HR-2020-2021-A

(1) Dommer Bergh:

Sakens spørsmål og bakgrunn

(2) Saken gjelder spørsmål om en bank som har utbetalt et forbrukslån etter misbruk av BankID, kan kreve erstattet sitt tap av den som er utsatt for misbruket.

(3) Easybank ASA mottok 7. mars 2017 elektronisk søknad om et forbrukslån på 100 995 kroner. Lånet ble innvilget samme dag. Ved signering av låneavtalen ble BankID tilhørende A, utstedt av DNB, benyttet. Det viste seg senere at As BankID var misbrukt av B og hans ektefelle C, etter at de, uten at A var kjent med dette, hadde fått tilgang til kodebrikke og passord.

(4) Lånet ble 9. mars 2017 utbetalt til en konto i Sparebank 1 SR-Bank som sto i As navn, men som ekteparet BC hadde opprettet. Beløpet ble straks ført videre til en konto tilhørende C. Innvilgelse og utbetaling av lånet skjedde utelukkende etter elektronisk kontakt mellom ekteparet BC og Easybank. Banken bygget på at As BankID var benyttet, uten å foreta ytterligere kontroll av om avtalen faktisk ble inngått av ham.

(5) Kristiansand tingrett avsa 8. desember 2017 dom i straffesak mot C og B. I dommen ble de to blant annet dømt for å ha forledet Easybank til å innvilge lånet som denne saken gjelder, ved å søke om lånet i As navn og ved å signere låneavtalen med hans BankID. De to ble i tillegg dømt for flere andre bedragerier der As BankID var blitt misbrukt ved låneopptak og opprettelse av avtaler om kredittkort.

(6) Easybank innga forliksklage med krav om erstatning fra A for det tapet banken har lidd som følge av låneopptaket. Ved Kristiansand forliksråds dom 18. april 2018 ble A frifunnet.

(7) Easybank brakte saken inn for Kristiansand tingrett, som 5. oktober 2018 avsa dom med slik domsslutning:

«1. A dømmes til å betale til Easybank ASA kroner 104 374,47 – etthundreogfiretusentrehundreogsyttifire kroner og førtisyv øre – innen 2 – to – uker fra dommens forkynnelse, med tillegg av lovens forsinkelsesrente fra 05.07.2018 til betaling skjer.

2. A dømmes til å betale sakskostnader for tingretten til Easybank med kroner 29 793,60 – tjuenitusensyvhundreognittitre kroner og seksti øre – innen 2 – to – uker fra forkynnelse.

3. A dømmes til å betale sakskostnader for forliksrådet til Easybank med kroner 2 360,25 – totusentrehundreogseksti kroner og tjuefem øre – innen 2 – to – uker fra dommens forkynnelse.»

(8) A anket til Agder lagmannsrett, som 7. november 2019 avsa dom med slik domsslutning:

«1. A plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA 100 995 – etthundretusennihundreognittifem – kroner med tillegg av lovens forsinkelsesrente fra 05. juli 2018 til betaling skjer.

2. A plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA utenrettslige inndrivingskostnader med 3 500 – tretusenfemhundre – kroner.

3. A plikter innen 2 – to – uker fra forkynnelsen av denne dommen å betale til Easybank ASA 63 500 – sekstitretusenfemhundre – kroner pluss mva. i sakskostnader for lagmannsretten. Sakskostnadserstatning for øvrige instanser tilkjennes ikke.»

(9) A har anket lagmannsrettens dom til Høyesterett. Anken gjelder bevisbedømmelsen og rettsanvendelsen.

(10) Den opprinnelige ankemotparten, Easybank ASA, er fra 1. oktober 2020 en del av Brabank ASA. Jeg bruker likevel i hovedsak betegnelsen Easybank.

(11) For Høyesterett har Forbrukerrådet erklært partshjelp til fordel for A.

(12) Finans Norge har inngitt skriftlig innlegg til Høyesterett etter tvisteloven § 15-8.

(13) Det er for Høyesterett fremlagt enkelte nye bevis. Videre har A subsidiært gjort gjeldende at et eventuelt erstatningsansvar må lempes. Deler av saken står derfor i en noe annen stilling enn for lagmannsretten.

Partenes syn på saken

(14) Den ankende part – A – har i korte trekk gjort gjeldende:

(15) Det er enighet om at saken må avgjøres ut fra alminnelige erstatningsrettslige regler. Det er banken som har bevisbyrden for at vilkårene for erstatningsansvar er oppfylt.

(16) A har ikke opptrådt uaktsomt. Dermed foreligger det ikke ansvarsgrunnlag, og han er ikke erstatningsansvarlig overfor banken.

(17) Kodebrikken er oppbevart forsvarlig. Det er ikke grunnlag for å bygge på at A har håndtert passordet på en uforsvarlig måte.

(18) Subsidiært gjøres det gjeldende at erstatningsansvaret må lempes, jf. skadeserstatningsloven § 5-2 andre punktum. Det er her et særlig tilfelle der det er rimelig at skadelidte helt eller delvis bærer skaden.

(19) A har lagt ned slik påstand:

«1. A frifinnes.

2. Easybank ASA dømmes til å erstatte A sine sakskostnader for tingretten, lagmannsretten og Høyesterett.»

(20) Partshjelperen – Forbrukerrådet – slutter seg til at det ikke foreligger ansvarsgrunnlag, og viser til anførslene fra A når det gjelder bevisvurderingen og bevisbyrden.

(21) Forbrukerrådet fremhever særlig at det må legges stor vekt på forholdene på bankens side. Det er bankens handlemåte som har skapt risikoen gjennom produkttilbudet – rask tilgang på usikret kreditt – kombinert med en rent elektronisk saksbehandling og elektronisk signatur ved avtaleinngåelsen.

(22) Som ledd i sin argumentasjon har Forbrukerrådet vist til de gjeldende reglene i finansavtaleloven § 34 og § 35 og til forslaget til ny finansavtalelov, som er fremmet i Prop. 92 LS (2019–2020).

(23) Forbrukerrådet har lagt ned slik påstand:

«Forbrukerrådet tilkjennes sakskostnader.»

