easybank med kroner 2 360,25 – totusentrehundreogseksti kroner og tjuefem øre – innen 2 – to – uker fra dommens forkynnelse.

[A-mann] anket over tingrettens bevisbedømmelse og lovanvendelse.

Ankeforhandling ble holdt i Kristiansand tinghus 10. oktober 2019. [A-mann] møtte med sin prosessfullmektig, advokat Marius Andre Stokke, og avga forklaring med tolk. Easybank ASA var bare representert ved sin prosessfullmektig advokat Kjetil Vangsnes. 4 vitner forklarte seg og det ble fremlagt slik dokumentasjon som fremgår av rettsboken.

Partene nedla slike påstander:

[A-mann]:

1. [A-mann] frifinnes.

2. Easybank dømmes til å betale [A-mann] sine sakskostnader for tingrett og lagmannsrett,

Easybank ASA:

1. [A-mann] betaler til Easybank ASA NOK 100.995 med tillegg av lovens forsinkelsesrente fra 05.07.2018 til betaling skjer.

2. [A-mann] dømmes til å erstatte Easybank ASA sine utenrettslige inndrivingskostnader med kr 3.500,00.

3. Easybank ASA tilkjennes sakskostnader for forliksrådet med kr 2.360,25.

4. Easybank ASA tilkjennes sakens omkostninger for tingretten og lagmannsretten.

Side:3

Ankende part, [A-mann], anførte i hovedsak slikt påstandsgrunnlag:

Det foreligger ikke et avtaleforhold mellom Easybank og [A-mann]. Eventuelt grunnlag for erstatning må utledes fra det alminnelige ulovfestede culpaansvaret.

[A-mann] har ikke benyttet BankID i umiddelbar nærhet av gjerningspersonene. Tingrettens uaktsomhetsvurdering knytter seg opp mot en handling som beviselig ikke har funnet sted.

[A-mann] anfører at han ikke har opptrådt uaktsomt ved oppbevaring eller bruk av personopplysninger og bankbrikke.

[A-mann] står ovenfor en nærmest umulig oppgave ved å måtte bevise sin uskyld.

Det er flere plausible forklaringer til hvordan gjerningspersonen kan ha fått nødvendig informasjon for å utføre bedrageriet, herunder ved rettstridig overvåkning ved hjelp av videoanlegg eller via datanettverk.

Det bestrides ikke at Easybank har lidt økonomisk tap. Det anføres imidlertid at det er banken som har bevisbyrden for at [A-mann] har opptrådt uaktsomt.

Kravet til årsakssammenheng må vurderes ut ifra en eventuell konkret uaktsom handling.

Ankemotparten, Easybank ASA, anførte i hovedsak slikt påstandsgrunnlag:

Banken ble påført et økonomisk tap ved at omsøkt lånebeløp på kr 100 995 ble utbetalt uvitende om at lånesøknaden ikke var inngitt av [A-mann], men av ekteparet [B og C] i bedragersk hensikt der de videre besørget pengene overført til seg fra konto tilhørende [A-mann].

Ekteparet [B og C] klarte bare å inngå låneavtalen og oppnå utbetalingen på grunn av tilgang til BankID-kodebrikke og personlig kode som [A-mann] hadde fått fra bank ved inngåelse av avtale om BankID. [A-mann] må derfor ha opptrådt på en slik måte at andre har fått kjennskap til hans personlige kode som han i henhold til avtale er forpliktet til ikke å la noen andre få kjennskap til. Han har heller ikke oppbevart BankID-brikken på forsvarlig måte. [A-mann] har slik, ved én eller flere anledninger til sammen, utvist erstatningsbetingende uaktsomhet. Etter alminnelige erstatningsrettslige regler har han dermed utvist nødvendig skyld for å kunne fastslå erstatningsansvar for det tap som Easybank ASA har lidt.

Side:4

Ansvarsspørsmålet har nær sammenheng med de regler finansavtaleloven oppstiller for bruk av betalingsinstrument (finansavtaleloven § 34) og med standardvilkårne som [A-mann] har akseptert for BankID, jfr vilkårenes pkt. 9 og pkt. 10, jf. pkt. 14.

Som følge av at [A-mann] på grunn av uaktsom bruk og oppbevaring av BankID- informasjonen og -brikken har muliggjort den bedragerske avtaleinngåelsen, er Easybank ASA påført et økonomisk tap. Det er adekvat årsakssammenheng mellom ansvarsgrunnlaget og tapet.

Det er ikke grunn til å unnta [A-mann] for sakskostnadsansvar, og banken krever også dekket sakskostnadene for alle instanser, inkludert forliksrådet.

Lagmannsrettens vurdering

Lagmannsretten bemerker innledningsvis at ankegjenstandens verdi ikke tilfredsstiller beløpsgrensen i tvisteloven § 29-12 (1). Lagmannsretten samtykker imidlertid til at anken uansett tas under realitetsbehandling.

Det sentrale vurderingstemaet for lagmannsretten er den faktiske bevisbedømmelsen og vurderingen av om [A-mann] ut fra denne kan holdes ansvarlig. [A-mann] og Easybank har ingen direkte kontraktsrettslig relasjon. Partene synes å være enige om at det derfor ikke er tale om eventuelt kontraktsansvar, men om [A-mann] er ansvarlig i henhold til alminnelig culpa-erstatningsansvar ved å ha utvist uaktsomhet i forbindelse med sin oppbevaring og bruk av BankID.

Lagmannsretten bemerker at det foreligge et sett av avtaler mellom personlige brukere og utsteder av BankID, og også mellom banker og andre brukersteder og BankID-systemet. I og med Easybanks anførsler er det da imidlertid ikke nødvendig for lagmannsretten å drøfte om Easybank eventuelt kunne påberopt seg noen form for tredjemannsavtale i tilknytning til [A-mann] eventuelle ansvar.

Easybank har uansett anført at det likevel er en nær sammenheng mellom [A-mann] plikter i henhold til BankID-avtalen han har inngått og dessuten med lovverket på området, idet spørsmålet om hans aktsomhet må ses i lys av de pliktene som følger av disse reguleringene.

