Vi ønsker å bruke informasjonskapsler (cookies) for å gi deg en best mulig brukeropplevelse. Er det greit for deg? Les mer

Våre advokater
Fraud1

Erstatningsansvar ved misbruk av BankID – Høyesterett fastslår fullt ansvar for låntaker uten lemping

I enstemmig dom 17. juni 2026 (HR-2026-1359-A) kom Høyesterett til at en mann er fullt ansvarlig for et tap på 457 600 kroner som følge av at ekssamboer misbrukte hans BankID til å ta opp forbrukslån.  Høyesterett la til grunn at BankID er en strengt personlig sikkerhetsløsning, og at mannen grovt hadde brutt sin aktsomhetsplikt ved bevisst å overlate BankID-brikke, passord og personnummer til ekssamboeren.  Dette til tross for at han var kjent med hennes historikk knyttet til spilleproblemer.

Verken avkortning som følge av medvirkning fra kredittyterens side, beløpsbegrensningene i finansavtaleloven 2020 § 3-20 eller lemping etter skadeserstatningsloven § 5-2 kom til anvendelse.

Dommen utdyper og klargjør de rettslige rammene for erstatningskrav ved misbruk av BankID og supplerer Høyesteretts tidligere avgjørelse i Brabank-dommen (HR-2020-2021-A).

THE_Eurojurisferdig2-2

Skrevet av:

Thor Harald Eike (H), Partner

250516_Eurojuris haugesund, Vebjørn Søndenå Rullestad__800px-2

Vebjørn Søndenå Rullestad, Advokat

wide-crop_250619_Elisabeth Torkellsen, Eurojuris haugesund__800px-2

Elisabeth Torkellsen, Advokat

Jonas_Eurojuris_ferdig-6

Jonas Kåre Wohlgemuth Wergeland, Advokatfullmektig

Fagartikkel

Publisert 18.06.2026

Lesetid:

9 minutter

1. Sakens bakgrunn

Våren 2017 ba A sin ekssamboer om hjelp til å betale regninger og håndtere bankoverføringer fordi han gikk gjennom en vanskelig periode. Han overlot sin BankID-brikke, passord og personnummer til henne, og ga henne i tillegg tilgang til sin datamaskin og e-post. A var på dette tidspunktet kjent med at ekssamboeren tidligere hadde hatt problemer med sin økonomi og pengespill, men trodde det var tilbakelagte forhold.

I perioden mars 2018 til september 2020 søkte ekssamboeren, i det vesentlige uten As viten, om en rekke forbrukslån i hans navn.  Av dette ble 1 284 000 kroner innvilget. Ekssamboeren ble senere dømt for grovt bedrageri og identitetskrenkelse.

Entercard mottok 16. juli 2018 en elektronisk lånesøknad i As navn om 445 000 kroner til refinansiering av eksisterende forbruksgjeld. Lånetilbudet og en signeringslenke ble sendt til As e-postadresse samme dag. Den 23. juli 2018 signerte ekssamboeren avtalen ved bruk av As BankID, og lånet ble utbetalt til hans bankkonto. Det samlede skyldige beløp utgjorde på lånetidspunktet 457 600 kroner inkludert gebyrer. A ble først kjent med låneopptakene i september 2020, og anmeldte forholdet til politiet i november samme år.

A nektet å tilbakebetale lånet og Entercard tok ut stevning.  I tingretten ble han dømt til å betale 100 000 kroner lemping.  Lagmannsretten dømte ham til å betale 457 608,22 kroner uten lemping.  A anket lagmannsrettens dom til Høyesterett.

2. Høyesteretts drøftelse og konklusjoner

Høyesterett fant det ikke nødvendig å ta stilling til Entercards anførsler om at A var avtalerettslig bundet av låneavtalen, fordi A uansett var erstatningsansvarlig. Drøftelsen er følgelig strukturert rundt de klassiske erstatningsrettslige vilkårene, samt særspørsmålene om finansavtalelovens beløpsbegrensning, medvirkning og lemping.

2.1. Rettslig utgangspunkt – BankID og den strenge aktsomhetsnormen

BankID er en strengt personlig legitimasjon, og i «Avtale om PersonBankID» fremgår det at BankID ikke skal overdras eller overlates til andre, og at passord og sikkerhetsprosedyrer ikke må røpes for noen – heller ikke for husstandsmedlemmer.