(24) Ankemotparten – Brabank ASA – har i korte trekk gjort gjeldende:

(25) A har opptrådt uaktsomt både når det gjelder oppbevaringen av kodebrikken og håndteringen av passordet. Dermed er han ansvarlig for å erstatte det tapet banken har lidd som følge av at hans BankID er misbrukt.

(26) Ved bedømmelsen må det legges vekt på at BankID utgjør vital samfunnsmessig infrastruktur. De kravene og forventningene som kan stilles til A og andre brukere, må bygge på dette utgangspunktet. Det er grunn til å stille opp en streng aktsomhetsnorm.

(27) Det er ikke grunnlag for lemping. Det foreligger ikke skyld hos banken. Banken har tatt i bruk en tjeneste samfunnet ønsker, og har ikke akseptert risikoen for en slik skade.

(28) Brabank ASA har lagt ned slik påstand:

«1. Anken forkastes.

2. A og Forbrukerrådet dømmes til å erstatte Easybank ASAs sakskostnader for Høyesterett.»

Mitt syn på saken

BankID

(29) BankID er opprinnelig en sentral fellesløsning for finansnæringen. Den enkelte kunden, innehaveren, inngår avtale med en bank om bruk av BankID. I avtalevilkårene for PersonBankID, gjeldende fra 1. januar 2013, er anvendelsesområdet beskrevet slik i punkt 6:

«PersonBankID kan benyttes fra ulike elektroniske enheter som datamaskin, nettbrett, smarttelefon og lignende, for pålogging i nettbank og til identifisering og signering i forbindelse med elektronisk meldingsforsendelse, avtaleinngåelse og annen form for nettbasert elektronisk kommunikasjon med Banken og andre brukersteder som har tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet har inngått avtale med bank om bruk av BankID.»

(30) BankID har i dag et vesentlig videre anvendelsesområde enn gjennomføring av ordinære banktransaksjoner som uttak og overføringer. Systemet benyttes til kontroll av en persons identitet – autentisering – på en rekke ulike områder innenfor både privat og offentlig virksomhet. Som denne saken er et eksempel på, kan BankID også benyttes til å inngå ulike former for avtaler. Bruk av BankID går da ut på at innehaveren bekrefter sin identitet og samtidig påtar seg en avtaleforpliktelse ved elektronisk signatur.

(31) Ved bruk av BankID må følgende tre elementer være tilgjengelige: innehaverens fødselsnummer, som fungerer som brukernavn, et personlig passord og en fysisk brikke med kodegenerator for engangskoder. For å gjennomføre misbruk slik det er skjedd i denne saken, må misbrukeren dermed ha hatt tilgang til BankID-innehaverens fødselsnummer, passordet og koder fra kodebrikken.

(32) Selv om fødselsnummeret er en personopplysning som skal beskyttes, er det i praksis mange muligheter for at andre kan bli kjent med dette. Fødselsnummeret kan dermed ikke anses som en del av sikkerhetssystemet. Ingen av partene har for Høyesterett lagt vekt på at ekteparet BC hadde kunnskap om As fødselsnummer.

(33) Det personlige passordet velges av innehaveren ved etableringen av BankID. Han eller hun kan selv endre det senere. Passordet må bestå av minst åtte tegn. Disse kan være store og små bokstaver, tall og spesialtegn, uten at det er krav om noen bestemt fordeling mellom tegntypene. Tilgangen til Bank-ID blir sperret etter tre mislykkede forsøk på å taste inn passordet. Ved inntastningen blir passordet ikke synlig på skjermen på den enheten brukeren benytter.

(34) Engangskoden som må brukes sammen med passordet, genereres i kodebrikken og kan leses av på brikkens display når brikken aktiveres. Koden har en gyldighetstid på omkring ett minutt. Dermed kan BankID-transaksjoner bare gjennomføres innenfor dette korte tidsrommet. Misbruk forutsetter derfor at misbrukeren selv, eventuelt en medhjelper, har hatt fysisk tilgang til kodebrikken på tidspunktet for misbruket.

(35) Et alternativ til den metoden som beskrives her – bruk av passord og kodebrikke – er et system som betegnes «BankID på mobil». Jeg går ikke nærmere inn på denne løsningen. Spørsmålet om erstatningsansvar i saken her må vurderes ut fra den løsningen som faktisk ble misbrukt.

Rettslige utgangpunkter

Innledning

(36) Partene er enige om at saken må avgjøres ut fra alminnelige erstatningsrettslige regler, som langt på vei er ulovfestet. Det finnes i dag ikke lovregler som særskilt regulerer innehaverens ansvar ved misbruk av BankID eller annen elektronisk identifikasjon i forbindelse med inngåelsen av en låneavtale eller andre former for avtaler.

(37) Før jeg behandler innholdet i alminnelig erstatningsrett, finner jeg grunn til å komme noe inn på den någjeldende finansavtaleloven og på forslaget til ny finansavtalelov, som nå er til behandling i Stortinget. Den gjeldende loven inneholder regler om misbruk knyttet til uttak fra bankkonto eller bruk av betalingskort, det vil si spørsmål som er beslektet med spørsmålene i saken her. Det fremsatte lovforslaget har et videre virkeområde enn gjeldende lov, ved at det også omfatter ansvar ved misbruk av elektronisk signatur i forbindelse med finansielle tjenester. Dersom forslaget blir vedtatt slik det foreligger, vil det dermed også regulere tilfeller som i denne saken.

Gjeldende regler i finansavtaleloven

(38) Finansavtaleloven, lov 25. juni 1999 nr. 46, har i kapittel 2 avsnitt V regler om andres misbruk av konto eller betalingsinstrument. Med betalingsinstrument menes etter loven § 12 bokstav c «personlig instrument eller sett av prosedyrer som er avtalt mellom kunden og institusjonen, og som kunden benytter for å iverksette en betalingsordre». Dette innebærer at når BankID benyttes i forbindelse med gjennomføring av en betalingsordre, som typisk kan være en pengeoverføring gjennom nettbank, vil BankID inngå som en del av et betalingsinstrument.