Nærmere om BankID

Ved inngåelse av en BankID-avtale blir brukeren utstyrt med det nødvendige for elektronisk å kunne verifisere sin identitet for å autentisere transaksjoner og for å signere dokumenter elektronisk. Den personlige BankID kan da brukes både overfor banken som

Side:5

utsteder BankIDen, og andre banker knyttet til BankID-systemet, men også overfor offentlige myndigheter og private aktører som har inngått avtaler med BankID-systemet (nå firmaet Vipps AS) om tilknytning og bruk av systemet i sine elektroniske, nettbaserte kommunikasjons- og handelsløsninger (brukersteder).

Dette innebærer at for å gjennomføre en transaksjon eller signering via en enhet tilknyttet nett, må følgende tre elementer være tilgjengelig på den personlige brukersiden: Brukerens personnummer som fungerer som brukernavn, en personlig kode og en fysisk brikke (ev. mobiltelefon som ikke er aktuelt her i denne saken) med installert sertifikat/krypteringsnøkler og kodegenerator for engangskoder.

Den personlige koden velges av brukeren selv ved etableringen av BankID-tilgang, og brukeren kan selv endre den på senere tidspunkt. Brukeren må taste inn den personlige koden som ekstra passord, i tillegg til en engangskode som genereres i brikken og som brukeren kan lese av på brikkens display når brikken for anledningen aktiveres. Ved inntasting av personlig kode, blir koden ikke synlig på datamaskinens skjerm.

Lagmannsretten presiserer her at engangskoden som genereres ved aktivering av BankID-kodebrikken, har kort gyldighetstid på ca et minutt. Det innebærer at den som urettmessig har fått kjennskap til engangskoden, bare kan gjennomføre noen form for uberettiget BankID-transaksjoner innenfor dette korte tidsrommet. Ved at det dessuten er innført systemkrav om at transaksjoner skal bekreftes ytterligere én gang med engangskode før gjennomføring, forutsetter urettmessige transaksjoner både at man har skaffet to gyldige engangskoder forholdsvis fortløpende og gjennomfører transaksjonen innenfor et tilsvarende kort tidsvindu. En slik metode for misbruk vil kreve forberedelser, se nedenfor om «phishing» – og forutsetter at vedkommende dessuten samtidig fanger opp den personlige koden eller på forhånd har skaffet seg kunnskap om dette ikke-varierende informasjonselementet på annen måte. Dette betyr i praksis at den som vil misbruke en annens Bank-ID for å gjennomføre flere uberettigete transaksjoner over noe tid, slik [B og C] gjorde overfor [A-mann], vil måte ha fysisk tilgang til BankID-brikken for å kunne ha nødvendige engangskoder tilgjengelig.

Slik lagmannsretten ser det, utgjør den fysiske kodebrikken, med sertifikater/krypteringsnøkler og kodet innhold, den ene av to komponenter på den personlige brukersiden i et krypteringssystem som skal muliggjøre sikker, konfidensiell identifikasjon og kommunikasjon med systemets andre side hos banker og andre brukersteder. Brikken utgjør et fysisk sikkerhetselement, likevel slik at dens funksjon er å generere informasjon i form av engangskoder med kort gyldighet. Den personlige koden representerer på den annen side et rent kunnskapsbasert informasjonselement i dette sikkerhetssystemet. Brikken og den personlige koden representerer dermed på hver sin måte ulike typer hindre mot misbruk. Personer med uredelige hensikter er dermed i

Side:6

utgangspunktet nødt til å agere både i det fysiske rommet og på det informasjonsmessige planet for å misbruke BankID.

Bevistema og -vurdering.

Ved behandlingen for lagmannsretten er det fremlagt nye beviser som ikke var tilgjengelig for tingretten. Av disse bevisene fremgår at sentrale elementer i det bevisgrunnlaget som tingretten bygde på for å fastslå at [A-mann] hadde utvist uaktsomhet, ikke medfører riktighet. Dette kommer lagmannsretten tilbake til.

Det er Easybank som har bevisbyrden for at [A-mann] har opptrådt uaktsomt. Det grunnleggende bevisspørsmålet er om det fremlagte bevisgrunnlaget gjør det mest sannsynlig at bedrageriet som ekteparet Hamas begikk overfor Easybank, ble muliggjort ved uaktsomhet fra [A-mann] side.

Det synes for lagmannsretten å være enighet mellom partene om at en må legge til grunn at ved [B og C]s bedrageri overfor Easybank brukte de mest sannsynlig [A-mann] personnummer samt kodebrikke og personlig kode som DnB hadde utstedt til [A-mann] i henhold til inngått standard BankID-avtale.

Ved etterforskningen og straffeforfølgningen av ekteparet [B og C] synes det beklageligvis ikke å ha blitt brakt på det rene noe nærmere om hvordan [B og C] fikk hånd om [A-mann] sin BankID. I den påankede tingrettsdommen og i ankeforhandlingen er det heller ikke fremkommet noe mer konkret om dette, men det er lansert ulike hypoteser.

Med tvistetema som angitt ovenfor, er det ikke nødvendig for lagmannsretten å ta direkte stilling til hvordan hendelsesforløpet har vært helt konkret. Ulike alternativer vil uansett inngå i vurderingen av sannsynlighet for utvist uaktsomhet fra [A-mann] side. Dette kommer lagmannsretten tilbake til.

Lagmannsretten tar som utgangspunkt at personnummer er en type informasjon som i praksis kan gjenfinnes mange steder og som ikke representerer noen stor utfordring å få tak i for den som har forbrytersk hensikt. [A-mann] har indikert at hans personnummer bl.a. kan ha fremgått av en kontrakt som [B og C] satt med kopi av. Dette elementet har da heller ikke vært noe fokusert under ankeforhandlingen.

Kodebrikken

Når det gjelder den fysiske kodebrikken, bygger lagmannsretten, som tingretten, på [A-mann] egen forklaring om oppbevaring og bruk av denne.

