Ot.prp. nr. 94 (2008-2009)

Om lov om endringer i finansavtaleloven mv. (gjennomføring av de privatrettslige bestemmelsene i direktiv 2007/64/EF)

Til innholdsfortegnelse

15 Andres misbruk av konto og betalingsinstrument

15.1 Innledning

Hvis en tredjeperson stjeler eller på annen måte tilegner seg et betalingsinstrument og belaster en konto uten kundens samtykke, blir det spørsmål om banken skal bære noe av kundens tap ved dette og eventuelt ta byrden med å forsøke å kreve pengene tilbakebetalt fra den som urettmessig har belastet kontoen.

Det kan tenkes at kunden selv ved en feil samtykker til en betalings­transaksjon, og ved dette blir påført tap. Dette er en annen situasjon enn tilfellene der belastningen skyldes at en tredjeperson har handlet urettmessig. Der kunden gir samtykke til en betalingstransaksjon ved en feil, er det bare kunden som opptrer, og det foreligger samtykke fra kunden til transaksjonen.

I NOU 2008: 21 foreslår Banklovkommisjonen en felles regulering av tapsfordelingen mellom kunde og insti­tusjon i tilfeller av andres misbruk og kundens egne feil ved nettbaserte betalings­overføringer. Banklovkommisjonen foreslår at kundens ansvar skal være begrenset til visse beløp både i tilfeller av andres misbruk og kundens egne feil ved slike over­føringer.

Både spørsmålet om andres misbruk av konto og betalingsinstrument og spørsmålet om kundens egne feil ved betalingstransaksjoner berøres av betalingstjenestedirektivet. Som ledd i gjennomføringen av direktivet i norsk rett har arbeidsgruppen måttet ta stilling til om Banklovkommisjonens lovforslag i NOU 2008: 21 ligger innenfor rammene av direktivet. I delrapport I har arbeidsgruppen delt seg på midten i synet på om Banklovkommisjonens forslag er i samsvar med direktivet, jf. nærmere om arbeidsgruppens vurderinger i punkt 15.5 nedenfor.

Banklovkommisjonen har som nevnt foreslått en felles regulering av egne feil og andres misbruk. Når det gjelder egne feil, vil Banklovkommisjonens forslag bli behandlet i forbindelse med direktivets regler om betalingstransaksjoner som ikke gjennomføres korrekt i punkt 16 nedenfor. I punktet her er det gjennomføring av direktivets regler og Banklovkommisjonens forslag om tredjepersoners misbruk som vil bli drøftet.

15.2 Gjeldende rett

15.2.1 Hovedregelen om misbruk av konto

Finansavtaleloven § 34 oppstiller hovedregelen om misbruk av konto og tilknyttede betalingsinstrumenter. I § 35 finnes en særlig regel om misbruk av betalingskort. Reglene i avsnitt V om andres misbruk gjelder tilsvarende for betalingsoppdrag som ikke skal belastes innskuddskonto, jf. § 11 første ledd. Reglene er ufravikelige i forbrukerforhold, jf. finansavtaleloven § 2 første ledd.

Finansavtaleloven § 34 første ledd slår fast det klare utgangspunktet om at kontohaveren ikke er ansvarlig for andres misbruk av kontoen. Det er altså institusjonen som i utgangspunktet må bære tapet ved urettmessige belastninger foretatt av tredjepersoner.

Hovedregelen om at institusjonen er ansvarlig, gjelder imidlertid ikke der den som har belastet kontoen, har legitimert seg i samsvar med reglene i kontoavtalen og belast­ningen har vært mulig som følge av grov uaktsomhet eller forsett hos kontohaveren eller noen som etter kontoavtalen har rett til å disponere kontoen. I så fall blir konto­haveren ansvarlig for tapet. Ved lavere grader av uaktsomhet blir kontohaveren ikke ansvarlig. Banklovkommisjonen gir i NOU 2008: 21 punkt 6.1.2 side 78 uttrykk for at gjeldende ansvarsregulering etterlater «det inntrykk at kundene i flere typetilfeller vil kunne holdes ansvarlig også ved andres misbruk av kundes nettbankkonto». For at kunden skal anses å ha vært grovt uaktsom, kreves det imidlertid et markert avvik fra vanlig forsvarlig handlemåte, jf. uttalelsen i NOU 1994: 19 s. 144 i tilknytning til finansavtaleloven § 35 annet ledd. Det må være klart at der en utenforstående for eksempel bryter seg inn, dvs. «hacker» seg inn, i en nettbank uten kundens vitende, vil kunden gjennomgående ikke kunne anses å ha muliggjort dette ved grov uaktsomhet. Institusjonen, ikke kunden, vil da etter hovedregelen i finansavtaleloven § 34 måtte erstatte tapet ved dette.

Det som er sagt ovenfor, viser at det bare er der kunden ved grov uaktsomhet eller forsett har muliggjort misbruket, at kunden kan måtte dekke noe av tapet selv. Har kunden først handlet grovt uaktsomt eller forsettlig, gjelder ingen lov­bestemt beløpsbegrensning for kundens ansvar. Det følger imidlertid av § 34 annet ledd første punktum at ansvaret i slike tilfeller er begrenset til disponibelt beløp på kontoen på belastningstidspunktet. For elektroniske betalingsinstrumenter kan ansvaret heller ikke overstige avtalte belastningsgrenser for den bruksmåte som er benyttet, jf. § 34 annet ledd annet punktum. Med dette menes for eksempel beløps­grenser som er fastsatt per uke for bruk av betalingsinstrumentet. Et elektronisk betalingsinstrument er i forarbeidene forklart som et instrument hvor dataene innsam­les elektronisk, jf. NOU 1994: 19 side 143. Begrensningene gjelder ikke hvis kontohaveren forsettlig har medvirket til at noen kunne legitimere seg, jf. § 34 annet ledd tredje punktum.

Kunden er ikke ansvarlig for urettmessig bruk som finner sted etter at institusjonen har fått varsel om forhold som skaper særlig fare for misbruk, som for eksempel at kunden har mistet passordet til sin nettbank, jf. § 34 tredje ledd første punktum. Begrensningen gjelder ikke hvis kunden, eller en som har rett til å belaste kontoen etter kontoavtalen, forsettlig har muliggjort bruken, jf. tredje ledd annet punktum.

Hvis kunden har utvist svik mot institusjonen, gjelder ingen av ansvarsbegrens­ningene som ellers følger av første til tredje ledd, jf. § 34 fjerde ledd.

I finansavtaleloven § 36 er det gitt regler om at et eventuelt ansvar for kunden etter §§ 34 og 35 kan lempes hvis måten kontoen kan disponeres på ikke er betryg­gende, eller dersom betalings- eller kontokortsystemet ikke oppfyller forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner, og den urettmessige belastningen har sammenheng med dette, jf. § 36 første ledd. Det kan også tas hensyn til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den urettmessige belastningen eller misbruket kunne skje.

Etter § 36 annet ledd kan ansvaret til kontohaveren også lempes der en leverandør av varer eller tjenester som har mottatt betalingen, forsto eller burde forstått at bruken av betalingsinstrumentet var urettmessig.

Lempingsregelen i § 36 er en «kan-regel». Det vil si at lemping ikke må skje selv om vilkårene i bestemmelsen er oppfylt. Det vil måtte foretas en vurdering også av kun­dens forhold. Hvis kunden har opptrådt særlig klanderverdig, vil det ikke nødvendig­vis være rimelig å lempe ansvaret selv om også institusjonen er å bebreide, jf. NOU 1994: 19 side 146. Hvor mye ansvaret skal lempes, kan også tilpasses graden av partenes skyld.

Etter finansavtaleloven § 37 er prosessbyrden i saker om andres misbruk av konto og betalingsinstrument lagt på institusjonen. Kunden må etter § 37 første ledd sette frem krav om tilbakeføring uten ugrunnet opphold etter at han eller hun ble eller burde ha blitt kjent med misbruket. Hvis kunden reklamerer i tide etter § 37 første ledd, må institusjonen enten tilbakeføre beløpet for den urettmessige belastningen, med fradrag for eventuell egenandel etter § 35 første ledd, eller innen fire uker bringe saken inn for nemnd eller domstol. Institusjonen har altså fire uker på seg til å avgjøre om kundens krav om tilbakebetaling av pengene er berettiget. En periode på fire uker ble ansett å gi tilstrekkelig tid til å unngå unødige prosesser, slik at tvistene i størst mulig grad kan løses i minnelighet, jf. Ot.prp. nr. 41 (1998-99) side 45.

15.2.2 Den særlige regelen om misbruk av betalingskort

Misbruk av betalingskort er særskilt regulert i finansavtaleloven § 35. Reglene gjelder også for kontokort som er utstedt i forbindelse med kontokredittavtale, jf. kreditt­kjøps­­loven § 13.

Betalings­kort omfatter både debet- og kredittkort, samt andre kort som kan benyttes for over­føring av betalingsmidler, jf. finansavtaleloven § 12 bokstav d. Forhåndsbetalte elektroniske kort som ikke er knyttet til en innskuddskonto, faller imidlertid utenfor på grunn av unntaket i finansavtaleloven § 11 annet ledd.

Finansavtaleloven § 35 første ledd bestemmer at kunden alltid er ansvarlig for en objektiv egenandel på 800 kroner ved misbruk av betalingskort der personlig kode tilknyttet kortet (PIN) eller annen lignende sikkerhetsprosedyre er brukt. Tap utover 800 kroner bæres av institusjonen med mindre kunden har utvist grov uaktsomhet eller grovere grader av skyld, eller kunden har forholdt seg slik som angitt i § 35 annet ledd bokstav a, jf. nedenfor.

Bestemmelsen gjelder bare der det er benyttet en form for legitimasjon som ikke er personavhengig. Den gjelder ikke der det er benyttet for eksempel en personavhengig signatur, stemmeprøve eller fingeravtrykk, jf. NOU 1994: 19 side 144. Bakgrunnen for dette er ifølge utredningen at man ved disse typene personavhengig identifikasjon som utgangspunkt ikke vil få tilgang til systemene uten å være berettiget.

Ved misbruk av betalingskort fastsetter finansavtaleloven § 35 annet ledd bokstav a en bestemmelse som er mer fordelaktig for kunden enn regelen i § 34 første ledd, ved at det gjelder en beløpsbegrensning for ansvaret selv i tilfeller der kunden har vært grovt uaktsom, på 8000 kroner. Denne ansvarsbegrensningen gjelder også der kunden har utvist alminnelig uaktsomhet i forhold til å underrette institusjonen snarest mulig etter at kortet har kommet bort, jf. § 35 annet ledd bokstav b. Ansvars­begrensningen etter § 35 annet ledd gjelder for alle betalingskort, dvs. også dem som det ikke er knyttet noen særlig sikkerhetsprosedyre til.

For at kunden skal anses for å ha vært grovt uaktsom, kreves det et markert avvik fra vanlig forsvarlig handlemåte, jf. NOU 1994: 19 side 144 og Rt. 2004 side 499. Ved vedtakelsen av finansavtaleloven ble det vurdert å fastsette en regel om at institusjo­nen skulle ha bevisbyrden for de faktiske forhold omkring misbruket, men dette ble forkastet ettersom kunden gjerne vil være den som har best kjennskap til de faktiske forholdene knyttet til misbruket, blant annet om hvordan PIN-koden knyttet til et betalingskort har blitt oppbevart, jf. NOU 1994: 19 side 75 og Ot.prp. nr. 41 (1998-99) side 44. Det ble lagt til grunn at det ikke uten videre vil være rimelig å pålegge institu­sjonen bevisbyrden for slike forhold, jf. Ot.prp. nr. 41 (1998-99) side 44, og i stedet la man prosessbyrden på institusjonen etter finansavtaleloven § 37.