(39) Innehaveren har plikt til å ta forsvarlig vare på sikkerhetsanordninger knyttet til et betalingsinstrument. Dette følger av finansavtaleloven § 34 første ledd, som lyder slik:

«En kunde som har rett til å bruke et betalingsinstrument, skal bruke det i samsvar med vilkårene for utstedelse og bruk, og skal herunder ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet så snart instrumentet er mottatt. I tillegg skal kunden uten ugrunnet opphold underrette institusjonen, eller den institusjonen har oppgitt, dersom kunden blir oppmerksom på tap, tyveri eller uberettiget tilegnelse av betalingsinstrumentet, eller på uautorisert bruk.»

(40) Begrepet «de personlige sikkerhetsanordningene» omfatter blant annet kodebrikke og passord knyttet til en BankID, men lovregelen gjelder altså bare direkte for bruk av BankID ved gjennomføring av en betalingsordre.

(41) Kundens ansvar ved tap som oppstår ved misbruk av konto og betalingsinstrument, er regulert i § 35. Etter tredje ledd svarer kunden maksimalt for 12 000 kroner. Denne beløpsgrensen gjelder når kunden ved grov uaktsomhet har unnlatt å oppfylle sine forpliktelser etter § 34 første ledd. Har kunden ikke handlet grovt uaktsomt, følger det av § 35 andre ledd at det maksimale ansvaret er 1 200 kroner.

Forslaget til ny finansavtalelov

(42) Regjeringen har i Prop. 92 LS (2019–2020) lagt frem forslag til en ny finansavtalelov. Lovforslaget skal etter planen behandles av Stortinget i løpet av høsten 2020.

(43) I lovforslaget § 4-30 er det foreslått regler om kundens ansvar ved misbruk i forbindelse med betalingstransaksjoner. Reglene har likhetstrekk med gjeldende lov § 35, men inneholder visse endringer. Endringene har sammenheng med nye regler som følger av EUs reviderte betalingstjenestedirektiv, europaparlaments- og rådsdirektiv (EU) 2015/2366.

(44) I proposisjonen punkt 18.2 drøftes forslag til regler om ansvar ved misbruk av elektronisk signatur. Innledningsvis i punkt 18.2.1 fremhever departementet sammenhengen med de foreslåtte reglene om misbruk av konto og betalingsinstrumenter. Departementet uttaler på side 173:

«Punkt 18.1 gjelder misbruk av konto og betalingsinstrument. Slikt misbruk vil som regel ha bakgrunn i at feil person er identifisert som kunde – for eksempel ved tyveri av kort og koder. Punkt 18.2 gjelder en annen form for misbruk. I dette punktet drøftes tilfeller der det er spørsmål om det foreligger en bindende aksept fra kunden i form av elektronisk signatur. Som det vil fremgå av punkt 18.2.5, kan elektronisk signatur gis på samme måte og med samme fremgangsmåte som ellers blir brukt til elektronisk identifikasjon, jf. foran om sterk kundeautentisering.»

(45) Departementet fremhever at problemstillingene kan fremstå som to sider av samme sak. Videre påpekes at foreliggende EU-direktiver ikke regulerer rettsvirkninger eller gyldigheten av elektroniske signaturer, selv om det også i tilknytning til direktivarbeidet har vært fremhevet at det er gode grunner til å se problemstillingene i sammenheng. Ut fra de overveielsene som gjøres i proposisjonen, har departementet valgt å foreslå lovregler om bruk av elektronisk signatur ved finansavtaler.

(46) Forslaget til § 3-19 om rettighetshaverens plikter knyttet til bruk av elektronisk signatur har vesentlige likhetstrekk både med gjeldende lov § 34 og med forslaget til § 4-23 om plikter ved bruk av betalingsinstrument. Etter § 3-19 første ledd skal rettighetshaveren – kunden – «bruke de elektroniske signaturfremstillingsdataene i samsvar med vilkårene for utstedelse og bruk og skal ta alle rimelige forholdsregler for å beskytte personlig sikkerhetsinformasjon som er knyttet til de elektroniske signaturfremstillingsdataene». Forslaget går dermed ut på at det også i denne sammenheng skal være krav om at kunden skal ta «alle rimelige forholdsregler» for å beskytte sin BankID.

(47) Lovforslaget § 3-20 gjelder ansvar for tap ved misbruk av elektronisk signatur i tilknytning til en finansiell tjeneste. Bestemmelsen er langt på vei utformet på samme måte – med de samme beløpsgrensene – som forslaget til § 4-30 om ansvar ved ikke godkjente betalingstransaksjoner.

(48) Hovedregelen etter § 3-20 første ledd skal være at tjenesteyteren – banken – er ansvarlig for tap som oppstår ved misbruk av elektronisk signatur, selv om rettighetshaveren – innehaveren av BankID – ville vært ansvarlig etter ellers gjeldende rettsregler. Etter andre ledd gjelder en egenandel på inntil 450 kroner, men den skal bare belastes dersom innehaveren kunne ha oppdaget misbruket på forhånd. Dersom innehaveren ved grov uaktsomhet har unnlatt å oppfylle sine forpliktelser etter forslaget til § 3-19, kan han eller hun etter tredje ledd bli ansvarlig for en egenandel på inntil 12 000 kroner.

(49) Som det også er kommet til uttrykk i den foreslåtte lovteksten, er siktemålet med forslaget til § 3-20 å begrense innehaverens ansvar sammenlignet med det som følger av alminnelige rettsregler. Denne saken må, slik jeg har fremhevet, avgjøres ut fra alminnelige, gjeldende rettsregler. I noen grad kan likevel lovforslaget og de vurderingene som er gjort i tilknytning til disse, kaste lys over de avveiningene som må gjøres i denne saken. Det samme gjelder for reglene i gjeldende finansavtalelov om misbruk av konto eller betalingsinstrument. Dette er spørsmål som jeg kommer jeg tilbake til.

Krav om ansvarsgrunnlag – aktsomhetsnormen

(50) For å kunne tilkjenne erstatning for en påført økonomisk skade på grunnlag av alminnelige erstatningsrettslige regler, er det visse grunnvilkår som må være oppfylt.

(51) Det alminnelige ansvarsgrunnlaget i norsk rett er den såkalte culpanormen. Denne normen innebærer at den som har opptrådt uaktsomt, og som ved dette har påført noen annen en skade, kan ha plikt til å erstatte det økonomiske tapet som er oppstått. En generell beskrivelse av bakgrunnen for og innholdet i uaktsomhetsansvaret finnes blant annet i Hagstrøm og Stenvik, Erstatningsrett, 2. utgave 2019, side 77 følgende.