Side:7

[A-mann] har fortalt at han normalt oppbevarte den aktuelle kodebrikken, sammen med andre kodebrikker, i en veske plassert i en skuff i et skap på [A-mann] sin kontorplass i gatekjøkkenet «[Firmanavn]» som han eier og driver i [Bynavn1]. Kontorplassen var imidlertid ikke fysisk avgrenset fra bedriftens øvrige lokaler, slik at alle ansatte på [Firmanavn] hadde tilgang til kontorplassen hvor brikkene ikke var sikret med noen lås. I en periode hadde også [C-mann] tilgang til lokalet fordi han skulle lære seg [Firmanavn] sine systemer og maskiner i forbindelse med at han hadde kjøpt [Firmanavn]-avdelingen i [Bynavn2].

[A-mann] tok innimellom vesken med kodebrikke med seg på reiser i egen bil til [Firmanavn]-avdelingen i [Bynavn3], hvor han foretok tilknyttede banktransaksjoner på et fysisk avstengt kontor hvor kun en annen medarbeider hadde nøkkel. Han opplyser imidlertid å ha hatt kontroll på brikken ved disse [Bynavn3]-besøkene.

Bedrageriet overfor Easybank ble begått i en periode på 3-4 uker hvor [A-mann] var bortreist på ferie. I denne perioden lå brikken fortsatt i skuffen/skapet på kontorplassen i [Bynavn1], fysisk tilgjengelig for alle som fikk tilgang til den delen av lokalene der publikum ikke oppholdt seg. Brikken lå da på ulåst sted, og det er ikke fremkommet opplysninger om at brikken på noen måte var oppbevart særskilt bortgjemt eller forsøkt skjult på annen måte, utover det som fremgår ovenfor om hvordan brikkene normalt ble oppbevart.

Lagmannsretten legger derfor til grunn at for alle som kom i nærheten av kontorplassen på gatekjøkkenet og som ville undersøke hva som kunne finnes der av interesse, ville det ikke by på spesielle utfordringer og ta relativt kort tid å lokalisere vesken med brikken i den aktuelle skuffen/skapet. I den tiden [A-mann] var på ferie hadde han altså ikke selv kontroll på brikken, og den var heller ikke oppbevart på noen måte som med rimelig sikkerhet for [A-mann] gjorde den tilstrekkelig utilgjengelig for andre. Det samme vil for øvrig også gjelde utenom aktuell ferieperiode når [A-mann] i gatekjøkkenets åpningstid ikke selv var til stede uten å tatt med seg brikken.

Lagmannsretten bemerker at i anmeldelsen om bedrageriet som [A-mann] ga til politiet da han kom hjem fra ferie og opplyser at han savnet brikken, samt i forklaring omtalt i tingrettsdommen, har det fremkommet opplysninger som indikerer at brikken muligens kunne ha kommet på avveie fra bilen til [A-mann]. Brikken kunne kanskje ha blitt mistet i bilen eller muligens ha blitt oppbevart der, samtidig som [C-mann] ved noen anledninger disponerte bilen. [A-mann] har i lagmannsretten forklart at disse opplysningene springer ut av språklige misforståelser, og lagmannsretten går ikke nærmere inn på dette da det uansett ikke vil ha noen avgjørende betydning.

I noen tilfeller er BankID-brikkers generator for engangskoder beskyttet av ytterligere en kode/passord som brukeren må taste inn på et tastatur på brikken for å aktivere

Side:8

kodegeneratoren. Det er imidlertid ikke opplyst om noe slikt i denne saken her, og lagmannsretten legger dermed til grunn at [A-mann] sin BankID-brikke ikke hadde slik ekstrabeskyttelse. Det betyr at enhver som i henhold til det ovenstående kunne skaffe seg fysisk kontroll over brikken, også kunne hente ut og lese av engangskoder til bruk i BankID.

Personlig kode

[A-mann] opplyser at han ikke har skrevet ned den personlige koden noe sted og at den heller ikke på annen måte finnes tilgjengelig for uvedkommende, herunder at han heller ikke har benyttet tilsvarende kode i annen sammenheng som passord eller annet. Han forteller også at han heller ikke har opplyst koden til noen andre, eller på annen måte innrettet seg slik at andre har kunnet observere den personlige koden når han har benyttet den. Utover de bedrageriene som er blitt begått med [A-mann] BankID, er det ikke fremkommet noe konkret for lagmannsretten som peker i annen retning enn det [A-mann] her forklarer.

Når det da uansett må legges til grunn at [B og C] har benyttet den personlige BankID-koden til [A-mann], etterlates da spørsmålet om hvordan [B og C] likevel fikk tilgang til koden. [A-mann] har i denne forbindelse bl.a. selv gjort rede for hvilken kontakt han har hatt med [B og C].

Det eneste kontaktpunktet med [B og C] som også involverte bruk av BankID-brikke, som [A-mann] har berettet om i saken, var en episode desember 2016. Da skulle [B og C] hjelpe [A-mann] med en visumsøknad på nett hvor det også samtidig skulle betales et gebyr. Dette foregikk hjemme hos [B og C] og det var deres PC som ble benyttet. Markus har imidlertid anført at slik han og [B og C] satt, og slik [A-mann] rent praktisk innrettet seg ved å skjule inntasting av personlige kode, kunne ikke [B og C] ha observert hvilken personlig kode han tastet inn.

Tingretten la imidlertid til grunn at, uansett [A-mann] egen oppfatning, så hadde [B og C] likevel fanget opp [A-mann] personlige kode ved denne anledningen, og at [A-mann] måtte klandres for å ha opptrådt slik at dette var mulig. Tingretten anså derfor [A-mann] for å ha opptrådt uaktsomt, og fastslo på dette grunnlaget erstatningsansvar for [A-mann] overfor Easybank.

Til behandlingen for lagmannsretten er det blitt innhentet nærmere informasjon fra DnB vedrørende den aktuelle transaksjonen. Det er nå dokumentert at BankID-brikken fra DnB som ble benyttet ved [B og C]s bedrageri overfor Easybank, ikke ble benyttet ved [A-mann] gebyrbetaling i forbindelse med visumsøknaden. Det er uklart om det i stedet ble benyttet en annen BankID-brikke, eller om transaksjonen i det hele tatt ikke ble verifisert ved brikkebruk. Grunnlaget er uansett falt bort for å forankre eventuelt erstatningsansvar overfor Easybank i [A-mann] opptreden i forbindelse med betaling av visumgebyret.