Bevisvurderingen følger dermed alminnelige regler om bevisbyrde og fri bevisbedøm­melse, men det ble i Ot.prp. nr. 41 (1998-99) side 44 lagt til grunn at «selv uten en lov­festet bevisbyrderegel vil en nemnd eller en domstol ikke kunne legge til grunn at kunden har opptrådt grovt uaktsomt uten at det foreligger særskilte holdepunkter for dette». For tilfeller der kort og tilhørende PIN-kode blir benyttet, ble det lagt til grunn at det at PIN-koden er brukt uten at kontohaveren har en forklaring på hvordan koden er blitt kjent for uvedkommende, ikke skal være tilstrekkelig til å legge til grunn at kunden har opptrådt grovt uaktsomt, fordi dette for eksempel kan skyldes at misbru­keren har iakttatt kundens inntasting av kode ved bruk av kortet uten at kunden har merket det, jf. Ot.prp. nr. 41 (1998-99) side 44. I NOU 1994: 19 side 145 gis det uttrykk for at det må foretas en konkret vurdering av spørsmålet om uforsiktig oppbevaring av kort og kode er tilstrekkelig til å bringe kontohaveren i ansvar.

Det samme ble lagt til grunn av Høyesterett i Rt. 2004 side 499, der det ble uttalt at «vurderingen av spørsmålet om grov uaktsomhet må bero på en samlet bedømmelse av hvor godt koden var kamuflert og hvordan den ved anledningen ble oppbevart». I den konkrete saken ble kortholderen ansett for å ha opptrådt uaktsomt, men ikke grovt uaktsomt, ved å oppbevare koden kamuflert i en syvende sans i samme koffert som betalingskortet. Tyver fant frem til koden på fjerde forsøk. Høyesterett foretok en konkret vurdering av omstendighetene i saken, og la blant annet vekt på at det dreide seg om en midlertidig oppbevaring av kort og kode på avreisedagen, og ga uttrykk for at vurderingen kunne blitt en annen om korthaveren hadde latt kort og kode ligge i nærheten av hverandre i sitt hjem.

Det foreligger også en omfattende praksis fra Bankklagenemnda når det gjelder misbruk av betalingskort. Dersom korrekt kode er funnet på svært få tasteforsøk kort tid etter kortet er stjålet, og kortet ikke har vært benyttet på en måte som gjør «kikk over skulderen» aktuelt, har flertallet i Bankklagenemnda lagt til grunn at dette er et holdepunkt for grov uakt­somhet, i den forstand at koden mest sannsynlig har vært nedskrevet av kunden, enten i klartekst eller dårlig kamuflert. Dette synes å være i samsvar med uttalelsene fra Høyesterett referert ovenfor. I den nevnte Høyesterettsavgjørelsen ble det lagt vekt på at omsten­dig­hetene rundt opp­bevaringen av koden var særegne, og at det derfor etter en konkret helhets­vurdering ikke var grunnlag for å konstatere grov uaktsomhet hos kunden.

Avtaler mellom kunde og institusjon om betalingskort vil inneholde bestemmelser om bruk og oppbevaring av kortet og eventuell tilhørende personlig kode, jf. også at det skal gis forhåndsopplysninger om ansvar og risiko etter finansavtale­loven § 15 annet ledd bokstav g. Handlings- og atferdsreglene i kontoavtalen vil ligge i bunnen for aktsomhetsvurderingen etter § 35 annet ledd, jf. NOU 1994: 19 side 145.

Av § 35 tredje ledd følger at kontohaverens ansvar uansett ikke kan overstige belast­nings­grenser for de bruksmåter som er benyttet når det gjelder elektroniske betalings­kort benyttet innenlands. Ansvaret kan altså ikke overstige periodebeløpet på transaksjons­tidspunktet eller annen fastsatt beløpsgrense.

Ansvarsbegrensningene etter § 35 annet og tredje ledd gjelder ikke der kontohaveren eller noen kortet er overlatt til, forsettlig har muliggjort bruken av kortet eller unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til irregulær bruk. Paragraf 34 tredje og fjerde ledd om at kontohaveren ikke er ansvarlig for bruk etter at institusjonen er varslet, og om fullt ansvar ved svik gjelder tilsvarende for betalings­kort, jf. § 35 femte ledd.

Paragraf 35 sjette ledd gir hjemmel for forskrift om at ansvarsreguleringen for betalings­kort skal gis helt eller delvis anvendelse for andre betalingsinstrumenter. Hjemmelen har ikke vært benyttet.

Reglene i § 36 om lemping og § 37 om reklamasjon og tilbakeføring gjelder på samme måte ved misbruk av betalingskort som ved annet misbruk av konto, og det vises til fremstillingen under punkt 15.2.1.

15.3 Direktivet

15.3.1 Innledning

Betalingstjenestedirektivet regulerer henholdsvis institusjonens og kundens plikter i forbindelse med betalingsinstrumenter samt deres ansvar for tap ved uautoriserte betalingstransaksjoner i artiklene 56 til 61.

En uautorisert betalingstransaksjon er en transaksjon som kunden ikke har gitt sam­tykke til i samsvar med reglene om autorisasjon av betalingstransaksjoner i artikkel 54, jf. punkt 9 i proposisjonen. Dette omfatter tilfeller der en tredjeperson urett­messig har gitt samtykke til og dermed fått gjennomført en betalingstransaksjon. En tredjeperson i denne sammenheng kan også være betalingsmottakeren.

Reglene om ansvarsfordelingen ved andres misbruk i direktivet er, i likhet med bestem­melsene i finansavtaleloven §§ 34 og 35, ufravikelige bare i forbrukerforhold, jf. forutsetningsvis artikkel 51 nr. 1. I motsetning til den norske finansavtaleloven regulerer direktivet ikke bare partenes ansvar, men også deres underliggende rettigheter og plikter knyttet til betalingsinstrumenter, jf. artiklene 56 og 57. Disse bestemmelsene kan ikke fravikes selv der kunden er næringsdrivende, jf. artikkel 51 nr. 1. Bestemmelsen om reklama­sjonsplikt i artikkel 58 er også absolutt ufravikelig, men partene kan utenfor forbruker­­­forhold avtale en annen frist enn fastsatt i bestemmelsen, jf. artikkel 51 nr. 1 annet punktum.

Direktivets regler om ansvarsfordeling i artiklene 60 og 61 gjelder som utgangspunkt alle uautoriserte betalingstransaksjoner. De er ikke begrenset til transaksjoner som skjer ved en viss type betalingsinstrument. Reglene vil dermed få anvendelse for alle former for urettmessige uttak og betalingsoverføringer som ikke er autorisert av kunden i samsvar med artikkel 54, uavhengig av om transaksjonen er skjedd over internett, med bruk av mobiltelefon, betalingskort eller lignende. Transaksjonen trenger ikke ha tilknytning til konto. Den kan for eksempel gjelde tømming av saldoen på et forhåndsbetalt betalingsinstrument.

For småpengeinstrumenter som benyttes anonymt, eller der betalingstjeneste­tilbyde­ren av andre grunner knyttet til instrumentets art, ikke er i stand til å bevise at en betalingstransaksjon ble godkjent av kunden, kan partene avtale at reglene om ansvar for uautoriserte betalingstransaksjoner ikke skal gjelde, jf. artikkel 53 nr. 1 bokstav b. Det følger videre av artikkel 53 nr. 1 bokstav a at det kan avtales at reglene om partenes forpliktelser og om at betaleren ikke skal være ansvarlig etter underret­ning om at betalingsinstrumentet er kommet bort mv., ikke skal få anvendelse for småpengeinstrumenter.

Artikkel 53 nr. 3 fastsetter at artiklene 60 og 61 skal gjelde for elektroniske penger, jf. definisjonen av elektroniske penger i lov 13. desember 2002 nr. 74 om e-pengeforetak § 1-1 annet ledd, som gjennomfører direktiv 2000/46/EF artikkel 1 nr. 3 bokstav b bortsett fra i tilfeller hvor instrumentet ikke kan sperres. Av artikkel 53 nr. 3 annet punktum fremgår det at statene kan begrense unntaket til betalingskontoer eller betalingsinstrumenter av en bestemt verdi.

15.3.2 Plikter for kunde og institusjon

Forpliktelsene for brukere og tilbydere av betalingstjenester som ligger til grunn for ansvarsreguleringen i artiklene 60 og 61, er regulert i henholdsvis artikkel 56 og artikkel 57. Når det gjelder kunden, er han eller hun forpliktet til å bruke betalingsinstrumentet i samsvar med vilkårene for utstedelse og bruk, jf. artikkel 56 nr. 1 bokstav a. Kunden skal ta alle rimelige skritt for å beskytte betalingsinstrumentets personlige sikkerhetsanordninger, jf. artikkel 56 nr. 2. Denne plikten inntrer så snart betalings­instrumentet er mottatt av kunden. Det følger av artikkel 57 nr. 1 bokstav a og b at institusjonen har ansvaret for at de personlige sikkerhetsanordningene knyttet til instrumentet ikke er tilgjengelige for andre enn kunden, og for at det ikke sendes betalingsinstrumenter til kunder unntatt for å erstatte et tidligere gitt slikt instrument. Når denne bestemmelsen sammenholdes med artikkel 57 nr. 2 om at institusjonen er ansvarlig for sending av betalingsinstrumenter og sikkerhetsanordninger, og artikkel 56 om kundens forpliktelser, synes det klart at institusjonen er ansvarlig for at de per­sonlige sikkerhetsanordningene ikke gis ut til andre enn kunden og for sendingen av instrumentet og sikkerhetsanordningene. Samtidig er det slik at når kunden først har mottatt instrumentet og sikkerhetsanordningene fra institusjonen, er det kunden som har ansvaret for å sørge for å beskytte disse.

Hvilke skritt kunden skal ta for å beskytte betalingsinstrumentet, kan defineres i rammeavtalen, jf. artikkel 42 nr. 5 bokstav a.

Direktivet inneholder ingen definisjon av begrepet personlig sikkerhetsanordning, men det må antas at dette omfatter legitimasjon og rutiner som en kunde har fått fra betalingstjenestetilbyderen for å kunne bevise sin rett til å ta ut penger eller gjennomføre betalingsoverføringer. Dette vil typisk være en kode som er ment å identifisere den som bruker et betalings­instrument, som for eksempel en kombinasjon av sifre.

At sikkerhetsanordningen skal være personlig, må antas å henvise til at den etter avtalen med institusjonen ikke skal oppgis til uvedkommende, jf. den svenske utredningen om gjennomføringen av artikkel 61 i direktivet, Ds 2008: 86 punkt 4.3 side 22. En kode som er skrevet på selve betalingsinstrumentet, som for eksempel et CVC-nummer som er trykt på et betalingskort, vil ikke være en personlig sikker­hets­anordning i direktivets forstand ettersom den vil være tilgjengelig for enhver som ser kortet, og dermed kan den ikke anses som personlig, jf. Ds 2008: 86 side 38.

At anordningen skal være personlig, betyr ikke at den er personavhengig. En typisk personavhengig legitimasjon som underskrift vil ikke være en personlig sikkerhets­anordning etter direktivet, ettersom det er en forutsetning i artikkel 56 nr. 2 at en slik sikkerhetsanordning skal være noe kunden mottar fra institusjonen i forbindelse med utstedelse av et betalingsinstrument og som kunden ikke har rett til å oppgi for noen annen, jf. Ds 2008: 86 side 39.