(52) At en innehaver av BankID kan bli erstatningsansvarlig når et oppstått tap skyldes hans eller hennes uaktsomhet, er også lagt til grunn i standardavtalen som brukes ved etablering av BankID. I avtalevilkår for PersonBankID, 1. januar, 2013, punkt 13.2, heter det:

«Dersom noen (...) har handlet i tillit til disposisjoner gjort av uvedkommende som har misbrukt Kundens BankID, for eksempel inngått avtale med misbrukeren, vil disse etter alminnelige rettsregler kunne holde Kunden erstatningsansvarlig dersom misbruket er muliggjort ved forsettlig eller uaktsom handling eller unnlatelse fra Kundens side.»

(53) Et sentralt utgangspunkt ved vurderingen av om noen har opptrådt uaktsomt, er om vedkommende har handlet innenfor de atferdsnormer som gjelder på det aktuelle området, se blant annet HR-2018-1234-A avsnitt 42.

(54) Jeg har allerede fremhevet at finansavtaleloven § 34 fastsetter at en kunde skal ta «alle rimelige forholdsregler» for å beskytte de personlige sikkerhetsanordningene knyttet til et betalingsinstrument. Selv om denne saken ikke gjelder misbruk av BankID som del av et betalingsinstrument, etablerer lovens krav – alle rimelige forholdsregler – en norm som etter mitt syn bør gjelde også utenfor lovens virkeområde. Jeg viser i denne sammenheng til at kravet er formulert på samme måte i bestemmelsene om elektronisk signatur i forslaget til ny finansavtalelov, se lovforslaget i Prop. 92 LS (2019–2020) § 3-19.

(55) Krav til innehavernes handlemåte følger også av avtalevilkårene for PersonBankID, 1. januar 2013, punkt 9, som lyder slik:

«9. Vern om passord og andre sikkerhetsprosedyrer
PersonBankID er personlig og skal ikke overdras eller på annen måte overlates til eller brukes av andre enn Kunden. Passord, personlige koder og andre sikkerhetsprosedyrer må ikke røpes for noen, heller ikke overfor politiet, Banken eller husstandsmedlemmer. Kunden skal benytte oppdatert programvare, herunder operativsystem, nettleserprogram og annen programvare for sikker kommunikasjon med nettstedet, samt antivirusprogramvare. For øvrig skal Kunden følge Bankens til enhver tid gjeldende sikkerhetsråd.»

(56) Culpanormen er i utgangspunktet en objektiv norm, som går ut på at erstatningsansvar kan pålegges den som kunne og burde handlet annerledes, se Hagstrøm og Stenvik, 2. utgave 2019, side 83. Det er likevel rom for en viss relativisering. Hagstrøm og Stenvik gjengir på side 117 Kristen Andersen, Skadeforvoldelse og erstatning, 1970, side 102, der han uttaler:

«... en og samme handling kan være erstatningsrettslig uaktsom eller uforsvarlig i relasjon til en gruppe skadelidte, samtidig som den er erstatningsrettslig aktsom eller forsvarlig i relasjon til en annen gruppe.»

(57) I Nygaard, Skade og ansvar, 6. utgave 2007, side 300 drøftes dette som et spørsmål om rolleforventningen til skadelidte:

«Ei hovudgruppe er når skadelidnes forhold gjer at det ikkje er grunnlag for ansvar, eller at ansvaret fell heilt bort.

Ei viktig undergruppe her kallar eg rolleforventning til skadelidne. Her har skadelidne vågnaden, altså den objektive eigenrisikoen for skaden. Forventning til den persongruppe eller den mellommenneskelege eller faglege rolle skadelidne tilhøyrer, om å gjera sitt til å unngå å lida skade, kan gjera at den risikoen skadevaldaren måtte hefta for, blir så liten at den ikkje gir grunnlag for å påleggja skadevaldaren ansvar. Her krevst ikkje skyld eller aksept frå skadelidnes side. Poenget er at den objektive forventninga til skadelidne er avgjerande. Skadelidne må tola risiko og skade, og skadevaldaren frifinnast.»

(58) Når BankID benyttes innenfor det som må betegnes som det opprinnelige bruksområdet, betalingstransaksjoner, må den klare hovedregelen være at det ikke kan kreves at institusjonen skal foreta ytterligere sikkerhets- eller kontrolltiltak utover å konstatere at BankID er brukt på riktig måte. Dette må da danne utgangspunktet for vurderingen av om innehaveren har opptrådt grovt uaktsomt etter finansavtaleloven § 35 tredje ledd.

(59) Slik jeg ser det, kan situasjonen være annerledes når BankID benyttes i andre sammenhenger. Det denne saken gjelder, er bruk av BankID som elektronisk signatur ved inngåelsen av en avtale med vidtrekkende økonomiske konsekvenser for innehaveren med en bank som han ikke hadde noe kundeforhold til.

(60) I sin begrunnelse for de foreslåtte ansvarsreglene ved misbruk av elektronisk signatur uttaler departementet i Prop. 92 LS (2019–2020) side 183–184 blant annet følgende:

«Departementet viser videre til at bruken av elektronisk signatur og sterk kundeautentisering er mer omfattende i dag enn tidligere. Mulighetene for svindel har derfor økt, og i mange tilfeller benyttes de samme løsningene og sikkerhetsordningene til kjøp av varer og tjenester på internett som ved avtaleinngåelser. Det er selvsagt en fordel for brukerne at løsningene som tilbys, er enkle å bruke. Men det må samtidig kunne anføres at når det utstedes løsninger som gir samme fremgangsmåte for betalingstransaksjoner som for avtaleinngåelse, så har tilbyderen av løsningen og den finansielle tjenesteyteren medvirket til den økte risikoen. ...