Side:9

Den aktuelle BankID-brikken fra DnB er i det hele tatt ikke loggført i DnB som benyttet i perioden fra 5. juli 2016 og frem til [B og C] begynte å misbruke den 16. februar 2017. [A-mann] benyttet i denne perioden i stedet en annen bank som daglig bankforbindelse og BankID-brikke utstedt fra denne banken.

[A-mann] har selv lansert en del andre mulige hypoteser om hvordan [B og C] fikk tilgang til den personlige koden til BankID-brikken fra DnB. For lagmannsretten har [A-mann] ført et vitne fra et lokalt dataselskap som har undersøkt datautstyret og lokalene til [A-mann]’ virksomhet i [Bynavn1]. Vitnet har pekt på og redegjort noe nærmere for to mulige fremgangsmåter for andre til å fange opp en personlig BankID-kode: Video-overvåking og digital «avlytting».

- Mulig video-overvåking

Når det gjelder en mulig fremgangsmåte ved videobruk, omhandler dette å spionere på aktivitet på tastatur, samt eventuelt skjermbilde, med hjelp av skjult videokamera.

Videokameraer og linser er blitt så små at de kan plasseres omtrent hvor som helst og fungere med opptak over lengre tid med små batteriforsyninger – med små sjanser for at overvåkingen blir oppdaget. Det er dermed fullt mulig å montere et rimelig videokamera skjult i nærheten av en PC-arbeidsplass, og ta opp aktiviteten som over tid foregår på skjerm og tastatur, herunder inntasting av passord/personlig kode.

Ved nevnte gjennomgangen av [A-mann] lokaler i [Bynavn1], fant ikke vitnet noen pågående videoovervåking eller klare tegn på at det har foregått tidligere. Vitnet har imidlertid pekt på en liten utsparing i den ene platen i himlingen nær [A-mann] kontorplass. Utsparingen er egnet for å føre ned f.eks. en liten linse fra et lite opptaksutstyr plassert oppå himlingsplatene, men utsparingen kan potensielt også ha hatt andre formål. Bevisførselen gjør det imidlertid mest sannsynlig for lagmannsretten at en kameralinse plassert i den aktuelle utsparingen ikke vil kunne registrere tastaturbruk på den aktuelle kontorplassen, fordi brukeren vil sitte i veien og skjerme innsyn.

Det er ikke fremkommet noen opplysninger for lagmannsretten om at [B og C] på noen måte har blitt knyttet til utstyr for skjult videoopptak eller slik bruk.

Ut fra opplysningene om kvaliteten på og plassering av ordinært videokamera-utstyr i virksomheten, som dekker de ytre delene av lokalene, finner lagmannsretten det uaktuelt at dette videoutstyret kan ha blitt benyttet til å lese av inntasting av den personlige koden på kontorplassen.

Side:10

- Mulig digital registrering

Den andre fremgangsmåten for å fange opp personlig BankID-kode, som har vært fokusert på under ankeforhandlingen, er mulige måter for digitalt å lese av signaler/registreringer av hvilken personlig kode som er tastet inn.

Marcus’ PC har vært koblet til internet via et trådløst nett som han hadde i virksomhetens lokaler i [Bynavn1].

Ved ulike strategier for å bryte seg inn i nettverket en PC er koblet til og/eller ved å installere skjulte programmer på en PC, vil man fra datamaskiner plassert annet sted i nettet potensielt kunne fange opp datatrafikk som sendes fra maskinen i nettet. Man kan deretter bruke dekrypteringsteknikker for å tyde den opprinnelig krypterte kommunikasjonen av koder.

Vitnet som Markus førte for redegjørelse om slike mulige fremgangsmåter i from av «man-in-the-middle»- og trojan-teknikker, hadde imidlertid ikke noen mer spesifikk kunnskap om de krypteringsteknikkene som totalt brukes i nettkommunikasjonen ved bruk av BankID. Vitnet hadde for øvrig ved sine undersøkelser ikke funnet noen konkrete spor som kunne indikere at noen slike inntrengningsmetoder var benyttet. Lagmannsretten bemerker imidlertid at disse undersøkelsene synes generelt å ha vært gjennomført og dokumentert på en lite systematisk og grundig måte. Vitnet hadde bl.a. ikke sett nærmere på trafikkloggen til routeren i det trådløse nettverket i virksomheten, og dokumentasjonen og vitneforklaringen har gitt lite konkrete opplysninger om hva som ble undersøkt og hvordan.

Easybank har ført to vitner som arbeider med datasikkerhet. Henholdsvis Lars Ludwig Sandell i konsulentselskapet Dignatio AS Andreas Havsberg i firmaet Nets AS som drifter norske bankers felles transaksjonssystem mv. Disse vitnene har, uten å gi noen grundigere beskrivelser av systemet, uttalt at sikkerheten i BankID systemet i dag må regnes som høy, og at det vil være vanskelig, nærmest umulig, å fange opp en brukers personlige BankID-kode på måter som [A-mann] vitne har antydet som mulig.

Lagmannsretten bemerker generelt at alle slags sikkerhetsforanstaltninger vil være mulig å overvinne dersom en kan benytte tilstrekkelige ressurser i form av kompetanse, tid og (data)kraft, men påvirket bl.a. av hvilken oppdagelsesrisiko som aksepteres. Sikkerhetstiltak innebærer dermed å oppnå en tilstrekkelig grad av sikkerhet sett i forhold til den trusselen en kan forvente å stå ovenfor. Dette kan f.eks. innebære at en benytter krypteringsteknikker med koder som teoretisk kan brytes, men som i praksis må forventes å kreve så lang tid på å løses at informasjonen da ikke lengere har relevans, alternativt at det må brukes så store datamaskinressurser at det for de fleste praktiske formål blir uoverkommelig krevende.