I tillegg til å beskytte personlige sikkerhetsanordninger, skal kunden etter artikkel 56 nr. 1 bokstav b uten unødig opphold underrette betalingstjenestetilbyderen, for eksempel en bank eller den som banken har oppgitt at underretning skal gis til, så snart kunden har fått kunnskap om at betalingsinstrumentet er tapt, stjålet, misbrukt eller brukt uten samtykke. Formålet med bestemmelsen er å redusere risikoen for og konsekvensene av uautoriserte transaksjoner, jf. fortalen punkt 31. Forpliktelsen for kunden gjelder uavhengig av om den er nedfelt i rammeavtalen med institusjonen eller ikke. Kunden har plikt til å underrette uansett hvordan betalingsinstrumentet har kommet bort og uavhengig av om også en personlig sikkerhetsanordning samtidig har kommet på avveie. Plikten gjelder også der kunden fortsatt har betalingsinstrumentet i sin besittelse, men der han eller hun blir klart over at det har blitt misbrukt, for eksempel ved inngåelse av en fjernsalgsavtale over internett eller ved at et betalingskort har blitt kopiert («skimmet») og brukt. Når kunden pålegges en plikt til å underrette betalings­tjenestetilbyderen, forutsetter dette at tjenesteyteren tilbyr en hensiktsmessig måte som kunden kan foreta slike underretninger på. Det følger i tråd med dette av artikkel 57 nr. 1 bokstav c at tilbyderen av betalingstjenester må sørge for at kunden kan gi underretning til enhver tid, og gi kunden mulighet til å kunne bevise at underretningen ble foretatt i 18 måneder etter at den ble gitt.

Betalingstjenesteyteren må også sørge for at betalingsinstrumentet ikke kan brukes etter at det er gitt slik underretning fra kunden, jf. artikkel 57 nr. 1 bokstav d.

15.3.3 Ansvarsreguleringen

Utgangspunktet etter betalingstjeneste­direktivet er at det er institusjonen, ikke kunden, som skal bære tapet ved uautoriserte betalingstransaksjoner. Dette følger av artikkel 60 nr. 1, som bestemmer at betalings­tjenestetilbyderen umiddelbart skal tilbakebetale til kunden beløpet for en uautorisert transaksjon, og eventuelt bringe kundens konto tilbake til den tilstand den ville ha vært i dersom den urettmessige betalingstransaksjonen ikke hadde funnet sted.

Betalingstjenestetilbyderen kan også gjøres ansvarlig for ytterligere økonomisk kompensasjon til kunden hvis dette eventuelt følger av loven som er anvendelig for avtaleforholdet deres, jf. artikkel 60 nr. 2.

Utgangspunktet om at institusjonen er ansvarlig, modifiseres av bestemmelsene om kundens ansvar i artikkel 61, som gjør unntak fra hovedregelen i artikkel 60, jf. artikkel 61 nr. 1. Artikkel 61 nr. 1 gir mulighet til å pålegge kunden ansvar for en viss egenandel. Formålet med bestemmelsen er å gi kunden et incentiv til å melde fra så snart som mulig hvis et betalingsinstrument blir borte og dermed redusere risikoen for urettmessige betalingstransaksjoner, jf. fortalen punkt 32.

Etter artikkel 61 nr. 1 skal en betaler bære et tap på opp til maksimum 150 euro ved enhver urettmessig betalingstransaksjon som er en følge av at et tapt eller stjålet betalingsinstrument blir benyttet eller om betalingsinstrumentet har blitt misbrukt («misappropriated»), og dette skyldes at betaleren ikke har beskyttet de personlige sikkerhetsanordningene knyttet til instrumentet.

Hvis kunden hevder at han eller hun ikke har autorisert en betalingstransaksjon, skal det etter artikkel 59 nr. 1 være betalingstjenestetilbyderen, ikke kunden, som må bevise at betalingstransaksjonen ble autentisert, dvs. at et bestemt betalingsinstrument, inkludert dets personlige sikkerhetsanordninger, har vært benyttet ved transaksjonen, jf. direktivet artikkel 4 nr. 19. Institusjonen må videre bevise at transaksjonen ble korrekt registrert og bokført og ikke påvirket av teknisk svikt eller annen feil i systemet. Meningen med denne bestemmelsen må være at hvis kunden nekter for å ha godkjent en betalingstransaksjon, er det institusjonen som må bevise at en slik transaksjon rent faktisk har skjedd. Denne bestemmelsen sier imidlertid ingen­ting om bevisbedømmelsen for forholdene knyttet til om kunden har beskyttet de personlige sikkerhetsanordningene tilhørende instrumentet.

Ansvarssubjektet etter artikkel 61 er «betaleren», jf. definisjonen i artikkel 4 nr. 7. Dette vil være en kunde som har en betalingskonto, og som godkjenner betalingstransaksjoner fra denne kontoen, eller, dersom det ikke finnes noen betalings­konto, kunden som gir en betalingsordre. Dette vil være identisk med kontohaveren etter norsk rett.

Betaleren skal etter direktivet bære ethvert tap ved en uautorisert betalings­transak­sjon hvis han eller hun har handlet svikaktig, jf. artikkel 61 nr. 2. Av artikkel 61 nr. 2 første punktum følger det videre at betaleren også skal bære ethvert tap ved en urettmessig betalingstransaksjon hvis tapet er oppstått ved at betaleren forsettlig eller ved grov uaktsomhet har unnlatt å oppfylle sine plikter etter artikkel 56. Det gjelder ingen beløpsbegrensning slik som det gjør ved misbruk av betalingskort etter gjeldende norsk rett, jf. artikkel 61 nr. 2 annet punktum.

Av henvisningen til artikkel 56 følger det at aktsomhetsvurderingen skal skje på bakgrunn av avtalevilkårene. Det skal imidlertid foretas en helhetsvurdering, og graden av uaktsomhet og bevis for uaktsomhet skal vurderes i samsvar med nasjonal rett, jf. fortalen punkt 33. Tilbyderne av betalingstjenester skal ikke kunne operere med avtalevilkår om bruk av betalingsinstrumenter som øker bevisbyrden på en forbruker eller minsker bevisbyrden på institusjonen, jf. samme sted. Ettersom direktivet for vurderingen av grov uaktsomhet henviser til avtalevilkårene, vil tilbyderne av betalingstjenester, ved å definere kravene til kunden i avtalevilkårene, kunne styre hvilke forpliktelser kunden skal ha, innenfor de begrensninger som følger av alminnelige kontraktsrettslige prinsipper. Kunden vil imidlertid ikke være ansvar­lig for ethvert avvik fra avtalevilkårene, det kreves at det er utvist grov uaktsomhet med hensyn til forpliktelsene de oppstiller. Det følger av artikkel 59 nr. 2 at hvis betaleren nekter for å ha gitt samtykke til en betalingstransaksjon, skal det at et betalingsinstrument er blitt benyttet, ikke i seg selv være tilstrekkelig til å bevise at betaleren har godkjent transaksjonen, handlet svikaktig eller med forsett eller grov uaktsomhet har unnlatt å oppfylle sine forpliktelser med hensyn til bruk av betalings­instrumentet og beskyttelse av sikkerhetsanordninger etter artikkel 56. Det skal altså ikke være tilstrekkelig til å pålegge kunden ansvar etter artikkel 61 nr. 2 at betalings­instrumentet er brukt. Dette er i samsvar med norsk rett, hvor det kreves særskilte holdepunkter for å legge til grunn at kunden har vært grovt uaktsom. Som angitt i fortalen punkt 33, vil dette bero på en helhetsvurdering der alle omstendigheter skal tas i betraktning.

I artikkel 61 nr. 3 gir direktivet statene mulighet til å begrense ansvaret som ellers påligger betaleren etter artikkel 61 nr. 1 og 2 i tilfeller der betaleren ikke har handlet svikaktig eller med forsett har unnlatt å oppfylle sine forpliktelser etter artikkel 56. Ved svik eller forsettlig opptreden fra betaleren gir direktivet dermed ikke mulighet for reduksjon av betalerens ansvar. I slike tilfeller har betaleren handlet svært klanderverdig og må pålegges et ubegrenset ansvar for tapet, på samme måte som etter gjeldende norsk rett.

Artikkel 61 nr. 3 gir imidlertid mulighet for å begrense betalerens ansvar både etter nr. 1 og nr. 2. Formålet med bestemmelsen er å gi medlemsstatene mulighet til å opprettholde eksisterende forbrukervernnivå og å fremme tilliten til sikker bruk av elektroniske betalingsinstrumenter, jf. fortalen punkt 34. Etter artikkel 61 nr. 3 skal det ved vurderingen av om betalerens ansvar bør reduseres, tas i betrakt­ning arten av de personlige sikkerhetsanordningene som er knyttet til betalings­instrumentet, og omstendighetene rundt hvordan det ble misbrukt.

Ordlyden kan tale for å forstå artikkel 61 nr. 3 som en regel om mulighet for konkret lemping av betalerens ansvar, og ikke som en bestemmelse som åpner for å fastsette faste og generelle beløpsbegrensninger for ansvaret utover de begrensninger som fremgår av artikkel 61 nr. 1 og 2. Av direktivets fortale punkt 34 fremgår det imidler­tid at hensikten med bestemmelsen har vært å gi statene mulighet til å redusere ansva­ret eller la det bortfalle helt, unntatt i tilfeller der betaleren har opptrådt svikaktig. Dette taler for at mer generelle begrensninger for ansvaret utover de som er fastsatt i direktivet, kan fastsettes i lovgivningen som gjennomfører direktivet i nasjonal rett. Både i den svenske utredningen om gjennomføring av direktivet og i det danske lovforslaget er det lagt til grunn at artikkel 61 nr. 3 åpner for at man i lovgivningen generelt kan begrense kundens ansvar ved grov uaktsomhet, se Ds 2008: 86 side 24 og 27 og det danske 2008-09 L 119 side 81. I begge lovforslagene er dessuten direktivet forstått slik at egenandels­ansvaret etter artikkel 61 nr. 1 kan begrenses til tilfeller der personlig kode tilknyttet et betalingsinstrument er benyttet ved den urettmessige belastningen, se det danske lovforslaget § 62 stk. 2 og 4 § i det svenske (Ds 2008: 86 side 39).

Som nevnt over har tilbyderen av betalingstjenester plikt til å sørge for at betaleren kan foreta underretning om at et betalingsinstrument er blitt borte mv. etter artikkel 57 nr. 1 bokstav c. Etter artikkel 61 nr. 4 og 5 skal betaleren ikke være ansvarlig for tap etter at slik underretning er foretatt, eller for tap i tilfeller der tilbyderen av betalings­tjenester ikke har gjort det mulig for betaleren å foreta slik underretning. Kunden skal likevel være ansvarlig i tilfeller der han eller hun har opptrådt svikaktig.

