Hvem skal ta regningen når du blir svindlet på nett?

Hvor mange ganger har du brukt BankID-brikken din den siste måneden? Sikkert mange ganger. BankID-brikken kan brukes til alt fra å lese post gjennom den digitale tjenesten Digipost, kommunisere med offentlig forvaltning og håndtere finansielle tjenester.

At du risikerer å bli utsatt for svindel ved bruk av BankID-brikken, er nok ikke så overraskende. Alle har hørt om nettsvindel, ikke sant? Men du tror kanskje at dersom uhellet er ute, finnes det rettsregler som beskytter deg?

Den digitale revolusjonen i finansbransjen har åpenbare fordeler.

Hva om jeg fortalte deg at dersom du blir svindlet, kan du komme til å bli sittende med store tap? I tillegg kan banken komme til å saksøke deg for tusenvis, til og med millioner av kroner? Visste du det? Vel, la meg fortelle historien om hvordan dette er mulig.

Det var en gang for ikke så lenge siden….

Skulle du ha lån måtte du ta fri fra jobb. Dra i banken. Sette deg på et møterom med en kunderådgiver. Kanskje drikke en kopp kaffe. Vise legitimasjon. Finne en penn. Signere lånepapirer. Skulle banken ha pant i boligen eller hytta di, måtte disse dokumentene i tillegg signerer av to myndige vitner.

I dag er det ganske annerledes. Du søker om lån på nett. Får raskt svar. Signerer lånepapirer og pantedokumenter elektronisk med BankID-brikken din, eller annen løsning for elektronisk signatur og autentisering. Ingen fysisk kontakt. Ingen krav til vitner. Lettvint og praktisk for både deg og banken, ikke sant? Den digitale revolusjonen i finansbransjen har åpenbare fordeler.

I mange tilfeller er det svært vanskelig å identifisere hvem som har utført svindelen, og å få tilbake pengene.

Men digitaliseringsmedaljen har en bakside. Den åpner for økte (og uante) muligheter og risiko for å bli svindlet på nett. Etter hvert som elektronisk autentisering tar over for fysisk autentisering, øker også mulighetene for svindel på nett. Den som får tak i BankID-opplysningene dine kan tømme kontoen din for penger, skaffe kredittkort og ta opp lån i ditt navn. Han kan til og med pantsette boligen og hytta di for millioner av kroner.

Norsk senter for informasjonssikring (NORSis) gjennomfører årlige undersøkelser for å kartlegge omfanget av id-tyverier i Norge. De siste fem årene viser tallene at mellom 3 og 4 prosent av de spurte i undersøkelsen har blitt utsatt for identitetstyveri. For de som rammes hardest, kan konsekvensene være fullstendig ødeleggende.

I mange tilfeller er det svært vanskelig å identifisere hvem som har utført svindelen, og å få tilbake pengene. Spørsmålet blir da:

Hvem skal ta regningen når du blir svindlet på nett?

Ut fra gjeldende regler er svaret: det kommer an på. Hvis svindelen gjelder «uautoriserte betalingstransaksjoner», for eksempel kortsvindel, har vi regler som beskytter deg mot de verste konsekvensene. Hvis svindelen derimot ikke er en «uautorisert betalingstransaksjon», for eksempel når noen tar opp forbrukslån i ditt navn, er du helt ubeskyttet. La meg forklare nærmere.

Det følger av finansavtaleloven § 35 at tap som oppstår som følge av «uautoriserte betalingstransaksjoner» som utgangspunkt må bæres av finansinstitusjonen. Det klassiske eksempelet er misbruk av betalingskort. Dersom kunden har opptrådt «grovt uaktsomt», for eksempel skrevet ned koden til betalingskortet på en lapp med overskriften «PIN-kode», er det en egenandel for kunden på 12.000 kroner.

Når finansinstitusjonen må bære størstedelen av tapet, har det sammenheng med at denne har større innsikt i risikoen ved bruk av elektroniske betalingsinstrumenter.

Dersom kunden bare har vært litt uaktsom, for eksempel skrevet ned koden kamuflert som et telefonnummer, er egenandelen for kunden 1200 kroner. Finansinstitusjonen må bære resten av tapet.

Når finansinstitusjonen må bære størstedelen av tapet, har det sammenheng med at denne har større innsikt i risikoen ved bruk av elektroniske betalingsinstrumenter, og bedre muligheter for å pulverisere tap som følge av svindel enn kunden. Regelen skal også gi et incitament for institusjonen til å utvikle sikrere løsninger, og på den måten motvirke at svindel kan skje.

På den annen side vil egenandelen på 12.000 kroner ved grov uaktsomhet kjennes for de fleste alminnelige forbrukere, og virke som en oppfordring til å ta godt vare på personlige sikkerhetsanordninger.