Side:11

Ut fra nevnte vitneforklaringer legger lagmannsretten til grunn at hele kommunikasjonen mellom brukeren og banken blir kryptert fra det øyeblikk aktuell nettside hos bank eller annet BankID-brukersted blir lastet i nettleseren (https). Innenfor denne grunnleggende SSL-baserte https-krypteringen legges det til ytterligere kodede funksjoner knyttet til kommunikasjonen av engangskode og personlig kode for BankID. Lagmannsretten legger i utgangspunktet til grunn at dette krypteringssystemet for tiden anses i alminnelighet ikke å være korrumpert og i alminnelighet tilbyr stor nok sikkerhet mot uregelmessigheter.

Lagmannsretten bemerker likevel at det har vært diskutert i media om BankID-systemet, slik som mange andre, kan være sårbart for såkalt phishing. Da blir brukerne på ulike vis narret til å rette nettleseren sin mot en falsk side som imiterer den nettsiden brukeren egentlig har siktet mot. Kriminelle personer som har kontrollen over narresiden vil da kunne lese av brukernavn, passord og andre koder som brukeren taster inn når han blir bedt om identifisere seg ved pålogging e.a., uvitende om at han nå har kontakt med en side som kontrolleres av kriminelle i stedet for f.eks. en bankside. De kriminelle vil da kunne ha forberedt en transaksjon rettet mot den korrekte nettsiden og umiddelbart logge seg inn ved hjelp av påloggingsdataene de har fanget opp via den falske nettsiden. Dersom en på den falske nettsiden i tillegg f.eks. illuderer en mislykket innlogging, vil man kunne lure brukeren til å inngi en nytt sett med (engangs)kode som da potensielt kan benytte f.eks. for avslutningsvis å bekrefte en betalingstransaksjon de har lagt inn på reell nettside.

Uansett hvilke konklusjoner som måtte trekkes om en slik eventuell sårbarhet i BankID-systemet, fremstår en slik fremgangsmåte i alle tilfelle som ikke overveiende sannsynlig i vår sak. Phishing forutsetter altså i utgangspunktet aktivitet fra brukeren, som uforvarende kommuniserer med aktuelle falske nettsider, for hver gang man vil foreta ulovlige transaksjoner på denne måten. I saken her skjedde det flere bedragerier og uberettiget BankID-bruk over en periode på om lag 3 uker, mens [A-mann] var bortreist og ikke benyttet aktuell brikke. Aktiviteten til [B og C] forutsetter dermed i utgangspunktet tilgang til fysisk BankID-brikke hver gang for å kunne få tilgang til gyldig engangskode.

Har man derimot ved hjelp av den første Phishing-aktiviteten klart å opparbeide seg kontroll over relevante ressurser, f.eks. en nyopprettet bankkonto, så vil kriminelle aktivitet potensielt kunne fortsette i brukerens navn, uavhengig av medvirkning fra brukeren og hans opprinnelige BankID-brikke, dersom man f. eks. i neste omgang skaffer seg fysisk kontroll over en ny BankID-brikke som bestilles ved den første irregulære transaksjonen. Det har fremkommet i saken her at postboksen til [A-mann] var brutt opp i aktuelt tidsrom, og at politiet fant brev til [A-mann] hjemme hos [B og C].

Én enkelt phishing-hendelse kan imidlertid være tilstrekkelig for å skaffe seg adgang til brukerens personlige kode. Hvis formålet med en phishing-aktivitet har dette begrensete formålet, med sikte på i tillegg å skaffe seg gyldige engangs-koder på senere tidspunkt i

Side:12

form av fysisk tilgang til brikken, vil denne fremgangsmåten i utgangspunktet kunne være aktuell.

Lagmannsretten legger, som nevnt, uansett til grunn at BankID-systemet gir en høy grad av sikkerhet, og det er ikke fremkommet noe som tilsier at dette systemet har noen generelle svakheter som kan utnyttes uten betydelig kompetanse og en viss ressursbruk – som det ikke er fremkommet noe konkret om at [B og C] har hatt til rådighet. [A-mann] har anført at [B og C] har høy datakompetanse og har vist til at [B og C] hadde produsert falske lønningsslipper som de hadde benyttet under noen av bedrageriene. Lagmannsretten bemerker imidlertid at den kompetansen som skal til for å redigere filer i tekst-, bilde- eller pdf-format for å lage slike uriktige dokumenter, ligger på et annet kompetansenivå, som i alminnelighet må anses mindre krevende, enn det som her ellers er omhandlet vedrørende phishing, «man-in-the-middle»-angrep mv.

Lagmannsretten bemerker videre at de inntastede tegnene som inngår i den personlige koden kommuniseres i første omgang ukryptert mellom tastaturet og brukerens PC. For PCer med separat tastatur, slik det var på PCen i [A-mann] virksomhet i [Bynavn1], vil det da være mulig å koble en liten opptaksenhet («key logger») på kontakten til tastaturledningen. En slik key logger er liten av størrelse, som en kort forlengelse av tastaturkontakten, og påkaller ikke umiddelbart stor oppmerksomhet på baksiden av en PC. Key loggere kan lagre data inntastet i en kortere eller lengre periode, og det er små kostnader forbundet med slikt utstyr.

Eventuell bruk av en slik key logger enhet krever altså fysisk tilgang til brukerens PC, men det kreves ingen spesialkompetanse for å montere den eller fjerne den igjen når registrering av tastaturtasting ønskes avsluttet. Den vil også sette få om ingen spor etter seg i PCens loggsystem. Når enheten så er fjernet fra maskinen, kan den enkelt installeres på en annen datamaskin for nedlasting og gjennomgang av registrerte tastetrykk, eventulet kan trådløs overføring av data være aktuelt. Det vil da være forholdsvis enkelt i nedlastede data å søke seg frem til tekststrenger som inneholder bank-relaterte URLer og se på etterfølgende tegn som blir gjentatt for hver sesjon, for å finne personlig kode til BankID.

