Høringssvar fra Affinion International

Misbruk av sertifikat for elektronisk signatur og bevisbyrde

Dato: 15.12.2017

Svartype: Med merknad

Gjeldende avsnitt:

2.5 Misbruk av sertifikat for elektronisk signatur.
2.6 Bevisbyrde

Affinion International

Affinion International har arbeidet med å hjelpe ofre for identitetstyveri i Norge, Sverige, Danmark og Finland siden januar 2011. Vi har håndtert omlag 5000 saker med identitetstyveri.
Flere av sakene involverer misbruk av elektronisk signatur.

Hovedpunkter:

  • Elektronisk signering er ingen garanti mot misbruk. De tekniske løsningene er gode, men selv i tilfeller der sertifikatholder opptrer med normal aktsomhet kan det forekomme misbruk uten at sertifikatholder med rimelighet kan lastes.

Det er umulig for en sertifikatholder å garantere seg mot at noen som bevisst går inn for det ikke fanger opp et passord. Eksempler vi har sett er bruk av key-logger, kamera og at noen i husstanden fanger opp passord over tid ved å kikke over skulder. I noen tilfeller er det profesjonelle bedragere vanlige privatpersoner vanskelig kan beskytte seg mot.

  • Det er vesentlig å erkjenne at dette kan forekomme uten at sertifikatholder kan lastes og finne løsninger tilpasset dette, slik som eksempelvis prinsippet om pulverisering.

 

  • Det er i praksis ikke valgfritt å være sertifikatholder, da alle må være sertifikatholder for å fungere i et digitalisert samfunn.

 

  • Det er heller ikke valgfritt at sertifikatet kan brukes utover formålet sertifikatholder har behov for.

 

  • En sertifikatholder kan ikke holdes objektivt ansvarlig for misbruk.

 

  • En sertifikatholder kan ikke pålegges å måtte bevise sin uskyld.

 

  • Dersom tilliten til elektronisk signatur skal opprettholdes i befolkningen, kan ikke sertifikatholdere risikere å sitte med objektivt ansvar og konsekvensene for hendelser utenfor deres kontroll.

 

  • Belastningen for privatpersoner, hvis elektronisk signatur blir misbrukt, er urimelige dersom finansinstitusjoner kan holde dem objektivt ansvarlige for store kapitalbeløp pluss forbrukslånsrenter de ikke har mulighet for å innfri.

 

  • Det er kun låneinstitusjonene som har kontroll over hvilke rutiner og sikkerhetsmekanismer de velger å ta i bruk. Låneinstitusjonene har valgt å utbetale lån så raskt at det er vanskelig å avklare misforståelser eller å gjøre undersøkelser. Disse valgene er gjort fordi låneinstitusjonene mener at man på denne måten kan oppnå bedre fortjeneste enn ved et mer omstendelig, tregere og tryggere system.

 

Vi ser saker der det forekommer misbruk av elektronisk signatur, som oftest opptak av store forbrukslån

  • uten at ID offeret for dette med rimelighet kan lastes.
  • der det er urimelig at låneinstitusjoner som faktisk er utsatt for bedrageriet, søker å overføre hele belastningen for dette til ID offeret som i utgangspunktet er uskyldig

tredjepart.

  • der ID offeret heller ikke har noen kontroll over hvilke rutiner og sikkerhetsmekanismer låneinstitusjoner velger å ta i bruk.

 

Konsekvensene i slike saker er urimelige, ofte med opptak av forbrukslån for mange hundre tusen kroner- i praksis totalt ødeleggende for en privatperson.
I tillegg legger utlånsinstitusjoner seg på en praksis der de søker å holde offeret objektivt ansvarlig for misbruket – krever at offeret er erstatningsansvarlig for hele summen, samt pålegger offeret å bevise sin uskyld.

Vi ser behovet for presiseringer som ivaretar rimelig rettsikkerhet for forbrukere.

Inngå i Finansavtaleloven

«2.5.3

Departementet foreslår å innføre en erstatningsregel i finansavtaleloven kapittel 1 som regulerer ansvarsfordelingen mellom tilbyderen av finansielle tjenester og kunden ved en tredjepersons misbruk av sertifikat for elektronisk signatur, jf. § 14 i lovforslaget. Det foreslås å utforme bestemmelsen etter modell av regelen om uautoriserte betalingstransaksjoner.

Mye taler for at kundens ansvar i forbindelse med misbruk av et sertifikat for elektronisk kommunikasjon bør være det samme uavhengig av om sertifikatet misbrukes til å utføre betalingstransaksjoner eller foreta andre disposisjoner i tilknytning til finansielle tjenester.»

 

Vi oppfatter at dette er en god vurdering fra departementets side.
Dagens bestemmelser tar bort grunnleggende beskyttelse mot urimelige konsekvenser for privatpersoner som opplever falske låneopptak i sitt navn.
Det fremstår som kunstig å skille nettbaserte låneopptak fra andre betalingstransaksjoner.

Bevisbyrde:

2.6.3

“Departementet foreslår å lovfeste en regel om at den parten som er nærmest til å sikre bevis for en omstendighet, skal ha bevisbyrden for denne. For å oppfylle pliktene etter betalingstjenestedirektivet artikkel 41 og praksis fra EU-domstolen foreslås det å presisere at tjenesteyteren alltid vil ha bevisbyrden for oppfyllelse av plikter pålagt etter lov eller forskrift. Forslaget bygger på en erkjennelse av bevisreglenes praktisk viktige funksjon. De senere år har spørsmål om bevisvurdering og bevisbyrde fått større oppmerksomhet. Både i Danmark og i Sverige er det de senere år vurdert om det er behov for å innføre lovfestede regler om bevisbyrde som pålegger den næringsdrivende en større bevisbyrde enn det som følger av ulovfestede regler.»

