De siste årene har det vært en jevn strøm av saker for norske domstoler der banker har saksøkt privatpersoner som er utsatt for identitetstyveri, med krav om erstatning for det tapet banken har lidt etter å ha betalt ut lån til svindlerne. Allerede i 2014 ble en slik sak anket til Høyesterett, men den slapp ikke inn (HR-2014-2412-U). Etter dette har det utviklet seg en omfattende underrettspraksis der ofre for identitetstyveri i stor utstrekning er holdt økonomisk ansvarlige for konsekvensene av forbrytelsen de er utsatt for.

I én sak hadde en kvinne blitt utsatt for grov familievold over en periode på fem år (17-105912MED-FOLL). Av straffedommen fremgår det at mannen har «truet med å drepe henne og skjære strupen av henne, hindret henne i å ha kontakt med familien sin … utsatt henne for krenkelser ved å dra henne i håret, kaste henne på gulvet, dytte henne i veggen, utsatt henne for slag og spark og truet henne med kniv». Mannen misbrukte også hennes BankID til å ta opp lån. Kort tid etter at kvinnen hadde rømt til krisesenter med parets to små barn, ble hun saksøkt av Bank Norwegian med krav om betaling av lånet mannen hadde tatt opp i hennes navn. Oslo tingrett slo fast at «unnlatelsen av å endre passord eller følge opp opplysningene fra ektemannen om kreditten var erstatningsbetingende uaktsom. Det er ikke godtgjort at familievoldsregimet var årsaken til hennes unnfallenhet» (17-201534TVI-OTIR/06).  

Andre forhold som har blitt ansett erstatningsbetingende uaktsomt, er å sitte i sofaen og betale regninger ved siden av ektefellen (17-197796TVI-HAUG), og å skrive ned BankID-passordet – selv om du er 93 år og har Alzheimer (FinKN-2014-550). I noen tilfeller har domstolene gått så langt som til nærmest å konstatere et rent objektivt ansvar. I en dom fra Bergen tingrett uttales det at retten ikke kan vite hvordan ektefellen har fått tak i BankID-passordet (18-148150TVI-BERG/1). Så uttales det videre at kvinnen «all den tid hennes ektefelle er blitt kjent med det personlige passordet – ikke har opptrådt så aktsomt som hun er forpliktet til». Med andre ord: Det er per definisjon erstatningsbetingende uaktsomt å ha en ektefelle som lykkes i å svindle deg. Retten så heller ingen grunn til å lempe ansvaret etter skadeserstatningsloven § 5-2, fordi lemping ville «få som konsekvens at Banken ikke kan melde det fulle tapet som krav under en eventuell gjeldsordning eller konkurs».

I HR-2020-2021-A har Høyesterett omsider slått fast at mye av denne underrettspraksisen bygger på feil forståelse av gjeldende rett. Der underinstansene har fokusert på privatpersoners ansvar for å beskytte banker mot tap gjennom å oppstille urealistiske krav til aktsomhet, retter Høyesterett oppmerksomheten mot bankenes egne muligheter for å unngå tap i sin forretningsvirksomhet. Dersom banken hadde satt i verk ytterligere kontrolltiltak, legger Høyesterett til grunn at det var «stor sannsynlighet for at misbruket ville vært unngått». Når banken valgte å inngå avtale og betale ut et stort beløp utelukkende basert på elektronisk identifikasjon, hadde den «bevisst valgt en handlemåte som innebar en klar risiko for tap». Selv om Høyesterett finner at forbrukeren i saken kunne bebreides for hvordan BankID-brikken var blitt oppbevart (inne på et ulåst kontor mens han var på ferie), var den risiko dette skapte, «så begrenset» at det ikke var «grunnlag for å anse hans handlemåte som uaktsom». I et obiter dictum legger Høyesterett videre til grunn at muligheten for å forebygge og pulverisere tapet også vil være relevant i vurderingen av om tapet skal lempes, slik at det under omstendighetene kan være grunnlag for «å sette erstatningsbeløpet vesentlig ned etter lempingsregelen i skadeserstatningsloven § 5-1».

Høyesterett har med dette plassert ansvaret for tap etter misbruk av BankID der det bør være: hos aktørene som tjener på bruk av digitale løsninger, og som har de beste forutsetningene for å iverksette risikoreduserende tiltak.

I ny finansavtalelov, som ble vedtatt i desember 2020, er det inntatt regler om ansvarsfordeling ved misbruk av BankID. De nye reglene er utformet slik at de først får anvendelse dersom det følger av alminnelige erstatningsrettslige regler at innehaveren av BankID er ansvarlig for finansinstitusjoners tap. Dermed vil dommen fra Høyesterett fortsatt ha betydning, også etter vedtakelsen av ny finansavtalelov. Samlet vil man med denne avgjørelsen i Høyesterett og nye regler i finansavtaleloven få et vesentlig styrket vern mot potensielt ruinerende konsekvenser av BankID-misbruk.

Det er etter mitt syn viktig og etterlengtet at både Høyesterett og lovgiver nå har kommet på banen. For alle de som er utsatt for økonomiske justismord, er imidlertid avgjørelsen i Høyesterett og ny finansavtalelov en mager trøst. Spørsmålet er hvordan så mange domstoler kunne anvende erstatningsreglene så feilaktig over så lang tid med så store konsekvenser for menneskers liv.