Bruk av en slik key logger på tastaturkabelen ligger altså innenfor det som kan synes å ha vært gjennomførbart på digitalt vis innenfor [B og C] formodete ressurssituasjon. Samtidig har [B og C] i henhold til [A-mann] forklaring, i hvert fall i noen forutgående perioder, hatt fysisk tilgang til [A-mann] PC. Det er på den annen siden ikke fremkommet noe i tilknytning til Markus aktiviteter og forklaringer eller på annet vis som gir noen mer konkrete indikasjoner på at det har vært brukt en key logger på Markus’ datautstyr – noe som altså heller ikke er lett å få, sett bort fra eventuell direkte observasjon av tilkoblingen av tastaturkabel i en periode hvor en key logger er montert. Det er samtidig heller ikke fremkommet noe om at [B og C] på noen konkret måte kan knyttes til bruk av key logger.

Side:13

En key-logger funksjon kan også oppnås ved å installere et program på PCen til [A-mann], som leser av og registrerer inntastede tegn. En kan så på et senere tidspunkt, ved hjelp av fysisk tilgang til PCen, eller ved fjerntilgang over nettveerk, lese av dataene og eventuelt slette det installerte programmet.

Lagmannsretten har ikke fått noen redegjørelse om hvor åpent eksponert Markus sin PC eventuelt har vært i det trådløse nettverket til [Bynavn1]s-virksomheten, men vitnet som hadde gjennomgått utstyret til [A-mann], ga uttrykk for at han ikke hadde kunnet finne noen spor av installerte «spion-program»., jfr dog det som er sagt ovenfor om kvaliteten på denne undersøkelsen. Også en slik fremgangsmåte for installering av key logger krever noe datakunnskap på et nivå noe høyere enn alminnelig brukerkompetanse, og det er ikke klargjort noe nærmere for lagmannsretten om [B og C] besitter den nødvendige kompetansen for å bruke slike fremgangsmåter.

Oppsummering av bevisbildet

Det er altså ikke fremkommet noen mer konkrete holdepunkter for at uvedkommende uten [A-mann]s medvirkning verken har videoovervåket inntastingen av den personlige koden, og heller ikke at inntastet kode har blitt fanget opp ved digitale virkemidler. På den annen side er det heller ikke fremkommet noen konkrete holdepunkter for at den personlige koden er kommet til uvedkommendes kjennskap ved at [A-mann] har lagt til rette for det. Partene har bare fremkommet med hypoteser i begge disse henseende.

Et faktum i saken som imidlertid må tas i betraktning her, er, som nevnt ovenfor, at den aktuelle BankID-brikken ikke hadde vært brukt mellom 5. juli 2016 og [B og C]s misbruk av brikken som startet 16. februar 2017. Det betyr at dersom den personlige koden kom på avveie ved video eller visuell observasjon av [A-mann]s inntasting av koden eller ved digital avlesing av inntastet kode, så måtte dette ha skjedd før 5. juli 2016. Følgelig måtte noen ha sittet med kunnskapen i over et halvt år før den faktisk ble misbrukt.

En slik forsinkelse kunne potensielt tenkes forklart med at den personlige BankID-koden var blitt fanget opp noe mer tilfeldig uten at den som fikk kjennskap til koden i første omgang hadde noen kriminell hensikt. Alternativt kunne det forklares med at gjerningsmennene avventet dessuten å få tilgang til den fysiske BankID-brikken med generator for midlertidige koder for å fullføre den kriminelle hensikten. Ytterligere et alternativ er at man avventet at misbruket skulle kunne gjennomføres i en periode hvor Markus var bortreist, slik at han ikke med en gang skulle fange opp bedrageriene som ble gjort i hans navn.

Jo lenger tid som går, jo økende risiko er det imidlertid for at den personlige koden man eventuelt har fått kjennskap til, ikke lenger er gyldig fordi koden har blitt endret. Det fremstår derfor som mindre sannsynlig at noen skulle ha brukt særlige ressurser på å skaffe

Side:14

seg innsikt i den personlige koden ved hjelp av noe mer avanserte metoder, for så å vente forholdsvis lenge i det uvisse på å få gjennomført bedrageriet.

Det fremstår derfor mest sannsynlig at gjerningsmennene har fått kjennskap til den personlige koden på annen måte i forbindelse med at de bemektiget seg BankID-brikken, f.eks. ved at den var skrevet ned i nærheten av der brikken ble oppbevart, eller at koden var veldig lett å gjette seg til.

Ansvarsspørsmålet

- Rettsgrunnlag

Som nevnt innledningsvis har Easybank påberopt det ulovfestede alminnelige erstatningsansvar for uaktsomme handlinger som grunnlag for sitt erstatningskrav. Spørsmålet blir da hvilken aktsomhetsstandard som skal legges til grunn.

Easybank anfører at [A-mann]s adferd må bedømmes ut fra de plikter som i alminnelighet er pålagt ham som bruker av BankID-systemet. De ulike aktørene innenfor dette systemet må basere seg på at sikkerheten i systemet opprettholdes ved at alle brukere og brukersteder lojalt følger de anvisninger som er gitt i lov og avtale og som bl.a. skal motvirke misbruk av systemet. Dette utgangspunktet for aktsomhetsvurderingen er lagmannsretten enig i.

Når det gjelder den fysiske brikken, har lagmannsretten ikke blitt forelagt noen form for avtalemessige forpliktelser om dennes bruk og oppbevaring som [A-mann] har akseptert før utlevering. Easybank har imidlertid vist til finansavtaleloven § 34 om «plikter ved bruk av betalingsinstrument», som i første ledd første punktum fastsetter at «En kunde som har rett til å bruke et betalingsinstrument, skal bruke det i samsvar med vilkårene for utstedelse og bruk, og skal herunder ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet så snart instrumentet er mottatt.»

«Betalingsinstrument» er i lovens § 12 bokstav c definert som «personlig instrument eller sett av prosedyrer som er avtalt mellom kunden og institusjonen, og som kunden benytter for å iverksette en betalingsordre», og «betalingsordre» er i bokstav b definert som «anmodning fra en betaler eller betalingsmottaker til en institusjon om å foreta en betalingstransaksjon». At BankID kan brukes til annet enn betalingsordre, slik som elektronisk signering av en avtale som det var tale om her i bedrageriforholdet, får ingen betydning så lenge BankID uansett også hele tiden er anvendelig for betalingsordre.