Det følger av artikkel 55 nr. 1 i direktivet at det kan avtales belastningsgrenser for betalingsinstrumenter som benyttes til å gi samtykke til betalingstransaksjoner. Hvis det er avtalt slike belastningsgrenser, vil disse i praksis utgjøre en grense for hvilke beløp betaleren kan holdes ansvarlig for etter artikkel 61. I rammeavtalen kan institusjonen også reservere rett til å sperre instrumenter ved saklige grunner knyttet til sikkerheten ved instrumentet, mistanke om urettmessig eller svikaktig bruk av det eller, hvis det gjelder et betalingsinstrument det er knyttet kreditt til, en vesentlig forhøyet risiko for at betaleren ikke kan oppfylle sine betalingsforpliktelser, jf. artikkel 55 nr. 2. Dette innebærer at også i tilfeller der kunden ennå ikke har underrettet institusjonen om at et betalingsinstrument er kommet bort eller lignende, vil institu­sjonen, hvis den blir klar over mistenkelige transaksjoner, av eget tiltak kunne sperre instrumentet og dermed hindre urettmessige belastninger. Kunden skal i så fall innfor­me­res om sperringen og om grunnene for den på avtalt måte, jf. artikkel 55 nr. 3. Dette skal i utgangspunktet skje før betalingsinstrumentet blokkeres hvis dette er mulig, eller umiddelbart etterpå, unntatt hvis dette ville medføre en sikkerhetsrisiko som er saklig begrunnet, eller underretning er forbudt etter annet relevant EU-regelverk eller nasjonal lovgivning. Kunden vil for eksempel ikke nødvendigvis ha krav på underretning der institusjonen mistenker at kunden selv forsøker å svindle institusjonen. Sperringen av instrumentet skal oppheves når grunnene til sperring ikke lenger gjør seg gjeldende, eller kunden skal få et nytt betalingsinstrument, jf. artikkel 55 nr. 4. Institusjonen må gi kunden mulighet til å be om at sperring oppheves, jf. artikkel 57 nr. 1 bokstav c.

Etter artikkel 78 skal ansvar etter direktivet del IV kapittel 2 og 3 ikke gjelde der tapet skyldes uvanlige og uforutsette omstendigheter utenfor kontroll for den part som påberoper seg dem, og som ikke kunne ha vært unngått selv med den størst mulige påpasselighet, eller hvis det skyldes plikter etter nasjonal lovgivning eller EU-regel­verk. Denne bestemmelsen gjelder etter sin ordlyd også for bestem­melsene om andres misbruk av konto. Når det gjelder kundens forhold, vil ansvar etter reglene i artikkel 61 forutsette enten at personlige sikkerhetsanordninger er brukt, eller at kunden har opptrådt grovt uaktsomt eller utvist forsett eller svik. Alle disse forhold må anses å ligge innenfor kundens kontroll. Når det gjelder institusjonens forhold, vil en slik regel heller ikke ha betydning for andres misbruk, fordi direktivet artikkel 60 forutsetter at institusjonen alltid skal være ansvarlig i de tilfeller der det ikke er kunden som er ansvarlig etter artikkel 61. Artikkel 78 vil derfor ikke ha betydning i praksis når det gjelder andres misbruk. Dette er også lagt til grunn i det danske lovforslaget 2008-09 L 119, se side 87, hvor det uttales om artikkel 78 at bestemmelsen i praksis bare vil ha betydning for tilfeller av betalingstransaksjoner som ikke gjennomføres korrekt regulert i direktivet artikkel 75 og artikkel 77.

15.3.4 Reklamasjon og tilbakebetaling

Hvis det foreligger en uautorisert betalingstransaksjon, er utgangspunktet etter artikkel 60 nr. 1 at tilbyderen av betalingstjenester umiddelbart skal tilbakebetale beløpet for transaksjonen til kunden. Etter artikkel 58 må imidlertid betaleren melde fra om sitt krav om tilbakebetaling til institusjonen uten ugrunnet opphold etter at han eller hun har fått kjennskap til en uautorisert betalingstransaksjon, og senest 13 måne­der etter belastningsdagen. Dette gjelder imidlertid ikke der institusjonen ikke har gitt betaleren informasjon om transaksjonen i samsvar med direktivets del III, se artikkel 38 og artikkel 47 om opplysninger kunden skal få om gjennomførte betalings­transaksjoner.

Institusjonens plikt til å betale tilbake beløpet vil altså bare inntre hvis kunden oppfyller sin reklamasjonsplikt etter artikkel 58. Direktivet inneholder ellers ingen nærmere regler om prose­dyren for å avgjøre om det er kunden eller institusjonen som skal bære tapet. Det skal imidlertid etter artikkel 83 finnes utenrettslige tvisteløsningsordninger for løsning av tvister mellom institusjoner og kunder etter direktivet.

15.4 Forslaget i NOU 2008: 21 Nettbankbasert betalingsoverføring

Ved brev 13. mars 2007 fra Finansdepartementet ble Banklovkommisjonen gitt i mandat å vurdere hvordan en eventuell regulering av tapsfordelingen mellom kunden og institusjonen kan skje i tilfeller der kunden selv gjør feil ved betalingsoverføringer, se mandatet gjengitt i NOU 2008: 21 punkt 1.1 side 15. Mandatet gjaldt kundens egne feil, men Banklovkommisjonen har også vurdert spørsmål knyttet til andres misbruk av konto og betalingsinstrument, jf. utredningen side 17.

Banklovkommisjonen foreslår å beholde den gjeldende generelle regelen i finans­avtale­loven § 34 om misbruk av konto, og vurderer denne regelen som tilfreds­stillende ved betalingsoverføring ved giro som ikke innleveres ved bruk av et nett­basert system, jf. NOU 2008: 21 punkt 3.5.2 side 45. Videre foreslår Banklov­kommi­sjonen å videreføre den gjeldende regelen i finansavtaleloven § 35 om misbruk av betalingskort uendret, dvs. fortsatt med en egenandel på 800 kroner og en beløps­grense på 8000 kroner ved grov uaktsomhet. Kommisjonen mener at de gjeldende bestemmelsene om misbruk av kort representerer en tilfredsstillende løsning for andres misbruk, jf. NOU 2008: 21 punkt 4.6 side 53, og mener det faller utenfor oppdraget til Banklovkommisjonen å vurdere endringer i beløpene i § 35, jf. punkt 6.2.3 side 87. Bank­lov­kommi­sjonen går i utredningen ikke nærmere inn på forholdet til bestemmelsene i betalings­tjenestedirektivet ved vurderingen av reglene for giro eller betalingskort.

Når det gjelder nettbaserte betalingsoverføringer, foreslår Banklovkommisjonen et nytt kapittel Va i finansavtaleloven som skal regulere både feilbruk og misbruk av ordninger for slik overføring. Nettbasert betalingsoverføring er i Banklovkommisjonens forslag til ny § 37 a annet ledd definert som overføring av betalingsmidler fra innskuddskonto i henhold til betalingsoppdrag sendt til og mottatt av institusjonen gjennom internett eller annet elektronisk nettverk. Forslaget er basert på prinsippene i finansavtaleloven § 35 om beløpsbegrensninger for kundens ansvar. Banklovkommisjonen legger til grunn at betalingstjenester basert på bruker­legitima­sjon som inngangskriterium har markerte iboende risiki sett fra kundens side, selv om det gis uttrykk for at det foreligger få dokumenterte tilfeller hvor nettbankkunder er påført tap ved misbruk eller feilbruk, jf. NOU 2008: 21 punkt 6.1.3 side 79. I lys av at bruken av nettbaserte tjenester antakelig vil øke i årene fremover, og av den praktiske og kommersielle betydning betalingstjenester har, mener kommisjonen det er viktig å ha et regelsett på plass som kan håndtere tilfelle av tap som vil kunne ramme den enkel­te kunde urimelig hardt, jf. utredningen side 80. Banklovkommisjonen mener på denne bakgrunn (side 86) at en ansvarsregulering basert på prinsippene i finans­avtaleloven § 35 utgjør et velegnet utgangspunkt for utformingen av ansvars­reguleringen for tilfelle av brukerfeil og andres misbruk i forbindelse med nettbaserte betalings­tjenester, og viser til at denne ansvarsreguleringen er velprøvd i praksis og generelt akseptert av de ulike partsinteresser.

Banklovkommisjonen foreslår i en ny § 37 b første ledd i finansavtaleloven en egenandel for kunden på 1200 kroner ved utilsiktede eller urettmessige betalings­overføringer ved feilbruk eller misbruk av nettbasert betalingstjeneste der personlig kode eller annen lignende sikkerhetsprosedyre (nødvendig brukerlegitimasjon) er benyttet. Egenandelsansvaret skal ikke gjelde der tapet skyldes at den nettbaserte betalingstjenesten ikke tilbyr den sikkerhet mot misbruk eller feilbruk som en bruker eller allmennheten med rimelighet kunne vente, eller at en tredjeperson ved inn­trenging i elektronisk nettverk, grov tvang eller lignende handlemåte urettmessig har skaffet seg tilgang til nødvendig brukerlegitimasjon eller endret det betalings­oppdrag kunden har gitt. Banklovkommisjonen viser til egenandelsgrensen på 150 euro i betalingstjenestedirektivet artikkel 61 nr. 1.

Videre foreslår Banklovkommisjonen å innføre en ansvarsbegrensning for kunden på 12 000 kroner i tilfeller der nødvendig brukerlegitimasjon er benyttet ved en urett­messig eller utilsiktet betalingsoverføring og kunden har muliggjort betalingsoverføringen ved grov uaktsomhet, eller der kunden har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at brukerlegitimasjonen er kommet bort eller må ha kommet på avveie eller innen rimelig tid etter at dette burde ha vært oppdaget. Banklovkommisjonen mener at en regel om ansvarsbegrensning på 12 000 kroner ved grov uaktsomhet er i samsvar med direktivet, jf. NOU 2008: 21 punkt 6.2.3 side 87. Kommisjonen viser ellers til at direktivet gjennomgås av arbeidsgruppen nedsatt av Finansdepartementet for å vurdere gjennomføringen av betalingstjenestedirektivet i norsk rett, jf. side 88 i utredningen.

I ny § 37 b tredje ledd foreslås en bestemmelse om hva det skal legges vekt på ved vurderingen av om kunden har opptrådt grovt uaktsomt. Det skal blant annet legges vekt på om slike krav til forsiktighet og egenkontroll som med rimelighet kan stilles til brukere av nettbaserte betalingstjenester, er blitt klart tilsidesatt, og på om betalingstjenesten gir slik sikkerhet mot feilbruk eller misbruk som en bruker eller allmennheten med rimelighet kunne vente. I fjerde og femte ledd foreslås regler som innebærer at kunden ikke skal være ansvarlig for tap som oppstår etter at institusjonen er underrettet om forhold som skaper særlig fare for misbruk, men likevel skal være fullt ut ansvarlig for tapet hvis kunden har opptrådt forsettlig eller utvist svik. Kunden skal også bære hele tapet ved overføringen hvis han eller hun har unnlatt å underrette institusjonen etter å ha fått kunnskap om feilbruk eller misbruk. I sjette ledd foreslås en bestemmelse om at institusjonen kan kreve tilbakebetaling av en tredje­person for midler som denne urettmessig har mottatt som følge av feilbruk eller mis­bruk av betalingstjeneste, og tilbakebetalt beløp som overstiger institu­sjonens tap, skal benyttes til å dekke kundens andel av tapet.

I ny §§ 37 c og 37 d foreslås regler om lemping, reklamasjon og tilbakeføring som i det vesentlige svarer til bestemmelsene i §§ 36 og 37 i den gjeldende finansavtaleloven. Banklovkommisjonen går i denne forbindelse ikke nærmere inn på reglene i artiklene 58 og 59 i betalingstjenestedirektivet. Banklovkommisjonen drøfter heller ikke partenes plikter etter artiklene 56 og 57 i direktivet.

15.5 Arbeidsgruppens forslag

Arbeidsgruppen foreslår i delrapport I punkt 17.5.1 side 153 flg. at reglene i direktivet om plikter og ansvar for kunde og institusjon ved uautoriserte betalingstransaksjoner gjennomføres i norsk rett. Pliktene foreslås lovfestet i § 34. Det foreslås en samlet regulering av ansvar ved andres misbruk i finansavtaleloven § 35, og en generell ansvarsbegrensning på 12 000 kroner ved misbruk som skjer ved bruk av elektroniske betalingsinstrumenter. Dette vil også omfatte nettbank. Den gjeldende særlige bestemmelsen om misbruk av betalingskort i § 35 foreslås ikke videreført, siden kort blir omfattet av den samlede reguleringen nevnt foran.