Tjenesteyteren, og tilbyderen av tillitstjenester, har langt flere muligheter enn den enkelte rettighetshaveren til å iverksette tiltak for å unngå at tredjepersoner misbruker de elektroniske signaturfremstillingsdataene, og til å pulverisere tap i den forbindelse. Departementet viser som eksempel til at når kredittyteren utbetaler kredittbeløp til andre enn rettighetshaveren selv, og stiller kredittbeløpene til disposisjon svært raskt, må det kunne hevdes at kredittyteren selv legger forholdene til rette for misbruk. Muligheten for at rettighetshaveren oppfatter misbruket – kanskje før kredittbeløpet utbetales – ville øke betraktelig dersom kredittytere i større grad sendte bekreftelser på låneforespørsel til rettighetshaverens offentlig registrerte mobilnummer, adresse eller elektroniske postkasse. Det bør dessuten være mulig for kredittyteren å sikre at kreditt bare utbetales til en konto som tilhører den som har søkt kreditt, slik også EnterCard Norge har pekt på i høringen at seriøse kredittytere vil gjøre. Svindleren kan riktignok også opprette konto i pseudounderskriverens navn med sikte på utbetalingen av kredittbeløpet, men departementet legger til grunn at reglene om uautoriserte betalingstransaksjoner gjelder for en slik konto. Kredittyteren vil dessuten kunne være langt mer aktsom ved å utbetale kredittbeløpet til kontoen som er oppført i kredittsøkerens selvangivelse.»

(61) Disse uttalelsene er gitt som ledd i begrunnelsen for et fremsatt lovforslag og er ikke knyttet til gjeldende rett. Etter mitt syn peker likevel departementet på forhold som er av betydning for aktsomhetsnormen, og dermed for innehaverens ansvar, i tilfeller der et misbruk består i at BankID er brukt som elektronisk signatur ved inngåelse av avtaler som for den private parten er av stor betydning, økonomisk eller på annen måte. Der avtaleparten, tjenesteyteren, tilhører en gruppe som kan forventes selv å iverksette tiltak for å unngå tap, må dette etter mitt syn få betydning når man skal stilling til om innehaveren i det enkelte tilfellet har opptrådt uaktsomt og ut fra det blir erstatningsansvarlig.

De øvrige grunnvilkårene for erstatningsansvar

(62) I tillegg til vilkåret om ansvarsgrunnlag kreves det for å etablere erstatningsansvar at det er årsakssammenheng mellom de ansvarsbetingende omstendighetene og den skaden – det økonomiske tapet – som er oppstått. I denne saken er det ikke uenighet om at dersom A har opptrådt uaktsomt, er det årsakssammenheng mellom dette og det tapet som er oppstått for Easybank.

(63) Det er ikke gjort gjeldende at tapet i dette tilfellet er en så fjern følge av As handlemåte at han kan være fri for ansvar ut fra den ulovfestede adekvanslæren. Det er heller ikke gjort gjeldende at eventuelt erstatningsansvar skal settes ned etter reglene om skadelidtes medvirkning i skadeserstatningsloven § 5-1.

Lemping

(64) Dersom det generelle vilkårene for erstatningsansvar er oppfylt, må det vurderes om et eventuelt ansvar skal lempes. Bestemmelsen om lemping i skadeserstatningsloven § 5-2 lyder slik:

«Erstatningsansvaret kan lempes når retten under hensyn til skadens størrelse, den ansvarliges økonomiske bæreevne, foreliggende forsikringer og forsikringsmuligheter, skyldforhold og forholdene ellers finner at ansvaret virker urimelig tyngende for den ansvarlige. Det samme gjelder når det i særlige tilfelle er rimelig at den skadelidte helt eller delvis bærer skaden.»

(65) Bestemmelsen gir altså grunnlag for lemping i to situasjoner: Der hvor fullt ansvar vil være urimelig tyngende for den ansvarlige, og der hvor det er rimelig at skadelidte bærer skaden helt eller delvis. Om det siste av disse alternativene heter det i Ot.prp. nr. 60 (1980–1981) side 45:

«Bestemmelsen er imidlertid en klar unntaksregel, og det er strenge krav som må være oppfylte før regelen vil få anvendelse. Regelen vil særlig være aktuell i tilfelle hvor det er rimelig at skaden dekkes av forsikring på skadelidtes hånd. Dette kan særlig være aktuelt dersom skaden har rammet store verdier som generelt er sterkt utsatt for skade.»

(66) Det følger av lovens ordlyd at lemping bare kan skje i særlige tilfeller, og det er understreket i forarbeidene at det er tale om en klar unntaksregel. Høyesterett har også i flere saker fremhevet at bestemmelsen har en snever rekkevidde, se blant annet Rt-2010-93 avsnitt 47 med videre henvisning til Rt-1997-883. Avgjørelsen fra 2010 er likevel samtidig et eksempel på at erstatningsansvaret etter en konkret vurdering er redusert betydelig.

(67) Uttalelsen i forarbeidene om at lemping særlig kan være aktuelt dersom skaden har rammet store verdier som generelt er sterkt utsatt for skade, er knyttet til skadelidtes mulighet for forsikring. De samme hensynene gjør seg likevel gjeldende der skadelidte på annen måte har mulighet til å forebygge og pulverisere tapet.

Bevisregler

(68) Partene har i noen grad tatt opp spørsmål som gjelder beviskrav og bevisbyrde. Heller ikke på dette området finnes det særlige lovregler av betydning for saken. Det betyr at det avgjørende også i denne sammenheng er alminnelige rettsregler og prinsipper.

(69) Utgangspunktet, som er kommet til uttrykk i tvisteloven § 21-2, er at retten skal foreta en fri bevisbedømmelse. I en sivil sak skal retten videre som den store hovedregel legge til grunn det faktum som den finner mest sannsynlig – overvektsprinsippet – se Skoghøy, Tvisteløsning, 3. utgave 2017, side 914 med videre henvisninger til rettspraksis. Beviskravet er altså at det må være mer enn 50 prosent sannsynlighet for et bestemt faktum.

(70) Spørsmålet om bevisbyrde gjelder hvilken av partene avgjørelsen vil gå imot, dersom det er tvil om beviskravet er oppfylt. Det alminnelige utgangspunktet er at det er den parten som hevder at det er inntrådt en rettsstiftende eller rettsendrende omstendighet, som har bevisbyrden, se Skoghøy side 916. I en erstatningssak betyr dette at bevisbyrden normalt vil ligge på den parten som fremsetter et erstatningskrav. Jeg oppfatter det slik at partene er enige om at dersom det er tvil om det foreligger ansvarsbetingende forhold i denne saken, ligger bevisbyrden på Easybank.