Når det så gjelder den personlige BankID-koden, er behandlingen av denne nærmere regulert i «Alminnelige avtalevilkår for PersonBankID», som [A-mann] har akseptert ved inngåelsen av BankID-avtalen. Det heter der i punkt 9 at:

Side:15

«PersonBankID er personlig og skal ikke overdras eller på annen måte overlates til eller brukes av andre enn Kunden. Passord, personlige koder og andre sikkerhetsprosedyrer må ikke røpes for noen, heller ikke overfor politiet, Banken eller husstandsmedlemmer. Kunden skal benytte oppdatert programvare, herunder operativsystem, nettleserprogram og annen programvare for sikker kommunikasjon med nettstedet, samt antivirusprogramvare. For øvrig skal Kunden følge Bankens til enhver tid gjeldende sikkerhetsråd.»

Men de generelle pliktene etter finansavtaleloven § 34 om å «ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene» vil også ha relevans for håndtering av personlig kode.

Aktsomhetsvurdering

Spørsmålet blir da først om måten som [A-mann] har håndtert sin BankID-brikke, slik dette er nærmere beskrevet ovenfor, samsvarer med hans plikter etter finansavtaleloven § 34.

Tingretten kom til at [A-mann]s oppbevaring av kodebrikken i ulåst kontorskap i [Bynavn1]s-avdelingen kunne, «på tross av det strenge aktsomhetsansvaret som gjelder for oppbevaring av BankID-kodebrikker, ikke anses som en uaktsom oppbevaring». Dette er lagmannsretten ikke enig i.

Uansett om det ikke er mulig å gjennomføre noen transaksjoner bare med tilgang til BankID-brikken, kan den som har fått tildelt BankID, ikke slå seg til ro med at man ikke behøver å være så nøye med oppbevaringen av brikken så lenge man holder den personlige koden hemmelig. Som bemerket lenger opp, er den fysiske brikken ett av to samvirkende sikkerhetselementer. For personer med kriminelle hensikter vil tilgang til brikken innebære at én type sikringsmekanisme mot misbruk er overkommet, slik at det så bare gjenstår ytterligere ett hinder for å kunne misbruke BankID-systemet. Dette gjelder særlig BankID-brikker uten ekstra kodesikring, som lagmannsretten legger til grunn at det er tale om for den aktuelle bankbrikken, jfr det som er sagt om dette ovenfor.

Sikkerheten blir dermed betydelig svekket hvis uvedkommende kan få fysisk tilgang til andres BankID-brikker og derigjennom adgang til å generere gyldige engangskoder.

Denne vurderingen blir ikke avgjørende påvirket av at det her var tale om et forholdsvis begrenset antall personer som i utgangspunktet hadde rettmessig tilgang til den indre delen av lokalene i gatekjøkkenet hvor kontorplassen befant seg, og at dette var personer som [A-mann] i utgangspunktet hadde et visst tillitsforhold til i og med at de var ansatt i virksomheten hans. Graden av manglende kontroll over brikken, ved at den f.eks. ikke var forsøkt gjemt bort noe mer effektivt, låst ned eller fjernet fra stedet og f.eks. plassert i privat hjem, var likevel høy. Han hadde ikke kontroll med tilgang til og bruk av brikken

Side:16

når han ikke selv var til stede i lokalene, noe han altså ikke var for en periode på flere uker da han reiste på ferie i den tiden bedrageriene ble begått.

Dermed ble det skapt en risiko som lå over det som burde kunne forventes å følge av å skulle ta «alle rimelige forholdsregler» for å beskytte BankID-brikken. For lagmannsretten fremstår derfor den måten som [A-mann] opplyser at han i den aktuelle perioden oppbevarte BankID-brikken på i kontorplassen i [Bynavn1], som uaktsom.

Når det så gjelder den personlige koden, er spørsmålet med hensyn til eventuelt å fastslå uaktsomhet altså om [A-mann] har overdratt eller på annen måte overlatt koden, eller om han på annen måte har «røpet» koden til noen – bevisst eller ved uforsiktighet.

Det bevismessige utgangspunktet er altså at det ikke er mest sannsynlig at sikkerheten er brutt av spionasjelignende årsaker som [A-mann] ikke har hatt noen påvirkning på. Etter lagmannsretten bevisbedømming må mest sannsynlig [A-mann] i stedet på en eller annen måte ha lagt til rette for eller medvirket til at den personlige BankID-koden har kommet på avveie. Som angitt over kan dette ha skjedd f.eks. ved at koden var skrevet ned og ble funnet nær der BankID-brikken ble oppbevart. Nedskriving av koder som i utgangspunktet ikke skal være tilgjengelig for andre er et ikke helt uvanlig forekommende fenomen, og hvis nedskrivinge er for lett tilgjengelig for uvedkommende, må dette anses som å «røpe» koden.

Et alternativt er at [A-mann] hadde valgt en kode som var så enkel at det var for lett å gjette seg til. Det kan stilles spørsmål om dette faller inn under «overdras» eller å «røpe» koden, men å benytte en kode som er så lett å gjette seg til at noen kan klare det på noen få forsøk, faller uansett ikke under å ta «alle rimelige forholdsregler» for å beskytte betalingsinstrumentet.

Når det gjelder tidligere nevnte alternativ der den personlige BankID-koden eventuelt mer tilfeldig var kommet til gjerningsmennenes kunnskap ved bruk av BankID på et tidlig stadium før 5. juli 2016, forutsetter også dette at det har vært [A-mann] som på en eller annen måte har benyttet koden, men på en måte som har gjort at han ikke i tilstrekkelig grad har beskyttet koden eller inntasting av den mot observasjon av uvedkommende.

Som det fremgikk ovenfor, har det ikke vært mulig for lagmannsretten å fastslå konkret hvilken måte [A-mann] sin personlige BankID-kode har kommet på avveie til tross for at [A-mann] har en streng plikt med hensyn til å sørge for at den ikke gjør det. Det avgjørende er imidlertid at for alle alternative hendelsesforløp finner lagmannsretten det mest sannsynlig at koden har kommet på avveie fordi [A-mann] har gjort det mulig ved ikke å ha vært så forsiktig med oppbevaring og/eller bruk av den personlige BankID-koden som han skulle.

