En mann fra Sørlandet som ble et offer for BankID-svindel, og som deretter tapte i både tingretten og lagmannsretten, ble nylig frifunnet av en enstemmig Høyesterett. Høyesterett mener banken burde gjort mer for å forsikre seg om at låntaker virkelig var den han utga seg for å være. Banken bygget utelukkende på at låntakers BankID var benyttet, uten å foreta ytterligere kontroll av om avtalen faktisk ble inngått av ham.
Høyesterettsdommen er historisk fordi det er første gang Høyesterett behandler en sak som omhandler bankkundens erstatningsplikt i de tilfeller hvor bankkunden har vært utsatt for BankID-svindel.
Etter flere år hvor man har sett tilfeller der offer for BankID-svindel ofte har tapt i tingretten og lagmannsretten kommer høyesterettsdommen med flere viktige avklaringer.
Høyesterett slår fast at bevisbyrden vil ligge på den part som fremsetter erstatningskravet. Det er etter dette banken som må føre bevis for at det foreligger ansvarsbetingende forhold i denne type saker.
Etter å ha fastslått hvem som har bevisbyrden behandlet retten spørsmålet om offeret hadde opptrådt uaktsomt. Utgangspunktet for vurderingen var om offeret hadde tatt alle rimelige forhåndsregler for å beskytte sin BankID, herunder også kodebrikken.
Høyesterett uttalte at:
Slik jeg ser det, kan det bare i særlige tilfeller være aktuelt å anse en oppbevaring hjemme som uaktsom. Det vernet som ligger i at en bolig er låst og normalt ikke er tilgjengelig for andre enn husstandsmedlemmer og deres gjester, må vanligvis være tilstrekkelig til å oppfylle aktsomhetskravet.
Offeret hadde imidlertid oppbevart kodebrikken på kontoret. Brikken hadde der ligget i en veske, som var plassert i en skuff i et skap på offerets kontor. Kontoret var tilgjengelig for alle ansatte, og brikken hadde ligget på dette stedet gjennom en lengre periode, også når offeret var på ferie.
Høyesterett mente offeret kunne bebreides for måten han oppbevarte kodebrikken på, og i alle fall i den perioden han var på ferie burde han låst inn brikken eller tatt den med seg. Høyesterett kom likevel til at handlemåten ikke innebar at offeret har utvist en uaktsomhet som kunne gi grunnlag for erstatningskrav i denne saken.
Det ble ansett avgjørende at:
Skadelidte, Easybank, er en profesjonell aktør som har valgt å inngå en avtale om lån med et beløp som for en enkeltperson er betydelig, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID. [Det] ville [..] vært mulig for banken å foreta ytterligere kontrolltiltak før man ubetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed bevisst valgt en handlemåte som innebar en klar risiko for tap.
Selv om det ikke var nødvendig å ta stilling til om erstatningskravet skulle settes ned, helt eller delvis, når offeret ble frifunnet, bemerker Høyesterett likevel avslutningsvis at:
Der en privatperson etter alminnelige erstatningsrettslige regler blir erstatningsansvarlig overfor en finansinstitusjon for et stort økonomisk tap som er oppstått som følge av misbruk av BankID, vil det, avhengig av de nærmere omstendighetene, kunne være grunnlag for å sette erstatningsbeløpet vesentlig ned etter lempningsregelen i skadeserstatningsloven § 5.2.
Skulle man bli idømt erstatningskrav etter å ha vært utsatt for BankID-svindel, er det altså muligheter for å få satt ned erstatningskravet betraktelig etter en konkret vurdering.