Muligheten etter artikkel 53 nr. 3 for begrensninger med hensyn til e-penger når det gjelder instrumenter og kontoer av en viss verdi, foreslås ikke benyttet, da arbeids­grup­pen mener at en slik regel vil være rettsteknisk vanskelig, og viser til at det ikke er foreslått i Danmark eller Sverige.

Arbeidsgruppen foreslår at reglene om misbruk fortsatt skal gjelde for kort som omfattes av kredittkjøpsloven § 13, altså en videreføring av gjeldende rett. Dette vil omfatte også slike kort som benyttes i begrensede nettverk.

Når det gjelder Banklovkommisjonens forslag i NOU 2008: 21, mener tre av medlemmene i arbeidsgruppen – Kvam, Pedersen og Veel Midtbø – at betalingstjenestedirektivet er til hinder for en felles regulering av andres misbruk og egne feil, slik Banklovkommisjonens foreslår, jf. også punkt 17.1 i delrapport I. Det vises i punkt 17.5.1 side 154 til at dette ville innebære en for utydelig og usystematisk gjennomføring av direktivet, som bygger på en helt ulik systematikk når det gjelder egne feil og andres misbruk. De tre øvrige medlemmene – Behringer, Gjedrem og Sletner – mener direktivet ikke nødvendigvis er til hinder for en slik felles regulering, men går likevel inn for å regulere andres misbruk for seg. Det vises til at arbeidsgruppens forslag i realiteten er svært likt Banklovkommisjonens forslag. Arbeidsgruppens forslag er altså enstemmig når det gjelder andres misbruk.

Når det gjelder gjennomføringen av direktivets bestemmelser om institusjonens og kundens plikter og om sperring av betalingsinstrumenter mv., heter det følgende i delrapport I punkt 17.5.2.1 side 155:

«Arbeidsgruppen foreslår for det første å lovfeste partenes plikter i forbindelse med betalingsinstrumenter etter direktivet artikkel 56 og 57 i egne nye bestemmelser i finansavtaleloven. Det vil innebære at handlingsnormer som i dag er nedfelt i avtaler, og som uaktsomhetsvurderingen bygger på, vil komme til uttrykk direkte i loven. Både i det danske lovforslaget §§ 59 og 60 og det svenske forslaget til lag om betal­tjänster 4. kap. 3 § og 4 § er forpliktelsene for kunde og institusjon foreslått tatt inn.

Forpliktelsene bør komme til uttrykk i loven, siden de følger av betalings­tjeneste­direktivet og ansvarsvurderingen etter reglene i artikkel 61 bygger på dem. I tillegg foreslår arbeidsgruppen å lovfeste bestemmelsen i artikkel 55 om adgangen til å avtale belastningsgrenser og om sperring av betalingsinstrumenter. Det er nødvendig for å gjennomføre direktivet at regler om dette kommer til uttrykk i lovteksten, og ikke bare i institusjonenes avtaler med kundene. »

Når det gjelder artikkel 60 om institusjonens ansvar, heter det følgende i delrapport I punkt 17.5.2.2 side 155-156:

«Utgangspunktet etter artikkel 60 nr. 1 i direktivet er at institusjonen må betale tilbake beløpet for enhver urettmessig betalingstransaksjon, dvs. transaksjoner der kunden ikke har gitt samtykke til at det skal gjennomføres en betalingstransaksjon overhodet. Dette er samme løsning som etter §§ 34 og 35 i den gjeldende finansavtaleloven. Arbeidsgruppen foreslår en uttrykkelig lovfesting av dette utgangspunktet, selv om det ikke vil innebære noen endringer i forhold til det som allerede gjelder, jf. lov­forslaget § 35 første ledd første punktum.

Artikkel 60 nr. 2 bestemmer at det kan fastsettes ytterligere økonomisk kompensasjon i den grad dette følger av nasjonale regler som får anvendelse for avtaleforholdet. Dette vil i praksis være aktuelt for renter. I norsk rett følger det av finansavtaleloven § 37 første ledd at institusjonen i tillegg til å betale tilbake beløpet, skal erstatte rentetap fra belastningstidspunktet. Dette er det altså allerede regler om i norsk rett, som direktivet åpner for å beholde. Arbeidsgruppen foreslår derfor at de norske reglene om dette videreføres.»

Det foreslås å gjennomføre artikkel 61 nr. 1 om egenandelsansvar for kunden i finansavtaleloven § 35 annet ledd slik at kunden skal være ansvarlig for en egenandel på 1200 kroner for uautoriserte betalingstransaksjoner når personlig sikkerhetsanordning er benyttet og kunden ikke har beskyttet denne. Om dette heter det følgende i punkt 17.5.2.3 side 156 flg.:

«Regelen i artikkel 61 nr. 1 om et egenandelsansvar for kunden må gjennomføres i norsk rett. Som nevnt i punkt 17.3.3, legges det til grunn at direktivet artikkel 61 nr. 1 i lys av 61 nr. 3 må forstås slik at bestemmelsen tar sikte på transaksjoner der person­lig kode eller lignende personlig sikkerhetsanordning er benyttet. I Danmark og Sverige er det i utredningene om gjennomføring av direktivet foreslått en regulering som innebærer at personlig kode eller lignende sikkerhetsanordning må være benyttet for at kunden skal bli ansvarlig for en egenandel, se det danske lovforslaget § 62 stk. 2 og 4 § i det svenske lovforslaget i Ds 2008:86 side 39.

Arbeidsgruppen foreslår en tilsvarende regel. For betalingskort blir regelen i realiteten da den samme som etter gjeldende rett, dvs. at egenandelsansvaret bare vil gjelde der personlig kode eller lignende sikkerhetsanordning knyttet til et betalingsinstrument er benyttet. Til forskjell fra den nåværende bestemmelsen i finansavtaleloven § 35 første ledd, vil bestemmelsen som foreslås ha et videre anvendelsesområde fordi den vil gjel­de alle betalingsinstrumenter, noe direktivet krever. Regelen vil gjelde alle betalings­­transaksjoner, dvs. også transaksjoner over internett. En CVC-kode og lignende koder skrevet inn på et betalingskort, vil imidlertid ikke være å anse som en personlig sikkerhetsanordning. Kunden vil dermed ikke bli ansvarlig for en egenandel hvis bare slike koder er benyttet ved transaksjonen. Hvis imidlertid betaling på internett skjer ved misbruk av en personlig sikkerhetsanordning som for eksempel en digipasskode eller lignende, vil regelen om egenandel gjelde.

En viktig reservasjon er imidlertid at regelen om egenandel bare skal gjelde der kunden har unnlatt å beskytte de personlige sikkerhetsanordningene knyttet til instrumentet, jf. om tolkingen av direktivet i punkt 17.3.3. Hvis en tredjeperson har «hacket» seg inn i en nettbank uten fysisk å ha fått tilgang til de personlige sikkerhets­anordningene knyttet til nettbanken, vil kunden dermed ikke bli ansvarlig for noen egenandel. Dette er en lignende løsning som etter det svenske lovforslaget 4 § annet punktum, se Ds 2008: 86 side 39. For betalingskort vil denne reservasjonen formelt sett innebære en endring til kundens fordel sammenlignet med gjeldende rett, ettersom det etter gjeldende rett ikke er noen betingelse for å holde kunden ansvarlig for en egen­andel at kunden har unnlatt å beskytte de personlige sikkerhetsanordningene knyttet til kortet. I praksis antar arbeidsgruppen likevel at reservasjonen vil ha mindre betydning for betalingskort. Er et kort misbrukt med bruk av personlig kode og hendelsesforløpet uklart, vil man på samme måte som etter dagens praksis måtte falle ned på en konkret vurdering for å fastslå om kunden skal svare med egenandel.

Den svenske løsningen som det er referert til foran forutsetter at bevisbyrden for at personlige sikkerhetsanordninger ikke har blitt beskyttet, skal ligge på kunden. Arbeidsgruppen finner det ikke aktuelt å gi en tilsvarende regel om bevisbyrde i Norge. Slike bevisbyrderegler er ikke vanlige i norsk rett. Arbeidsgruppen mener at man i tråd med dette bør basere seg på alminnelige ulovfestede bevisbyrderegler da dette vil gi mulighet for å vurdere hvert enkelt tilfelle ut fra omstendighetene i saken. En slik regel vil sikre at man vil kunne nå mest mulig rimelige resultater i enkeltsaker. I tråd med de alminnelige prinsippene for bevisbyrde i norsk rett, vil bevisvurderingen måtte skje ut fra de konkrete omstendighetene i saken, som kan ligge forskjellig an. Dette taler for at man ikke lovfester noen særskilte bevisbyrderegler om dette.

For å gjennomføre direktivet artikkel 59 nr. 1, må det imidlertid lovfestes at hvis kunden benekter å ha godkjent en betalingstransaksjon, er det institusjonen som har bevisbyrden for at transaksjonen ble autentisert, korrekt registrert og bokført og ikke påvirket av teknisk svikt eller lignende. Denne regelen gjelder imidlertid ikke spørsmålet om kunden har beskyttet de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet, men bare at institusjonen må påvise at en transaksjon faktisk har blitt gjennomført.

I realiteten går arbeidsgruppens forslag i det vesentlige ut på samme løsning som Banklovkommisjonen har foreslått i NOU 2008: 21, se Banklovkommisjonens lov­forslag § 37b første ledd første punktum og forslaget om videreføring av finans­avtale­loven § 35 første ledd. Som nevnt under punkt 17.5.1 gir arbeidsgruppens forslag en rettsteknisk enklere løsning, som etter medlemmene Kvam, Pedersen og Veel Midtbøs syn også er nødvendig for en tydelig gjennomføring av direktivet, jf. at Banklov­kom­misjonen viser til arbeidsgruppens vurdering av direktivet på side 88 i utredningen. Det dreier seg om et direktiv som i utgangspunktet er fullharmonise­rende, og man bør derfor legge seg nært opp til direktivets ordlyd og systematikk for å sikre at de norske reglene som gjennomfører direktivet innholdsmessig blir fullt ut samsvarende med direktivet. Banklovkommisjonen har i § 37b første ledd annet punktum foreslått særskilte unntak fra egenandelsansvaret for kunden i tilfeller der tapet skyldes at institusjonens nettbaserte betalingstjeneste ikke byr den sikkerhet mot misbruk som en bruker eller allmennheten med rimelighet kunne vente, eller at en tredjeperson ved inntregning i elektronisk nettverk, grov tvang eller lignende handlemåte urettmessig har skaffet seg tilgang til nødvendig brukerlegitimasjon eller endret det betalings­oppdrag kunden har gitt. Medlemmene Kvam, Pedersen og Veel Midtbø vil påpeke at Banklovkommisjonen med dette opererer med andre kategorier av unntak enn de som følger av direktivet, og som vanskelig lar seg forene med direktivets ordlyd i artikkel 61 nr. 1. Disse medlemmene mener det kunne skape tvil om man har gjennomført direktivet korrekt dersom det oppstilles slike kategorier av unntak. En slik tvil ville være uheldig. Videre er det i seg selv noe uklart hva som nærmere er forholdet mellom de ulike begrensningene som er foreslått av Banklovkommisjonen. Disse medlemmene går på denne bakgrunn inn for at man legger seg nærmere opp til systematikken og ordlyden i direktivet.