Side:17

[A-mann] har dermed ikke aktsomt etterlevd de reglene som gjelder for alle brukere av personlig BankID, hverken når det gjelder den personlige BankID-koden eller når det gjelder den fysiske BankID-brikken.

Reglene som er gitt for behandling og bruk av personlig BankID, er klart motivert av behovet for å ivareta sikkerheten i transaksjonssystemet. Det må derfor anses som innlysende at hvis brukere ikke er aktsomme med hensyn til hvordan de behandler sin BankID i samsvar med reglene som er gitt, vil sikkerheten i BankID-systemet kunne bli svekket og uregelmessigheter kunne inntreffe. [A-mann]s manglende etterlevelse av hans brukerplikter innebærer dermed et sikkerhetsbrudd som han klart må klandres for.

[A-mann]s uforsiktige behandling av hans BankID må følgelig bedømmes som uaktsom, og [A-mann] må ta ansvar for følgene av denne uaktsomheten.

Det fremstår ganske innlysende at svikt i sikkerheten knyttet til en personlig BankID vil kunne medføre uregelmessigheter på måter som innebærer tap for noen av aktørene i BankID-systemet. Tap som oppstår hos banker og andre BankID-brukersteder ved transaksjoner der det brukes BankID som ikke har vært behandlet forsiktig nok av sine rettmessige brukere og dermed har kunnet utnyttes av andre personer for urettmessig vinning, må derfor erstatningsretslig anses å ha årsakssammenheng med tapene. Når ikke spesielle omstendigheter gjør seg gjeldene, vil tapene også være påregnelige så lenge de ligger innenfor alminnelige beløpsstørrelser for transaksjoner som personer i det daglige utfører ved bruk av BankID.

Easybank må generelt kunne basere seg på at transaksjoner med lånesøknader som blir innsendt til dem ved hjelp av BankID, blir utført med hjelp av BankID som er behandlet av sine respektive brukere i samsvar med de adferdsstandarder som gjelder for BankID-brukere. I dette tilfellet holdt denne forutsetningen likevel ikke på grunn av [A-mann] uforsiktighet med sin BankID. Tapet som da oppsto for Easybank er et tap som banken kan kreve erstattet av [A-mann].

Når først erstatningsansvar blir fastslått, har ikke [A-mann] bestridt størrelsen på kravet som Easybank har fremsatt. Dette beløpet er imidlertid i løpet av saksforberedelsen for lagmannsretten og etter diskusjon mellom partene blitt noe nedjustert fra det som tingretten tilkjente. Kravet er nå på kr 100 995 med tillegg av lovens forsinkelsesrente fra 05. juli 2018. Lagmannsretten tilkjenner Easybank erstatning i samsvar med dette reviderte kravet.

Anken over post I i tingrettens domsslutning har dermed i utgangspunktet ikke ført frem, men på grunn av det reduserte erstatningskravet blir domsslutningen utformet i tråd med endringen.

Side:18

I tillegg til erstatningsbeløpet som tingretten fastsatte, har Easybank for lagmannsretten dessuten fremsatt krav om erstatning for utenrettslige inndrivelseskostnader med kr 3 500. Lagmannsretten kan heller ikke se at [A-mann] har bestridt dette kravet når erstatningsansvar først er fastslått, og lagmannsretten gir dermed Easybank medhold også i dette kravet.

Sakskostnader

Det tilkjente beløpet for lagmannsretten er noe lavere enn hva tingretten tilkjente og kravet som ble fastholdt i anketilsvaret. Endringen er en følge av tilsvarende redusert krav fra banken. Endringen er relativt sett så liten at Easybank uansett har fått medhold i det vesentlige av sitt opprinnelige krav. Easybank har dermed i utgangspunktet krav på erstatning for sine nødvendige og rimelig sakskostnader, jfr tvisteloven § 20-2 (1) og (2).

Easybank v/adv. Kjetil Vangsnes har satt fram krav om erstatning for sakskostnader for tingrett og lagmannsrett på til sammen kr 126 668,60, hvorav kr 29 739,60 var sakskostnader for tingretten.

I tillegg har Easybank opprettholdt sitt krav på kr 2 360,25 som erstatning for sakskostnader for forliksrådet, slik de fikk tilkjent av tingretten.

Lagmannsretten finner imidlertid at det er tungtveiende grunner for å anvende unntaksregelen i tvisteloven § 20-2 (3).

Da saken ble pådømt i forliksråd og i tingretten, var den dårlig opplyst og [A-mann] ble idømt erstatningsansvar av tingretten på basis av et sentralt faktum som i ettertid har vist seg å være klart feil. Opplysninger om når aktuelle brikker har blitt brukt, kom først frem under sakens behandling i lagmannsretten. [A-mann] fritas derfor for sakskostnadsansvar for tingretten og kostnader ved Easybanks anketilsvar, jfr tvisteloven § 20-2 (3) bokstav a.

Easybank tilkjennes etter dette kr 40 000 for 20 timer saler frem til ankeforhandling, og kr 16 000 for avholdt ankeforhandling, samt vitneutgifter med kr 7 500. Det er opplyst at Easybank ikke har fradragsrett for mva, og banken tilkjennes derfor erstatning også for mva.

Samlet erstatningsbeløp for sakskostnader blir etter dette kr 63 500 pluss mva.

Dommen er enstemmig.

Side:19

DOMSSLUTNING

1. [A-mann] plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA 100 995 – etthundretusennihundreognittifem – kroner med tillegg av lovens forsinkelsesrente fra 05. juli 2018 til betaling skjer.

2. [A-mann] plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA utenrettslige inndrivingskostnader med 3 500 – tretusenfemhundre – kroner.

3. [A-mann] plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA 63 500 – sekstitretusenfemhundre – kroner pluss mva i sakskostnader for lagmannsretten. Sakskostnadserstatning for øvrige instanser tilkjennes ikke.