 

Det vil være behov for en presisering når det gjelder bevisbyrde.
Ved misbruk av Bank ID vil det være vanskelig for kunden å fremlegge bevis for at passord ikke er skrevet ned eller delt - eller på andre måter å bevise at man ikke har opptrådt grovt uaktsomt.

Departementets vurderinger under kapitel 4.6 bør komme til anvendelse også ved misbruk av elektronisk signatur ved inngåelse av avtaler om finansielle tjenester.

«I fortalen avsnitt 72 uttales:

«Beviset for og graden af den påståede forsømmelse bør generelt vurderes i henhold til national ret. […] Ydermere er det i specifikke situationer, navnlig hvis betalingsinstrumentet ikke er til stede ved salgsstedet, som ved onlinebetalinger, hensigtsmæssigt, at betalingstjenesteudbyderen er forpligtet til at forelægge beviser for angivelig forsømmelighed, da betalerens mulighed for at gøre dette er meget begrænset i sådanne tilfælde.»

I fortalen forklares altså regelen om bevisbyrde med at det er vanskelig for kunden å fremlegge bevis i tilfeller der betalingsinstrumentet ikke er brukt ved salgsstedet. Bestemmelsen i artikkel 74 nr. 2 siste punktum er imidlertid ikke begrenset til å gjelde tilfeller av misbruk der betalingsinstrumentet ikke er til stede på salgsstedet. Slik bestemmelsen er formulert, gjelder den generelt.

Departementet foreslår å videreføre egenandelen på 12.000 kroner når betalingstransaksjonen har skjedd ved bruk av et elektronisk betalingsinstrument, og kunden har opptrådt grovt uaktsomt, jf. lovforslaget § 64 tredje ledd.

Når det gjelder kravene til bevisbyrde, foreslås det visse endringer for å oppfylle direktivets krav, jf. lovforslaget § 7 tredje ledd. Det foreslås inntatt et tredje punktum som uttrykkelig påpeker at det er betalingstjenesteyteren som må påvise at kunden har opptrådt svikaktig eller grovt uaktsomt, jf. direktivet artikkel 72 nr. 2 siste punktum.

Det vil selvsagt ofte være vanskelig for tjenesteyteren å påvise at kunden har handlet på bestemte måter. Når direktivet likevel legger bevisbyrden på betalingstjenesteyteren, har det sammenheng med at dette er nødvendig for å øke sikkerheten ved bruk av betalingskort. Regelen gir betalingstjenesteyteren et insitament til å forebygge svindel og generelt øke sikkerheten ved kortbetalinger.»

Anmerkninger fra nylig avsagt dom i Tingretten

Vi viser også her til nylig avsagt dom i Tingretten gjeldende misbruk av Bank ID som påpeker følgende:

«Retten finner det også relevant å se hen til bankens forhold. XXXX bank AS har valgt å tilby lån i et marked hvor tilgjengelighet, enkelhet og hurtighet er viktige konkurransefaktorer. Banken har, etter kommersielle vurderinger, valgt å tilby lån basert på en ren elektronisk behandling. Banken har valgt å ikke kreve personlig kontakt med den som tar opp lånet, og banken har valgt å utbetale lån så raskt at det er vanskelig å avklare misforståelser eller å gjøre undersøkelser. Disse valgene er gjort fordi banken mener at man på denne måten kan oppnå bedre fortjeneste enn ved et mer omstendelig, tregere og tryggere system.

Retten legger til grunn at ID offer XXXX, som svært mange andre forbrukere av banktjenester, har skaffet seg kodebrikke og passord for å kunne håndtere sin dagligdagse kommunikasjon med banken. Dette er for å kunne se status på konti og lån og det er for å betale regninger. ID offer XXX har ikke skaffet seg kodebrikke og passord for å kunne stifte ny gjeld opp mot aktører i markedet som hun ikke har noen relasjon til. Forut for at hun ble utsatt for bedrageriene fra gjerningsmann XXX  hadde hun ikke annen gjeld en et ordinært boliglån. Når aktører som XXXX bank AS velger å benyttes seg av de nevnte fasilitetene overfor forbrukere som ikke nødvendigvis har tilstrekkelig kunnskap eller ønske om å benytte seg av selskapets tjenester, må dette få en viss innvirkning på aktsomhetsvurderingen hos forbrukeren.»

 

Oppsummering

Det siste punktet er av betydning da forbrukere ikke har annet valg enn å opprette Bank ID eller tilsvarende elektronisk signering.

Denne er da heller ikke inngått «for å kunne stifte ny gjeld opp mot aktører i markedet som man ikke har noen relasjon til.»

Privatpersoner har heller ingen kontroll over hvilke rutiner og sikkerhetsmekanismer låneinstitusjoner velger å ta i bruk.

Det vil være en urimelig situasjon om privatpersoner skal være tilnærmet objektivt ansvarlig for misbruk av Bank ID og låneopptak med tilhørende urimelige konsekvenser.

Det er urimelig om privatpersoner skal sitte med en bevisbyrde for å bevise at man er uskyldig.

 

Vedlagt: Dom av 12. desember 2017,  Nedre Telemark Tingrett.

Vedlegg