Faktum i saken

Utgangspunktene

(71) A drev i det aktuelle tidsrommet flere gatekjøkken på X under navnet «Y», herunder et gatekjøkken i Z. B var en bekjent av A.

(72) A hadde bankkonti med tilhørende BankID i alle fall i to banker. Denne saken gjelder bruk av BankID med kodebrikke og passord utstedt til A av DNB. A benyttet denne BankIDen blant annet ved bruk av en PC som han hadde installert på en kontorplass på gatekjøkkenet i Z.

(73) Låneopptaket skjedde ved at ekteparet BC brukte den nevnte BankID-en. Det må legges til grunn at de hadde tilgang til kodebrikken og var kjent med passordet. Det finnes ingen troverdig forklaring fra ekteparet BC om hvordan de fikk tilgang til brikken og passordet. Den loggen som er fremlagt for Høyesterett, viser at As BankID ble misbrukt en rekke ganger i perioden fra 15. februar til 10. mars 2017. Låneopptaket i Easybank skjedde som nevnt 7. mars 2017.

(74) Det er på det rene at As postkasse ble brutt opp våren 2017, og at uåpnet post tilhørende A ble funnet ved ransaking hjemme hos ekteparet BC. Deres tilgang til kodebrikken og kunnskap om BankID-passordet har i denne saken likevel ikke vært knyttet til innbruddet i postkassen.

Bs tilgang til kodebrikken

(75) Når det gjelder kodebrikken, er partene enige om at det faktum lagmannsretten har funnet bevist, kan legges til grunn. Dette bygger igjen på As egen forklaring.

(76) Lagmannsretten uttaler i denne sammenheng følgende:

«A har fortalt at han normalt oppbevarte den aktuelle kodebrikken, sammen med andre kodebrikker, i en veske plassert i en skuff i et skap på A sin kontorplass i gatekjøkkenet ‘Y’ som han eier og driver i Z. Kontorplassen var imidlertid ikke fysisk avgrenset fra bedriftens øvrige lokaler, slik at alle ansatte på Y hadde tilgang til kontorplassen hvor brikkene ikke var sikret med noen lås. I en periode hadde også B tilgang til lokalet fordi han skulle lære seg Y sine systemer og maskiner i forbindelse med at han hadde kjøpt Y-avdelingen i Æ.

...

Bedrageriet overfor Easybank ble begått i en periode på 3–4 uker hvor A var bortreist på ferie. I denne perioden lå brikken fortsatt i skuffen/skapet på kontorplassen i Z, fysisk tilgjengelig for alle som fikk tilgang til den delen av lokalene der publikum ikke oppholdt seg. Brikken lå da på ulåst sted, og det er ikke fremkommet opplysninger om at brikken på noen måte var oppbevart særskilt bortgjemt eller forsøkt skjult på annen måte, utover det som fremgår ovenfor om hvordan brikkene normalt ble oppbevart.»

(77) Det må legges til grunn at B tilegnet seg kodebrikken i sammenheng med at han oppholdt seg i gatekjøkkenet i Z. Lagmannsretten bygger på at han hadde tilgang til lokalene i forbindelse med opplæring. I tillegg er det opplyst at han på et tidspunkt skulle utbedre en fuktskade i lokalet.

(78) I og med at As BankID ble misbrukt en rekke ganger i tidsrommet 15. februar til 10. mars 2017 – på forskjellige dager og tidspunkter – fremstår det mest sannsynlig at B én eller flere ganger i denne perioden har tatt med seg kodebrikken fra gatekjøkkenet.

Ekteparet BCs tilgang til passordet

(79) Utgangspunktet er som påpekt at ekteparet BC faktisk må ha fått tilgang til passordet. Samtidig finnes det ikke klare holdepunkter for hvordan dette er skjedd.

(80) Lagmannsretten gjengir As forklaring på følgende måte:

«A opplyser at han ikke har skrevet ned den personlige koden noe sted og at den heller ikke på annen måte finnes tilgjengelig for uvedkommende, herunder at han heller ikke har benyttet tilsvarende kode i annen sammenheng som passord eller annet. Han forteller også at han heller ikke har opplyst koden til noen andre, eller på annen måte innrettet seg slik at andre har kunnet observere den personlige koden når han har benyttet den.»

(81) Lagmannsretten benytter her begrepet «personlig kode» om det jeg betegner som «passordet».

(82) Etter en omfattende drøftelse av ulike mulige hendelsesforløp foretar lagmannsretten følgende oppsummering:

«Det er altså ikke fremkommet noen mer konkrete holdepunkter for at uvedkommende uten As medvirkning verken har videoovervåket inntastingen av den personlige koden, og heller ikke at inntastet kode har blitt fanget opp ved digitale virkemidler. På den annen side er det heller ikke fremkommet noen konkrete holdepunkter for at den personlige koden er kommet til uvedkommendes kjennskap ved at A har lagt til rette for det. Partene har bare fremkommet med hypoteser i begge disse henseende.»

(83) Lagmannsrettens oppsummering er dekkende for bevissituasjonen også slik saken står for Høyesterett.

(84) Ved sin videre drøftelse bygger lagmannsretten, på grunnlag av en fremlagt logg, på at BankID med den aktuelle kodebrikken ikke hadde vært brukt i en periode mellom 5. juli 2016 og ekteparet BCs misbruk, som lagmannsretten la til grunn startet 16. februar 2017. Ut fra dette foretar lagmannsretten følgende vurdering:

«Jo lengre tid som går, jo økende risiko er det imidlertid for at den personlige koden man eventuelt har fått kjennskap til, ikke lenger er gyldig fordi koden har blitt endret. Det fremstår derfor som mindre sannsynlig at noen skulle ha brukt særlige ressurser på å skaffe seg innsikt i den personlige koden ved hjelp av noe mer avanserte metoder, for så å vente forholdsvis lenge i det uvisse på å få gjennomført bedrageriet.

Det fremstår derfor mest sannsynlig at gjerningsmennene har fått kjennskap til den personlige koden på annen måte i forbindelse med at de bemektiget seg BankID-brikken, f.eks. ved at den var skrevet ned i nærheten av der brikken ble oppbevart, eller at koden var veldig lett å gjette seg til.»