Med utgangspunkt i Brabank-dommen (HR-2020-2021-A) la Høyesterett til grunn at spørsmålet om en BankID-innehaver har brutt sin aktsomhetsplikt overfor banken, beror på en samlet vurdering av partenes handlemåte og risikobidrag. Rettighetshaveren har et strengt ansvar for å beskytte sine personlige sikkerhetsanordninger, mens kredittyteren må treffe rimelige kontrolltiltak – særlig ved nye og risikofylte låneforhold.

2.2. Mannens handlinger – grov pliktforsømmelse

Høyesterett fant det klart at A ikke traff alle rimelige forholdsregler for å beskytte sin BankID og forebygge misbruk. Tre forhold ble fremhevet:

  • For det første overlot han bevisst sin BankID-brikke, passord og personnummer til ekssamboeren. Han var kjent med at BankID er en strengt personlig legitimasjon som uten unntak ikke skal deles med andre.
  • For det andre ga A ekssamboeren tilgang til datamaskin, e-post og en mobiltelefon registrert på hans enkeltpersonforetak, slik at hun hadde all nødvendig tilgang til å opptre som ham.
  • For det tredje unnlot A over en periode på mer enn tre år å kontrollere bankkontoer, selvangivelser, post eller e-post. Han ignorerte også en «hel haug» med meldinger fra banker på sin mobiltelefon, til tross for at han var kjent med ekssamboerens historikk knyttet til spilleproblemer.

A forklarte sin opptreden med at han var sliten og deprimert. Høyesterett bemerket at han ikke var sykmeldt, at han fortsatte å utstede fakturaer til sine kunder, og at det ikke forelå tidsnær dokumentasjon som tilsa at han manglet forutsetninger for å vurdere risikoen. Det ble videre fremhevet at dersom man har behov for bistand med økonomi, kan det inngås avtale om disposisjonsfullmakt for bankkonto – en ordning som gir tredjepart adgang til å utføre disposisjoner uten at man behøver å dele sin personlige elektroniske identitet.

Høyesterett konkluderte med at A i det minste grovt hadde brutt sin aktsomhetsplikt.

2.3. Kredittyterens kontrolltiltak – Entercard ikke å bebreide

Høyesterett vurderte også Entercards opptreden. Lånesøknaden ble behandlet i all hovedsak maskinelt. Entercard innhentet ekstern kredittsjekk, foretok KAR-oppslag for å bekrefte at A var eier av kontoen lånet skulle utbetales til, og sendte lånetilbud og signeringslenke til As e-postadresse. Disse tiltakene er de tiltakene som er fremhevet som egnet til å motvirke misbruk av eID i forarbeidene til Finansavtaleloven.

Mannen anførte forgjeves at Entercard burde ha iverksatt ytterligere tiltak.  Høyesterett mente tvert imot at Entercard hadde iverksatt relevante kontrolltiltak i tråd med gjeldende praksis og var ikke å bebreide.

2.4. Årsakssammenheng og adekvans

Mannen ble heller ikke hørt med sine anførsler om manglende adekvat årsakssammenheng mellom hans handlinger og tapet. Da han ga ekssamboeren tilgang til BankID, e-post og post uten noen form for kontroll, og til tross for kjennskap til hennes tidligere spilleproblemer, fremstod tapet tvert imot som en påregnelig og nær følge av de ansvarsbetingende handlingene.

2.5. Finansavtaleloven 2020 § 3-20 – beløpsmessig begrensning ikke anvendelig

Mannen ble heller ikke hørt med sine anførsler om at hans erstatningsansvar i alle fall måtte begrenses i tråd med grensene i finansavtaleloven § 3-20.  Høyesterett kom til at bestemmelsen ikke kom til anvendelse idet låneavtalen ble inngått lenge før bestemmelsen trådte i kraft.

2.6. Skadelidtes medvirkning – skadeserstatningsloven § 5-1

Et krav om avkorting med grunnlag i skadelidtes medvirkning (skadeserstatningsloven § 5-1) vant heller ikke gehør hos Høyesterett, som konkluderte med at kredittyterens ikke hadde utvist noe skyld ved låneopptaket.

2.7. Lemping – skadeserstatningsloven § 5-2

Endelig forkastet Høyesterett mannens krav om lemping etter skadeserstatningsloven § 5-2, som åpner for lemping dersom fullt ansvar virker urimelig tyngende for skadevolder, eller det er rimelig at skadelidte helt eller delvis bærer tapet. Avslaget ble begrunnet i flere samvirkende hensyn:

  • Han var selv sterkt å bebreide.
  • Entercard var ikke å bebreide og kunne ikke lastes for tapet.
  • Tilliten til eID er en grunnleggende forutsetning for at forbrukere, foretak og offentlige myndigheterbenytter seg av digitale løsninger.
  • Sterke preventive hensyn taler mot lemping.