Medlemmene Behringer, Gjedrem og Sletner er ikke enige i synspunktene gjengitt i avsnittet over. Disse medlemmene mener at Banklovkommisjonens unntak som nevnt over, vil være forenlig med direktivet. Det er ikke krav om at man følger direktivets ordlyd ved gjennomføringen. Det er direktivets innhold som må gjennomføres i norsk rett. Disse medlemmene slutter seg derfor til forslaget om å legge lovteksten nærmere opp til direktivets systematikk, og viser til at realiteten i et slikt forslag ikke vil være så forskjellig fra Banklovkommisjonens. Arbeidsgruppen står altså, som også tidligere nevnt, samlet bak lovforslaget om andres misbruk.

Hvis det er holdepunkter for at en betalingstransaksjon skyldes feil i systemet eller at en tredjeperson har tvunget kunden eller trengt seg inn i et elektronisk nettverk, vil tapet ikke kunne sies å skyldes at kunden ikke har beskyttet de personlige sikkerhets­anordningene knyttet til betalingsinstrumentet og kunden vil ikke bli ansvarlig for en egenandel etter arbeidsgruppens forslag.

Direktivet artikkel 61 nr. 1 bestemmer at egenandelen skal settes til maksimum 150 euro. Egenandelen for kunden kan altså ikke settes høyere enn dette. Arbeidsgruppen foreslår at egenandelen for kunden settes til 1 200 kroner. Dette vil sikre at ansvaret med stor sannsynlighet aldri vil overstige 150 euro uavhengig av svingninger i vekslingskurs. Banklovkommisjonen har foreslått å sette grensen til 1 200 kroner for nettbaserte betalingstjenester, og reiser spørsmålet om grensen bør heves også for betalingskort, men anser dette å ligge utenfor kommisjonens mandat, jf. NOU 2008: 21 punkt 6.2.3 side 87. Arbeidsgruppen mener at det i lys av tiden som er gått siden finansavtalelovens ikrafttredelse er grunn til å justere beløpsgrensen også for kort, og når man nå får en generell regel om egenandel for alle betalingsinstrumenter er det naturlig å sette samme beløpsgrense for alle. Dette innebærer også en forenkling av regelverket.»

Arbeidsgruppen foreslår en ansvarsbegrensning for kunden på 12 000 kroner i tilfeller av misbruk der tapet skyldes at kunden grovt uaktsomt har brutt sine plikter til blant annet å beskytte personlige sikkerhetsanordninger knyttet til betalingsinstrumentet, og misbruket har skjedd ved bruk av et elektronisk betalingsinstrument. Lempingsregelen i finansavtaleloven § 36 foreslås videreført med visse justeringer på grunn av direktivet. I delrapport I punkt 17.5.2.4 heter det følgende om disse spørsmålene på side 158 flg.:

«I tredje ledd i finansavtaleloven § 35 foreslår arbeidsgruppen å innta en bestem­melse om kundens ansvar der han eller hun har muliggjort tapet ved en urettmessig betalings­transaksjon ved grov uaktsomhet eller forsett, eller ved å handle svikaktig. Direktivets utgangspunkt i artikkel 61 nr. 2 er at kunden skal bære hele tapet ved urettmessige betalingstransaksjoner hvis tapet skyldes at kunden har utvist svik, eller forsettlig eller uaktsomt brutt sine plikter etter artikkel 56, dvs. plikten til å følge avtalevilkårenes bestemmelser om bruk av betalingsinstrumentet og beskyttelse av personlig kode, samt plikten til å underrette institusjonen uten ugrunnet opphold ved oppdagelse av at betalingsinstrumentet er kommet bort eller blitt misbrukt. Selv om det ikke er opplagt ut fra ordlyden i direktivet, som kan tale for at ansvaret bare kan settes ned etter konkret lempingsvurdering, har arbeidsgruppen under punkt 17.3.3 lagt til grunn at artikkel 61 nr. 3, i samsvar med vurderingen i Sverige og Danmark, åpner for å sette en generell beløpsbegrensning for kundens ansvar ved grov uaktsomhet.

Har kunden handlet forsettlig eller svikaktig, kan ansvaret ikke begrenses i medhold av artikkel 61 nr. 3. Dette vil ikke medføre noen endring sammenlignet med gjeldende rett, hvor kunden også i dag er fullt ut ansvarlig for tap som skyldes forsett eller svik.

I utgangspunktet er det rimelig at en kunde som har handlet grovt uaktsomt, må ta et stort ansvar for økonomisk tap som oppstår på grunn av dette. Dette er reflektert i hovedregelen i finansavtaleloven § 34 første ledd, som bestemmer at kunden må bære hele tapet hvis andres misbruk er muliggjort ved grov uaktsomhet. Det er imidlertid for misbruk av betalingskort gitt særlige regler, som begrenser kundens ansvar til 8000 kroner selv i slike tilfeller. Finansavtaleloven § 35 sjette ledd gir hjemmel for å utvide anvendelsesområdet for reglene til andre betalingsinstrumenter, men dette har ikke vært gjort. Selv om en kunde som har opptrådt grovt uaktsomt har opptrådt svært klanderverdig, kan det samtidig pekes på samfunnsøkonomiske grunner som kan tale for en ansvarsbegrensning selv i slike tilfeller. Ved bruk av andre kort og andre betalingsinstrumenter fremfor kontanter, begrenses kostnadene for institusjonene ved kontanthåndtering og risikoen for ran. Det er gunstig for samfunnet å legge til rette for at man kan benytte elektroniske betalingsinstrumenter uten å risikere å rammes av store tap. Institusjonene kan pulverisere sitt tap ved spredning på kundene.

I Danmark er det ved gjennomføringen av betalingstjenestedirektivet foreslått å beholde den gjeldende ansvarsgrensen for kunden på 8000 danske kroner ved grov uaktsomhet, se det danske forslaget til § 62 stk. 3 og 4. De danske reglene gjelder alle betalingsinstrumenter, dvs. de er ikke begrenset til betalingskort. I Sverige er det i dag ingen ansvarsbegrensning for kunden ved grov uaktsomhet, jf. Ds. 2008: 86 punkt 4.4 side 26. Ved gjennomføringen av betalingstjenestedirektivet foreslås imidlertid å innføre en ansvarsbegrensning på 12 000 svenske kroner ved grov uaktsomhet hos kunden. Regelen foreslås å skulle gjelde uansett hva slags betalingsinstrument som er benyttet ved transaksjonen, jf. Ds 2009:86 punkt 4.4 side 25 der det angis at reglene bør være nøytrale med hensyn til ulike måter å betale på, og derfor bør gjelde for alle betalingsinstrumenter. Etter det arbeidsgruppen har forstått om finsk rett, er kunden i dag ansvarlig for hele tapet allerede i tilfeller der vedkommende har utvist alminnelig uaktsomhet. Ved gjennomføring av direktivet vil det derfor sannsynligvis bli en endring i finsk rett ved at kunden blir fullt ansvarlig først ved grov uaktsomhet. Det synes på denne bakgrunn ikke aktuelt for Finland å innføre noen ansvarsbegrensning for kunden ved grov uaktsomhet.

Etter arbeidsgruppens syn bør den gjeldende norske regelen om begrensning av ansvaret for kunden ved grov uaktsomhet når det gjelder betalingskort, videreføres med de tilpasninger betalingstjenestedirektivets regulering krever, nemlig at aktsomhetsvurderingen i lovteksten knyttes til kundens forpliktelser etter artikkel 56. Regelen om ansvarsbegrensning ved grov uaktsomhet har fungert godt i praksis, og gir en balansert helhetsløsning. Også Banklovkommisjonen foreslår i NOU 2008: 21 å videreføre ansvarsbegrensningen for kunden ved grov uaktsomhet, jf. redegjørelsen for forslaget i punkt 17.4. I Ot.prp. nr. 41 (1998-99) punkt 8.7.4 side 43 ble det vurdert om regelen burde gis anvendelse også for andre elektroniske betalings­instrumenter enn kort, og vist til at de hensynene som begrunner en særlig regulering for betalingskort, også i stor grad gjør seg gjeldende for andre elektroniske betalings­instrumenter som bruk av telefon eller datanett. Det har i dag vært enkelte tilfeller i praksis av misbruk av konto ved bruk av nettbank, se omtalen av praksis fra Bank­klagenemnda i NOU 2001: 28 punkt 6.3.2 side 95. Som nevnt i punkt 17.4, legger Banklovkommisjonen til grunn at det er en reell risiko for misbruk av nettbaserte betalingstjenester, jf. NOU 2008: 21 punkt 6.1.3 side 79. Arbeidsgruppen antar at risikoen ikke er like stor for misbruk av slike instrumenter som for misbruk av betalingskort. Gruppen er likevel enig med Banklovkommisjonen i at det kan ventes en utvikling der stadig flere vil benytte nettbaserte betalingstjenester, og i lys av dette kan det være rimelig å fastsette de samme reglene for slike instrumenter som for betalingskort. I likhet med betalingskort vil det for andre elektroniske betalings­instrumenter kunne være personlige sikkerhetsanordninger knyttet til instrumentet, som kan være utsatt for misbruk. Risikoen for at slike sikkerhetsanordninger skal komme på avveie fra kunden er nok noe mindre enn for koder knyttet til betalings­kort. Arbeidsgruppen vil likevel anta at vilkårene for å sette ned ansvaret ved grov uaktsomhet etter direktivet artikkel 61 nr. 3 er oppfylt også for andre elektroniske betalingsinstrumenter enn kort. Det vises til at dette er foreslått både i Sverige og Danmark, jf. ovenfor.

Med elektroniske betalingsinstrumenter mener arbeidsgruppen instrumenter som muliggjør at betalingsordre kan leveres til betalingsinstitusjoner via elektroniske nettverk, som for eksempel internett eller mobilnett. Når det gjelder betalings­instru­menter som ikke er elektroniske, for eksempel bankgiro og brevgiro, synes direktivet å være til hinder for en ansvars­begrensning for kunden ved grov uaktsomhet. Etter direktivet artikkel 61 nr. 3 må en nedsetting av ansvaret skje ut fra en vurdering av de personlige sikkerhets­anordningene knyttet til betalingsinstrumentet. Det er ingen sikkerhetsanordninger av denne typen knyttet til papirbaserte giroer, i motsetning til elektroniske betalings­instrumenter som kort, telefonbank, nettbank og lignende. Direk­tivet synes dermed ikke å gi grunnlag for en ansvarsbegrensning ved grov uakt­somhet for slike betalings­instrumenter. I tillegg kommer at risikoen for misbruk er betydelig mindre for slike instrumenter, jf. at Banklovkommisjonen i NOU 2008:21 punkt 3.5.2 side 45 legger til grunn at dagens regler om misbruk i finansavtaleloven § 34, som pålegger fullt ansvar for kunden ved grov uaktsomhet, fungerer godt for betalingsoverføringer ved bruk av giro som ikke innleveres over et nettbasert system. Banklovkommisjonen foreslår ingen ansvarsbegrensning ved grov uaktsomhet for slike betalings­instrumenter. Etter dette foreslår arbeidsgruppen at ansvarsbegrens­ningen ved grov uaktsomhet bare skal gjelde ved misbruk av elektroniske betalings­instrumenter. Dette er i tråd med Banklovkommisjonens forslag i realiteten, siden kommisjonens forslag bare gjelder nettbaserte betalingsoverføringer samtidig som bestemmelsen om betalingskort, som også er et elektronisk betalingsinstrument, foreslås videreført.