(85) På dette grunnlag kom lagmannsretten til at det var mest sannsynlig at passordet hadde kommet på avveie som følge av uaktsomhet fra A.

(86) For Høyesterett er det fremlagt nye opplysninger om bruken av kodebrikken i tiden før misbruket skjedde. Disse viser at A selv kan ha benyttet BankID med den aktuelle kodebrikken og passordet frem til kort tid før misbruket startet. Dette gjør at det resonnementet som synes å ha vært avgjørende for lagmannsrettens bevisvurdering, ikke kan opprettholdes.

(87) Dermed er man tilbake til det som også var lagmannsrettens utgangspunkt – at det ikke er konkrete holdepunkter for at A har opptrådt uforsiktig i sin omgang med passordet, men samtidig ikke konkrete holdepunkter for hvordan ekteparet BC på annen måte har fått tilgang til det.

(88) I saker der det mangler holdepunkter for hva som faktisk er skjedd, vil det bero på en samlet vurdering om man finner det mest sannsynlig at innehaveren har opptrådt på en uforsiktig måte. Men her som ellers er det, slik jeg har påpekt, skadelidte som har bevisbyrden for at vilkårene for erstatningsansvar er oppfylt.

(89) I den situasjonen som foreligger her, er jeg kommet til at det ikke er sannsynlighetsovervekt for at ekteparet BCs tilgang til passordet er en følge av at det har vært nedskrevet og oppbevart sammen kodebrikken, eller av at A på annen måte har behandlet passordet uforsiktig.

(90) Ved min vurdering legger jeg vekt på at ekteparet BC gjennom en lengre periode har opptrådt med en klar bedragersk hensikt og har utvist en betydelig aktivitet knyttet til gjennomføringen av bedrageriene. I tillegg til omfanget og varigheten av misbruket av As BankID, viser jeg til at post til A ble funnet hjemme hos dem etter innbrudd i hans postkasse.

(91) Det er i saken blant annet vist til at en såkalt keylogger for en periode kan kobles mellom en PC og tastaturet for å registrere alle inntastinger på tastaturet. En keylogger er enkel å anskaffe og bruke, og den vil lett kunne overses av den som bruker PC-en. Bruk av keylogger er vanskelig å spore i ettertid. Det er i denne saken ikke foretatt undersøkelser som er egnet til å utelukke at en keylogger er brukt.

(92) Bruk av keylogger er likevel bare én av flere aktuelle muligheter for en bedrager som ønsker å få tilgang til et passord uten å være avhengig av at innehaveren opptrer uforsiktig. Andre aktuelle metoder er blant annet ulike former for overvåkning av situasjoner der passordet har vært benyttet.

(93) Min samlede vurdering er dermed som påpekt at det ikke er sannsynlighetsovervekt for at ekteparet BC har fått tilgang til passordet som følge av uforsiktig opptreden fra A.

Har A opptrådt uaktsomt?

(94) Det følger av min vurdering av faktum at det ikke er grunnlag for bygge på at A har opptrådt uaktsomt når det gjelder oppbevaringen eller behandlingen av passordet. Det jeg nå vil vurdere, er om han har opptrådt uaktsomt ved sin oppbevaring av kodebrikken.

(95) Utgangspunktet for denne vurderingen er, som jeg har påpekt, om A kan sies å ha tatt alle rimelige forholdsregler for å beskytte sin BankID, herunder brikken.

(96) Jeg viser her også til punkt 9 i avtalevilkårene for PersonBankID, som jeg har sitert. Ordlyden i dette punktet synes ikke å være særskilt rettet mot oppbevaring av kodebrikken, blant annet ved at man bruker begrepet «røpes». Når det her presiseres at BankID er personlig og ikke kan overlates til andre, må det likevel etter mitt syn forstås slik at innehaveren har plikt til å iverksette rimelige tiltak for å hindre at andre får tilgang til de elementene som inngår i BankID, herunder kodebrikken.

(97) At brikken bare kan benyttes sammen med passordet, som ikke skal «røpes», kan ikke forstås slik det ikke også stilles selvstendige krav til oppbevaring av brikken. Innehaverne er klar over at kodebrikke og passord er to selvstendige elementer i sikkerhetsprosedyrene, og må da også forventes å være kjent med at forpliktelsen til å ta rimelige forholdsregler omfatter kodebrikke og passord hver for seg.

(98) Vurderingen av hva som er rimelige forholdsregler, må bygge på hva som praktisk mulig uten at det utgjør en urimelig stor byrde for innehaveren eller vil gjøre selve bruken av BankID upraktisk.

(99) Finansklagenemnda har uttalt at det ikke vil være grovt uaktsomt å oppbevare brikken hjemme, heller ikke om den ligger åpent tilgjengelig, se uttalelse 2016-326. Slik jeg ser det, kan det bare i særlige tilfeller være aktuelt å anse en oppbevaring hjemme som uaktsom. Det vernet som ligger i at en bolig er låst og normalt ikke er tilgjengelig for andre enn hustandsmedlemmer og deres gjester, må vanligvis være tilstrekkelig til å oppfylle aktsomhetskravet.

(100) Når det gjelder oppbevaring på et arbeidssted, må det i større grad foretas en konkret vurdering. Det kan ikke være slik at enhver oppbevaring som skaper mulighet for at andre kan få tilgang til kodebrikken, vil være uforsvarlig. For eksempel kan det ikke kreves at brikken skal låses ned hver gang man forlater sin egen arbeidsplass.

(101) Det må imidlertid kunne kreves at man har en viss kontroll på brikken. Det må etter mitt syn innebære at man må unngå at brikken gjennom lengre tid blir liggende på en måte som gjør at den kan tas i bruk av andre, i alle fall hvis dette kan skje uten at innehaveren vil kunne oppdage bruken.

(102) I dette tilfellet var brikken plassert i en veske som var plassert i en skuff i et skap. Det betyr at den ikke har ligget åpent og fritt tilgjengelig. Den har imidlertid ligget på dette stedet gjennom en lang periode, også mens A har vært fraværende på ferie. Kontorplassen var tilgjengelig for alle ansatte ved gatekjøkkenet og også for B. Misbruket skjedde gjennom en lengre periode, uten at A oppdaget misbruket eller at brikken var borte.