Regelen balanserer i utgangspunktet de motstående hensynene på en god måte. Finansklagenemnda legger imidlertid til grunn en forståelse av «grovt uaktsom» som legger et, etter mitt syn, for stort ansvar på kunden.

Det er heldigvis ganske vanskelig å skaffe seg tilgang til noens nettbank. Men umulig er det ikke. En relativt vanlig svindelmetode er å lure kunden inn på en falsk nettside hvor kunden oppgir BankID-opplysningene sine. Finansklagenemnda har behandlet flere slike saker, og konkluderer gjennomgående med at det er grovt uaktsomt å la seg lure på denne måten.

Jeg ringte faktisk til banken og spurte om de var klar over at det ville være grovt uaktsomt av meg å følge linken.

Ifølge nemnda opptrer kunden grovt uaktsomt selv i tilfeller der «det var vanskelig eller umulig for kortholder å se at lenken og nettsiden ikke var ekte» (FinKN-2017-649). Ifølge nemnda er det per definisjon grovt uaktsomt å følge en lenke i en e-post for deretter å legge inn BankID-opplysninger.

Av forarbeidene til finansavtaleloven og praksis fra Høyesterett følger det at grov uaktsomhet foreligger ved opptreden som er «sterkt klanderverdig» og som innebærer «et markert avvik fra vanlig handlemåte». (NOU 1994:19 s. 144 og Rt. 2004 s. 499) Det er svært vanskelig å forstå hvordan det å følge en link i en e-post som ser helt troverdig ut, og som leder deg til en helt troverdig nettside, er «sterkt klanderverdig» og et «markert avvik fra vanlig forsvarlig handlemåte».

Ikke minst gjelder dette fordi det er helt vanlig fremgangsmåte for mange seriøse aktører. Den siste uka har jeg faktisk fått ikke mindre enn to e-poster fra seriøse aktører, med link til sider som ber meg logge inn med BankID. Den ene e-posten kom fra Digipost, med varsel om at jeg hadde et brev fra Oslo kommune. E-posten inneholdt en lenke til en side hvor jeg kunne logge inn med BankID.

Den andre e-posten kom fra banken min i forbindelse med at vi har refinansiert lånet vårt. Jeg ringte faktisk til banken og spurte om de var klar over at det ville være grovt uaktsomt av meg å følge linken, men kundebehandleren i den andre enden forstod ikke hva jeg snakket om.

Hvis det virkelig er grovt uaktsomt av vanlige folk å følge linker til sider som ber om innlogging med BankID, så forstår jeg ikke hvorfor det er greit at både offentlige aktører og store velkjente banker opererer med en slik praksis.

Men det blir verre.

Men jeg har ikke kommet til det verste.

Selv om du så langt det er praktisk mulig unngår å følge linker i e-poster, er du ikke immun mot svindel. PC’en din kan bli hacket og infisert med virus som gjør at når du logger inn i nettbanken på vanlig måte, plukker viruset opp BankID-opplysningene dine. Finansklagenemnda ser imidlertid ikke ut til å være oppmerksom på denne muligheten. I en uttalelse fra mai i år skriver nemnda at den «ikke er kjent med at det er mulig å avsløre kode og passord ved hacking av PC eller nettbank, slik klageren synes å mene.» (FinKN-2018-362)

Selv om kunden i denne saken avviste å ha fulgt noen link i en e-post, la nemnda til grunn at det, eller noe tilsvarende, hadde han nok gjort likevel. Og det er som kjent grovt uaktsomt.

Jeg ble nysgjerrig på hva som egentlig er teknisk mulig, og kontaktet to eksperter i IT-sikkerhet; professor ved NTNU Kristian Gjøsteen og professor Kjell Jørgen Hole ved Universitetet i Bergen. Begge kunne bekrefte at det opplagt er teknisk mulig å hacke noens nettbank. Hole la til at «Finansklagenemda er naive når det gjelder angrep på nettbanker. Istedenfor å gå inn i sakens realiteter stoler de fullt og helt på bankenes udokumenterte påstander.»

Gjøsteen pekte på at «slik bankene har gjort passord og engangskoder med BankID, er det svært lite kunden kan gjøre for å beskytte seg mot måtelig sofistikerte angrep. Alt dette er velkjent for eksperter på datasikkerhet. Hvis nemda ikke er klar over dette har de et kjempeproblem.»

Gjøsteen har rett i at noen har et kjempeproblem. Dessverre er det ikke nemnda, men den som utsettes for svindel som i praksis har problemet.

Men jeg har ikke kommet til det verste.

Han opptok et felles forbrukslån med hennes BankID uten at hun var klar over det.