Etter dette foreslår arbeidsgruppen at hvis kunden har lidt tap ved en urettmessig betalingstransaksjon fordi han eller hun har handlet svikaktig, eller forsettlig unnlatt å oppfylle sine forpliktelser etter bestemmelsen om plikter i § 34 i lovforslaget, skal kunden bære hele tapet ved den urettmessige transaksjonen. Denne bestemmelsen skal gjelde alle betalingsinstrumenter. Har betalingstransaksjonen skjedd ved bruk av et elektronisk betalingsinstrument, og kunden har brutt sine plikter etter § 34 ved grov uaktsomhet, skal ansvaret likevel være begrenset til 12 000 kroner. Dette er den sam­me beløpsbegrensningen som er foreslått i Sverige, se lovforslaget 5 § i Ds 2008: 86 punkt 7.1 side 41. Det er også den samme grensen som Banklov­kommi­sjonen foreslår i NOU 2008: 21, se forslaget til ny § 37b annet ledd i finansavtale­loven. Etter arbeids­gruppens syn kan det være rimelig at man ved gjennomføringen av betalings­tjeneste­direktivet oppjusterer den gjeldende beløpsbegrensningen på 8000 kroner etter finans­avtaleloven § 35 annet ledd bokstav a. Beløpsbegrensningen ved grov uaktsom­het vil ikke gjelde ved bruk av betalingsinstrumenter som ikke er elektroniske, jf. over.

Arbeidsgruppen bemerker at når det gjelder tilfeller der kunden unnlater å underrette institusjonen om at et betalingsinstrument har kommet bort eller har blitt misbrukt, vil kunden etter gjennomføringen av direktivet bare kunne bli ansvarlig der det er utvist grov uaktsomhet, i motsetning til etter gjeldende rett for betalingskort, der kunden blir ansvarlig for 8000 kroner allerede ved alminnelig uaktsomhet i slike tilfeller, jf. finans­­avtaleloven § 35 annet ledd bokstav b, jf. NOU 1994: 19 side 145. For annet misbruk, regulert i finansavtaleloven § 34, er det ingen særlig regel om ansvars­begrens­ning ved manglende underretning. I slike tilfeller vil kunden bli fullt ansvarlig uten beløpsbegrensning, men bare hvis det foreligger grov uaktsomhet.

Direktivet gjør ansvar utover egenandelen etter artikkel 61 nr. 1 generelt betinget av at kunden har utvist grov uaktsomhet eller mer alvorlige skyldgrader, dvs. også for plikten til å underrette institusjonen, jf. artikkel 61 nr. 2, jf. artikkel 58 nr. 1 bokstav b. Etter direktivet kan kunden ilegges et ubegrenset ansvar hvis det først er utvist grov uaktsomhet med hensyn til slik underretning. Arbeidsgruppen foreslår likevel at ansvaret for kunden på samme måte som i andre tilfeller av grov uaktsomhet begren­ses til 12 000 kroner, jf. artikkel 61 nr. 3. Kundens stilling blir altså forbedret ved gjennomføringen av direktivet ved at beløpsbegrensningen for ansvaret ved mang­lende underretning beholdes, samtidig som terskelen for ansvar heves til grov uaktsom­het.

Banklovkommisjonen foreslår å regulere i ny § 37b tredje ledd i finansavtaleloven enkelte momenter som det skal legges vekt på ved aktsomhetsvurderingen, blant annet sikkerheten ved den nettbaserte betalingstjenesten.

Medlemmene Kvam, Pedersen og Veel Midtbø finner at direktivet er til hinder for å lovfeste noen slik angivelse av elementer i aktsomhetsvurderingen, jf. at fortalen til direktivet punkt 33 viser til at det skal foretas en helhetsvurdering av alle relevante omstendigheter. Etter direktivet artikkel 61 nr. 3 skal videre vurderingen av om kunden har vært grovt uaktsom, knyttes til kundens forpliktelser etter artikkel 56, dvs. blant annet til forpliktelsene etter avtalen og plikten til å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet. Banklovkommisjonens forslag til angivelse av momenter er av en helt annen karakter. De samme medlem­mene finner ikke holdepunkter i direktivet for å lovfeste slike momenter. Fortalen punkt 33 viser imidlertid til at den konkrete uaktsomhetsvurderingen overlates til nasjonal rett. På samme måte som etter gjeldende rett vil vurderingen av grov uaktsomhet bero på en helhetsvurdering ut fra forholdene i det enkelte tilfellet. I denne konkrete vurderingen vil også slike elementer som Banklovkommisjonen nevner etter omstendighetene kunne komme inn, men direktivet er til hinder for å lovfeste konkrete enkeltelementer som det skal legges vekt på ved vurderingen.

Medlemmene Behringer, Gjedrem og Sletner mener at direktivet ikke er til hinder for å lovfeste slike momenter som Banklovkommisjonen har foreslått. Elementene vil helt naturlig inngå i en slik helhetsvurdering direktivet legger opp til og må derfor anses å ligge innenfor rammene av direktivet. Listen med kriterier som er foreslått av Banklovkommisjonen er ikke ment å være uttømmende, slik at det åpnes for at også andre momenter vil kunne vektlegges, gitt den konkrete situasjonen. Det vises igjen til at det ikke er direktivets ordlyd, men direktivets innhold som skal gjennomføres i norsk rett. Medlemmene finner likevel å kunne slutte seg til at de ikke lovfestes i sammenheng med reguleringen av andres misbruk, når gruppen har valgt å skille reguleringen av andres misbruk og egne feil.

En samlet arbeidsgruppe foreslår å lovfeste bestemmelsen i artikkel 59 nr. 2, som sier at det ikke skal være tilstrekkelig for å bevise at kunden har opptrådt grovt uaktsomt, forsettlig eller utvist svik, at et betalingsinstrument er benyttet. I likhet med etter gjel­dende norsk rett vil man altså ikke kunne legge til grunn at det foreligger grov uakt­som­het alene av den grunn at et betalingsinstrument er benyttet, det må kreves sær­skilte holdepunkter for dette, jf. punkt 17.2.2 om forarbeidene til finansavtaleloven.

Videre foreslår arbeidsgruppen å gjennomføre direktivet artikkel 61 nr. 4 om at kunden ikke er ansvarlig for tap som oppstår etter at institusjonen er underrettet om at betalingsinstrumentet er kommet bort eller misbrukt i finansavtaleloven § 35 fjerde ledd, første punktum. Dette er samme regel som følger av nåværende § 34 tredje ledd, jf. § 35 fjerde og femte ledd. Begrensningen skal etter direktivet ikke gjelde der betaleren har opptrådt svikaktig. Dette vil innebære en viss oppmyking av den norske reguleringen, der begrensningen ikke gjelder allerede der kunden har opptrådt forsettlig, jf. finansavtaleloven § 34 tredje ledd annet punktum og § 35 femte ledd.

Direktivets regler i artikkel 55 om at det kan avtales belastningsgrenser for betalings­instrumenter, må lovfestes i norsk rett, jf. også punkt 17.5.2.1. Dette innebærer ingen realitetsendring ettersom slike belastningsgrenser kan avtales også i dag. Direktivet inneholder imidlertid ikke bestemmelser om at kunden ikke skal bære tap ved urett­messige belastninger som overstiger belastningsgrenser for betalings­instrumentet eller kontoen, sml. finansavtaleloven §§ 34 annet ledd og 35 tredje ledd. Disse bestem­mel­sene kan ikke opprettholdes etter gjennomføringen av direktivet. Ved at arbeidsgrup­pen foreslår en ansvarsbegrensning for kunden på 12 000 kroner også ved nettbasert betalingsoverføring, synes ikke dette å få særlig praktisk betydning.

Finansavtaleloven inneholder ingen bestemmelse som direktivet artikkel 61 nr. 5 om at kunden ikke skal være ansvarlig for tap hvis institusjonen ikke har sørget for at kunden kan melde fra om at et betalingsinstrument er kommet bort eller misbrukt, jf. institusjonens plikt til å sørge for dette etter artikkel 57 nr. 1 bokstav c. Arbeids­gruppen foreslår å innta en slik bestemmelse i finansavtaleloven § 35 fjerde ledd annet punktum. På samme måte som etter artikkel 61 nr. 4 vil kunden likevel være fullt ansvarlig hvis han eller hun har opptrådt svikaktig.

Direktivet må anses å gi grunnlag for en bestemmelse om begrensning av kundens ansvar, jf. artikkel 61 nr. 3 og ovenfor. Denne bestemmelsen synes også å gi grunnlag for lemping i et konkret tilfelle. Arbeidsgruppen antar imidlertid at direktivets ordlyd i artikkel 61 nr. 3 er til hinder for at lempingsregelen gis anvendelse i tilfeller der kun­den har utvist forsett eller svik. Med denne endring foreslås det ellers i det vesent­lige å videreføre regelen i den gjeldende finansavtaleloven § 36. Dette er i hovedsak i tråd med forslaget fra Banklovkommisjonen i NOU 2008: 21, se lov­forslaget § 37c. Etter­som man har foreslått en ansvarsbegrensning i norsk rett på 12 000 kroner selv i tilfeller av grov uaktsomhet og i den vurderingen tatt hensyn til momentene i artikkel 61 nr. 3, må det legges til grunn at det vil kreve spesielle omstendigheter for å kunne lempe ansvaret ytterligere etter § 36. Etter § 36 kan det ved vurderingen av lemping tas i betraktning også andre omstendigheter enn dem som er særskilt nevnt som rele­vante for nedsetting av ansvaret etter artikkel 61 nr. 3. Ettersom direktivet gjør det klart at også andre momenter kan komme i betraktning ved denne vurderingen, jf. uttrykket «in particular», er det etter arbeidsgruppens syn ikke noe i veien for å opp­rettholde § 36 med den angivelse av relevante forhold som denne bestemmelsen inne­holder. For å sikre en tydelig gjennomføring av direktivet bør man imidlertid ta med de momenter som fremgår av artikkel 61 nr. 3 i tillegg til de forhold som er nevnt i bestemmelsen i dag. I den grad disse vil overlappe, kan dette ikke anses problematisk.»

Når det gjelder reklamasjon og tilbakeføring i tilfeller av uautoriserte betalingstransaksjoner, foreslår arbeidsgruppen å gjennomføre direktivet artikkel 58 om reklamasjon ved endringer i finansavtaleloven § 37 første ledd. Det antas ellers at de gjeldende reglene i denne paragrafen om prosessen i saker om andres misbruk kan videreføres etter gjennomføringen av direktivet. Videre foreslår arbeidsgruppen å lovfeste en regel foreslått av Banklovkommisjonen i NOU 2008: 21 om at institusjonen skal kunne kreve tilbake av tredjeperson betalingsmidler som han eller hun urettmessig har mottatt som følge av en uautorisert eller feilaktig betalingstransaksjon.

I delrapport I punkt 17.5.2.5 heter det på side 163 flg. om de nevnte spørsmålene:

«Direktivets regel om reklamasjon i artikkel 58 må gjennomføres i norsk rett. Bestem­melsen er i det vesentlige samsvarende med finansavtaleloven § 37 første ledd, men bestemmelsen må endres slik at den vil oppstille direktives absolutte reklamasjonsfrist på 13 måneder. I praksis må det antas at endringen vil ha liten betydning, da kunden som regel vil bli oppmerksom på en urettmessig betalingstransaksjon før det har gått så lang tid. Etter direktivets regel er det imidlertid ikke tilstrekkelig for at kundens reklamasjonsplikt skal oppstå at kunden burde ha fått kjennskap til den urettmessige transaksjonen, det kreves at kunden faktisk har fått slik kjennskap. Dette er en bedre regel for kunden enn gjeldende rett.