(103) Etter mitt syn kan A bebreides for den måten han oppbevarte kodebrikken på. I alle fall i den perioden han var fraværende på ferie, burde kodebrikken vært nedlåst, eller han burde tatt den med seg.

(104) Jeg er likevel kommet til at As handlemåte ikke innebærer at han har utvist en uaktsomhet som kan gi grunnlag for erstatningsansvar i denne saken. Jeg legger da vekt på at skadelidte, Easybank, er en profesjonell aktør som har valgt å inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. Som det er fremhevet i det jeg har sitert fra Prop. 92 LS (2019–2020) side 183–184, ville det vært mulig for banken å foreta ytterligere kontrolltiltak før man ubetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed bevisst valgt en handlemåte som innebar en klar risiko for tap.

(105) Holdt opp mot dette fremstår den risikoen som er skapt ved at A har opptrådt noe uforsiktig ved sin oppbevaring av kodebrikken, som så begrenset at det etter mitt syn ikke kan være grunnlag for å anse hans handlemåte som uaktsom med den virkning at han blir erstatningsansvarlig for det tapet Easybank er påført.

(106) Jeg legger vekt på at selv om en innehaver av BankID generelt må forventes å være klar over risikoen for misbruk, og at dette kan lede til økonomisk tap knyttet til urettmessige betalingstransaksjoner, fremstår det ikke på samme måte som nærliggende at BankID skal kunne benyttes som eneste grunnlag for inngåelse av avtaler i innehaverens navn som medfører ansvar for meget store pengebeløp.

(107) Jeg nevner at departementet i det jeg har sitert fra Prop. 92 LS (2019–2020) side 184, uttaler at ett av tiltakene som en utlånsbank bør benytte, er å utbetale lånebeløpet til en konto som tilhører lånesøkeren. Det kan sies å ha skjedd i dette tilfellet, selv om det var ekteparet BC som hadde opprettet kontoen i Sparebank 1 SR Bank. Dette endrer likevel ikke de vurderingene jeg har gitt uttrykk for. Det er ikke gjort gjeldende i saken at Easybank eller A kunne ha grunnlag for å rette noe krav mot Sparebank 1 SR Bank, jf. finansavtaleloven § 35.

Konklusjon

(108) Jeg er etter dette kommet til at det ikke er grunnlag for erstatningsansvar i denne saken.

(109) Det er da ikke nødvendig å ta stilling til spørsmålet om lemping. Ut fra det jeg har påpekt foran, bemerker jeg likevel at der en privatperson etter alminnelige erstatningsregler blir erstatningsansvarlig overfor en finansinstitusjon for et stort økonomisk tap som er oppstått som følge av misbruk av BankID, vil det, avhengig av de nærmere omstendighetene, kunne være grunnlag for å sette erstatningsbeløpet vesentlig ned etter lempingsregelen i skadeserstatningsloven § 5-2.

Sakskostnader

(110) Med det resultat jeg er kommet til, har A vunnet saken. Han må da tilkjennes sakskostnader for alle instanser etter hovedregelen i tvistloven § 20-2 første ledd.

(111) For Høyesterett har A krevd dekket sakskostnader med totalt 764 875 kroner inkludert merverdiavgift. I tillegg kommer rettsgebyr med 27 600 kroner. Av det angitte beløpet utgjør 17 183 kroner utgifter og det resterende salær. Timeprisen for prosessfullmektigen for Høyesterett er 2 500 kroner uten merverdiavgift. Andre advokater har utført arbeid i saken for en lavere timepris. Etter mitt syn er de angitte kostnadene nødvendige, jf. tvisteloven § 20-5. Jeg legger vekt på at saken fra begge sider har vært ansett som en prinsippsak.

(112) For forliksrådet, tingretten og lagmannsretten er det til sammen krevd sakskostnader med 116 588 kroner. I tillegg kommer rettsgebyret for lagmannsretten, som utgjør 27 120 kroner. Også disse kostnadene har vært nødvendige, jf. tvisteloven § 20-5.

(113) Sakskostnadene for partshjelperen, Forbrukerrådet, skal fastsettes særskilt, jf. tvisteloven § 20-6, jf. § 20-1 tredje ledd. Med det resultatet jeg er kommet til, må også Forbrukerrådet tilkjennes sakskostnader for Høyesterett. Det er inngitt sakskostnadsoppgave på totalt 311 969 kroner, som i sin helhet er salær med tillegg av merverdiavgift. Kravet tas til følge.

(114) Jeg stemmer for denne

D O M :

1. A frifinnes.

2. I sakskostnader for Høyesterett betaler Brabank ASA 792 475 – sjuhundreognitttotusenfirehundreogsyttifem – kroner til A innen 2 – to – uker fra forkynnelsen av denne dom.

3. I sakskostnader for forliksrådet, tingretten og lagmannsretten betaler Brabank ASA 143 708 – etthundreogførtitretusensjuhundreogåtte – kroner til A innen 2 – to – uker fra forkynnelsen av denne dom.

4. I sakskostnader for Høyesterett betaler Brabank ASA 311 969 – trehundreogellevetusennihundreogsekstini – kroner til Forbrukerrådet innen 2 – to – uker fra forkynnelsen av denne dom.

(115) Dommer Arntzen: Jeg er i det vesentlige og i resultatet enig med førstvoterende.

(116) Dommer Webster: Likeså.

(117) Dommer Noer: Likeså.

(118) Dommer Indreberg: Likeså.

(119) Etter stemmegivningen avsa Høyesterett denne

1. A frifinnes.

2. I sakskostnader for Høyesterett betaler Brabank ASA 792 475 – sjuhundreognitttotusenfirehundreogsyttifem – kroner til A innen 2 – to – uker fra forkynnelsen av denne dom.

3. I sakskostnader for forliksrådet, tingretten og lagmannsretten betaler Brabank ASA 143 708 – etthundreogførtitretusensjuhundreogåtte – kroner til A innen 2 – to – uker fra forkynnelsen av denne dom.

4. I sakskostnader for Høyesterett betaler Brabank ASA 311 969 – trehundreogellevetusennihundreogsekstini – kroner til Forbrukerrådet innen 2 – to – uker fra forkynnelsen av denne dom.