Høyesterett understreket at dennes tidligere avgjørelse i Brabank-dommen (HR-2020-2021-A) åpnet for at det avhengig av omstendighetene kan være grunnlag for vesentlig nedsettelse av erstatningen i tilfeller der en privatperson holdes ansvarlig for store tap som følge av BankID-misbruk. De nærmere omstendighetene i denne saken ga imidlertid ikke grunnlag for det.

3. Prinsipielle slutninger fra avgjørelsen

HR-2026-1359-A utdyper og bygger videre på Brabank-dommen og gir viktige avklaringer på en rekke punkter.

3.1. BankID er strengt personlig – ingen unntak

Dommen understreker at det gjelder en absolutt regel om at BankID-brikke, passord og personnummer ikke skal overlates til andre, uansett livssituasjon, helsetilstand eller grad av tillit til mottakeren. Dommen klargjør at helsemessige utfordringer og personlige belastninger ikke fritar for ansvar. Den som har behov for bistand, må i stedet benytte seg av disposisjonsfullmakt for bankkonto – en ordning som er tilgjengelig nettopp for slike situasjoner.

3.2. Streng aktsomhetsnorm – plikt til aktiv overvåkning av egen økonomi

Aktsomhetsnormen for BankID-innehavere er streng. Plikten til å beskytte BankID-en er ikke begrenset til selve overleveringen – den strekker seg også til å overvåke at eID-en ikke misbrukes over tid. En passivitet på over tre år, uten å kontrollere egne bankkontoer eller e-post, innebar en selvstendig og grov pliktforsømmelse. Dommen understreker at løpende kontroll av egen økonomi er en del av aktsomhetsplikten.

3.3. Tilstrekkelig adekvans ved selvforskyldt risiko

Der en BankID-innehaver selv skaper betingelsene for misbruk – ved å overlate alle nødvendige tilganger til en person med kjente risikofaktorer – vil tap som oppstår som følge av misbruket normalt oppfylle adekvanskravet. Tapet var en påregnelig og nær følge av de ansvarsbetingende handlingene.

3.4. Finansavtaleloven 2020 § 3-20 har ikke tilbakevirkende kraft for eldre låneavtaler

Beløpsbegrensningene i finansavtaleloven 2020 § 3-20 – som innebærer en vesentlig styrking av rettighetshaverens stilling sammenlignet med tidligere rett – kommer ikke til anvendelse på låneavtaler inngått før lovens ikrafttredelse 1. januar 2023. For slike eldre avtaler reguleres ansvaret av alminnelige erstatningsrettslige regler, uten noen beløpsmessig begrensning. Dette er en viktig avklaring for alle tvister knyttet til BankID-misbruk som fant sted under den tidligere rettstilstanden.

3.5. Lemping forutsetter særlige omstendigheter – preventive hensyn veier tungt

Selv om erstatningsansvaret er økonomisk tyngende for den ansvarlige, er ikke dette i seg selv tilstrekkelig for lemping etter § 5-2. At ansvaret er tyngende, er en forutsetning for at lempingsspørsmålet i det hele tatt blir aktuelt, men det er ikke avgjørende. Der skadevolder er sterkt å bebreide og kredittyteren ikke er å laste, vil preventive hensyn og hensynet til tilliten til eID-systemet normalt veie tyngre enn lempingshensyn. Dommen stadfester dermed at lemping ved BankID-misbruk er en snever unntaksregel, og at terskelen er høy selv ved stor personlig belastning.

3.6. Kredittyterens standard – hva som er tilstrekkelig

Dommen gir rettledning om hva som utgjør tilstrekkelige kontrolltiltak fra kredittyterens side. KAR-oppslag for å bekrefte kontoeierskap og utsendelse av lånedokumenter til rettighetshaverens registrerte e-postadresse tilfredsstilte kravene i 2018. Krav om biometrisk kontroll, videomøte eller fysisk oppmøte kan ikke oppstilles som generelle krav for ordinære forbrukslån. Kravene til kredittyter vil imidlertid utvikles i takt med bransjenormer – Finans Norges bransjenorm fra 1. januar 2021 vil eksempelvis inngå som et moment i fremtidige vurderinger.