I sakene som hittil har vært til behandling i Finansklagenemnda, har svindel ved bruk av BankID i de fleste tilfeller vært knyttet til «uautoriserte betalingstransaksjoner». Som jeg har forklart, er det da snakk om en egenandel på 12.000 kroner som kunden må dekke ved grov uaktsomhet. Banken tar resten av tapet. 12.000 kroner er mye penger for mange, men de færreste i Norge blir ruinert av en slik utgift.

Men hva om den falske nettsiden ikke ledet svindleren inn i nettbanken din, men isteden ble brukt til å inngå en avtale om forbrukslån på 1 million kroner? Da er vi utenfor finansavtalelovens regler om uautoriserte betalingstransaksjoner. Banken betaler ut penger til svindleren, som forsvinner og naturligvis ikke betaler tilbake. Vet du hva banken kan gjøre? Den kan saksøke deg for hele lånebeløpet.

For det første kan banken påstå at det er du som har signert avtalen. Signering med BankID er likestilt med fysisk underskrift. Det er åpenbart vanskelig for deg å bevise at du ikke har brukt BankID-brikken selv. Og selv om du skulle klare å bevise at du er utsatt for svindel, kan du fort bli ansvarlig overfor banken.

Det er en alminnelig ulovfestet erstatningsregel som sier at den som har opptrådt uaktsomt, og med det påført andre tap, må betale erstatning. Dersom det er slik at det ikke bare er uaktsomt, men grovt uaktsomt, å la seg svindle via helt troverdige falske nettsider, kan jeg røpe at banken vil ha en meget god sak.

Det som er sagt hittil gjelder svindel foretatt av ukjente gjerningspersoner på nett.

Er det nødvendig at enkeltmenneskers liv skal gå med i dragsuget i den digitale revolusjonen av finansbransjen?

Digitaliseringen av finansielle tjenester har imidlertid også økt risikoen markant for svindel eller andre kriminelle forhold foretatt av nærstående. I en sak fra Borgarting lagmannsrett fra i fjor, hadde en kvinne fra Thailand overlatt kodebrikke og passord til sin norske ektefelle. Han opptok et felles forbrukslån med hennes BankID uten at hun var klar over det.

Etter at ektefellen døde, fremmet banken krav om innfrielse av lånet, subsidiært erstatning fra kvinnen. Lagmannsretten fant at kvinnen hadde opptrådt uaktsomt og påla henne å betale ca. 900.000 kroner i erstatning pluss 80.000 kroner i saksomkostninger til banken. (LB-2016-43622)

Forbrukere som på grunn av lav digital kompetanse, mangelfulle språkferdigheter eller andre forhold har problemer med å bruke en BankID-brikke, er særlig utsatt. Det gjelder blant annet eldre, psykisk utviklingshemmede og nyankomne utlendinger. Det samme gjelder personer som for eksempel er i voldelige relasjoner. Det var vanskeligere å true noen til å signere lånepapirer da dette måtte skje ved personlig oppmøte i bankens filial. Over en kopp kaffe med kunderådgiveren.

Finans Norge mener bl.a. at forslaget vil «utgjøre en stor risiko» for finansnæringen.

Er det nødvendig at enkeltmenneskers liv skal gå med i dragsuget i den digitale revolusjonen av finansbransjen?

Nei.

Der det er politisk vilje kan risikoen som følger med digitale løsninger plasseres hos den med best forutsetninger for å forstå risikoen, og hindre tapene: i dette tilfellet hos tilbyderne av finansielle tjenester. Skal man få til det, må det gjøres noe både med reglene som sådan og håndhevingen av disse.

I forslaget til ny finansavtalelov, som var på høring i fjor høst, er det foreslått en regel som likestiller uautoriserte betalingstransaksjoner og annen misbruk av elektronisk autentisering i avtaler om finansielle tjenester. Forslaget har blitt dårlig mottatt hos finansnæringen. Finans Norge mener bl.a. at forslaget vil «utgjøre en stor risiko» for finansnæringen.

Hvis det foreligger en stor risiko, er det imidlertid fordi en slik risiko følger med de digitale løsningene. Spørsmålet for lovgiver er om denne risikoen fortsatt skal ligge hos deg og meg, eller om den skal flyttes til tilbyderne av finansielle tjenester.

Så er ikke saken løst om dette forslaget vedtas. Det er ikke bare reglene, men også håndhevingen av disse som utgjør et problem. Det er i denne sammenhengen helt nødvendig at blant annet at Finansklagenemnda er rustet med tilstrekkelig spesialisert teknisk og finansfaglig kompetanse for å kunne håndtere en digitalisert finansiell virkelighet.