Finansavtaleloven inneholder i § 37 annet og tredje ledd egne regler om prosessen i saker om andres misbruk av konto. Reglene legger prosessbyrden på institusjonen, som må bringe en sak inn for domstol eller klagenemnd innen fire uker fra mottaket av kundens krav. Etter direktivet artikkel 60 nr. 1 skal institusjonen tilbakebetale til kunden beløpet for en urettmessig betalingstransaksjon «umiddel­bart». Dette kunne tale mot at man kan ha en regel som den norske om at institusjonen har fire uker på seg til å bringe sak mot kunden hvis den mener at transaksjonen er urettmessig, og mot at institusjonen kan trekke fra egenandelen fra beløpet som tilbakebetales. Samtidig er imidlertid ikke innholdet av begrepet «umiddelbart» nærmere klarlagt i direktivet, men det følger av artikkel 60 nr. 1 at plikten til å gjennomføre tilbake­betaling innen denne fristen bare gjelder der det foreligger en urettmessig betalings­transaksjon. Av dette sammenholdt med reguleringen av kundens ansvar i artikkel 61 fremgår det at det vil være tilfeller der institusjonen ikke er ansvarlig for en urett­messig betalingstransaksjon, og at institusjonen må gis en mulighet til å undersøke om dette er tilfelle før beløpet for transaksjonen tilbake­betales til kunden. Etter arbeids­gruppens syn kan direktivet, med tanke på en praktisk gjennomføring av oppgjøret mellom partene, forstås slik at man kan beholde de gjeldende reglene om prosess­byrde i finansavtaleloven § 37. Man kan se det slik at direktivet ikke regulerer dette utover å åpne for at institusjonen gis en viss tid til å finne ut om den vil anse en betalingstransaksjon som rettmessig eller ikke. Hvis institusjonen ikke kommer til dette, skal kunden ha pengene tilbake. Hensikten bak direktivet synes således å harmonere med de norske reglene. Reglene har dessuten fungert godt i praksis. Banklovkommisjonen foreslår også å videreføre dem i NOU 2008: 21, men da riktignok uten å drøfte forholdet til direktivet.

Arbeidsgruppen foreslår etter dette å endre finansavtaleloven § 37 første ledd for å gjennomføre betalingstjenestedirektivet artikkel 59 og å videreføre finansavtaleloven § 37 annet og tredje ledd med visse tekniske justeringer i andre ledd.

Banklovkommisjonen foreslår i NOU 2008: 21 en egen bestemmelse i finansavtale­loven ny § 37a sjette ledd om at institusjonen skal kunne kreve tilbake av tredjeperson betalingsmidler som han urettmessig har mottatt som følge av feilbruk eller misbruk av nettbasert betalingstjeneste. Hvis tilbakebetalt beløp overstiger institusjonens tap, skal det overskytende ifølge forslaget benyttes til å dekke kundens egenandel av tapet. Regelen skal ifølge kommisjonen forhindre at kunden blir straffet for sin skjødesløse handlingsmåte når institusjonen har lykkes i å inndrive pengene, jf. merknadene til bestemmelsen i NOU 2008: 21 side 106.

Arbeidsgruppen viser til at forholdet mellom institusjonen og en tredjeperson når det gjelder å få tilbake penger som tredjepersonen urettmessig har kommet i besittelse av, ikke synes å være regulert av direktivet, som på dette punktet bare gjelder forholdet mellom institusjonen og kunden. Etter arbeidsgruppens syn kan man derfor ha en regel som gir institusjonen uttrykkelig hjemmel for å kreve tilbakebetaling fra en tredjeperson som urettmessig har mottatt penger. En annen sak er at man nok vil anta at dette uansett følger av alminnelige rettsprinsipper. Når det gjelder Banklov­kommi­sjonens forslag om oppgjøret mellom institusjonen og kunden når institusjonen har mottatt et slikt beløp fra tredjeperson, forstår arbeidsgruppen dette slik at det bare gjelder tilfeller der ikke hele beløpet blir tilbakebetalt. Hvis hele beløpet tilbake­betales, skal dette selvfølgelig tilfalle kunden i sin helhet og det blir ikke spørsmål om noe tap. I tilfeller der bare deler av beløpet betales tilbake, er arbeidsgruppen enig med Banklovkommisjonen i at institusjonen først kan dekke sitt eget tap før eventuelt kundens eget ansvar dekkes.

Arbeidsgruppen foreslår derfor en regel i samsvar med Banklovkommisjonens forslag når det gjelder andres misbruk. Banklovkommisjonen har imidlertid foreslått at regelen også skal gjelde i tilfeller av kundens egne feil. Her pålegger direktivet i artikkel 74 nr. 2 annet avsnitt institusjonen en plikt til å gjøre rimelige forsøk på å få pengene tilbake. Dette sier imidlertid bare noe om institusjonens plikt når det gjelder å forsøke inndrivelse, og ikke noe om hvilke krav institusjonen i utgangspunktet kan gjøre gjeldende overfor tredjepersonen. Etter arbeidsgruppens syn er det derfor ingen­ting i veien for at man lovfester den regelen som er foreslått av Banklovkommisjonen og foreslår at man gjør dette også for tilfeller av kundens egne feil. I slike tilfeller blir det ikke aktuelt med prioriteringsregler mellom institusjonens tap og kundens eget ansvar, jf. at tre av arbeidsgruppens medlemmer legger til grunn at kunden i disse tilfeller er fullt ut ansvarlig etter direktivets regler [...] .»

15.6 Høringsinstansenes syn

Forbrukerombudet uttaler at han stiller seg bak utformingen av reglene vedrørende andres misbruk av konto og betalingsinstrument som foreslått i §§ 35 til 37 i arbeidsgruppens delrapport I. Også Finansdepartementet og Den norske Revisorforening synes å støtte arbeidsgruppens forslag.

Den Norske Advokatforening støtter arbeidsgruppens forslag til en samlet regulering i finansavtaleloven § 34 av plikter ved bruk av betalingsinstrumenter og i § 35 om ansvar ved andres misbruk av alle typer betalingsinstrumenter og kontoer, og legger vekt på at en felles bestemmelse om tapsregulering i § 35 vil gi en rettsteknisk oversiktlig regulering.

Forbrukerrådet støtter forslaget om å regulere partenes plikter i § 34 og adgangen til å avtale belastningsgrenser og sperring i ny § 24 a. Rådet uttaler følgende om forslaget til en egenandel for kunden på 1200 kroner:

«Forbrukerrådet ser det som en stor og viktig forbedring at reglene om ansvarsfordeling gis et videre anvendelsesområde enn i dag ved at de i tråd med direktivet skal gjelde for alle betalingsinstrumenter, dvs. uansett om transaksjonen er skjedd over internett, via mobiltelefon, ved bruk av betalingskort eller forhåndsbetalte kort eller andre elektroniske penger. Dette vil føre til en samlende og forenklet regulering.

Slik vi ser det er det videre positivt at ileggelse av egenandel forutsetter at det er benyttet en personlig sikkerhetsanordning knyttet til betalingsinstrumentet, og at den ilegges kun der kunden ikke har beskyttet sikkerhetsanordningen i tilstrekkelig grad. Vilkåret for å ilegge egenandelen blir med dette ikke fullt ut objektivt. Det må i den anledning understrekes at Forbrukerrådets utgangspunkt er at det ikke bør betales egenandel i de tilfellene der kunden ikke kan klandres. Som nevnt i rapporteksten vil dette innebære at der en tredjemann «hacker» seg inn i en nettbank, blir kunden bare ansvarlig dersom han har unnlatt å beskytte sikkerhetsanordningen.

Forbrukerrådet er derfor positive til at det må kreves at kunden kan bebreides før egenandel er aktuelt. De foreslåtte vilkårene innebærer en endring til kortkundenes fordel i forhold til dagens regelverk, som forutsetter at kortkundene må betale egenandel ved misbruk uansett skyld. Bankklagenemndas praksis viser imidlertid at kundene ofte støter på bevisproblemer mht. å sannsynliggjøre at han/hun har beskyttet kort og kode i tilstrekkelig grad:

Som eksempel kan nevnes tilfeller der betalingskort «skimmes», dvs. at data kopieres ved bruk i terminal uten at kunden oppdager det, mens passordet blir avlest eller filmet, gjerne fra avstand. For kunden vil det i slike tilfeller være vanskelig å bevise hva som skjedde i etterhånd, ettersom ulovlig utstyr som regel blir fjernet raskt etter bruk. Kunden vil i disse tilfellene få ekstra bevisproblemer i.o.m. at han fortsatt har kortet i sin besittelse, og dersom det ikke finnes vitner eller andre holdepunkter, vil det blir vanskelig å bringe på det rene hva som faktisk har skjedd.

Ofte er det i praksis være vanskelig å beskytte seg mot at andre får tak i passord under tasting, for eksempel i butikkterminaler der terminaler er lite beskyttet og åpent for titt over skulderen, og det kan stilles spørsmål om kunden overhode kan bebreides i disse tilfellene. I tillegg kommer at det i ettertid er vanskelig å bevise hva som faktisk har skjedd, bl.a. om kunden har gjort forsøk på å beskytte koden ved inntastingen. Det må i disse tilfellene foretas en konkret vurdering. Dersom det er sannsynlig at noen har tittet kunden over skulderen, for deretter å stjele kortet, vil det etter Forbrukerrådets oppfatning ikke kunne bebreides kunden og ileggelse av egenandel er ikke aktuelt. Institusjonene vil imidlertid i disse sakene, i mangel av andre plausible løsninger, bl.a. ved å vise til systemsikkerheten, hevde at kunden må ha utvist uaktsomhet mht. beskyttelse av kode og kort. Det er grunn til å tro at de samme bevisproblemene vil inntre også fremover uansett vilkårene for egenandel som nevnt ovenfor.

Forbrukerrådet ser ikke noen god begrunnelse for at egenandelen settes opp fra kr. 800,- til kr. 1200,- som foreslått. Det er ikke vist til at det er dokumentert behov for en økning av beløpet. Etter det vi kan se er det heller ikke i den anledning anført noe om hva egenandelen er ment å dekke, dvs. om den skal dekke faktiske utgifter for bankene, eller om den er ment som en sperre for kundene mht. melde fra om misbruk. Etter Forbrukerrådets oppfatning bør derfor gjeldende objektive egenandel på kr. 800,- beholdes.»

Forbrukerrådet støtter også forslaget når det gjelder begrensningen av kundens ansvar ved grov uaktsomhet, og mener det er svært viktig å lovfeste en slik ansvarsbegrensning for kunden ved elektroniske betalingsinstrumenter. Også arbeidsgruppens tolking av om direktivet åpner for å beholde prosessreglene i § 37 støttes, samt forslaget om at institusjonen skal kunne kreve tilbakebetaling av tredjeperson av beløp som denne urettmessig har mottatt. Forbrukerrådet mener imidlertid at oppjusteringen av ansvarsbeløpet ved grov uaktsomhet fra 8000 kroner til 12 000 kroner er for høy og mangler god begrunnelse.

Finansnæringens Hovedorganisasjon og Sparebankforeningen mener at betalingstjenestedirektivet er til hinder for de reglene som Banklovkommisjonen foreslår om feilbruk og misbruk av ordninger for nettbasert betalingsformidling. Når det gjelder arbeidsgruppens forslag, uttaler de to høringsinstansene at de støtter forslaget om en egenandel for kunden på 1200 kroner, men at vilkårene for en slik egenandel etter arbeidsgruppens forslag er strengere enn etter direktivet. Videre synes de to høringsinstansene å mene at direktivet artikkel 61 nr. 3 ikke åpner for en generell ansvarsbegrensning for andre betalingsinstrumenter enn betalingskort i tilfeller av grov uaktsomhet, slik arbeidsgruppen har foreslått, og at grensen uansett bør settes vesentlig høyere for nettbank enn for betalingskort, blant annet på grunn av at risikoen for misbruk av betalingskort etter deres syn er større. I høringsuttalelsen heter det om disse spørsmålene:

«Arbeidsgruppen har i utkastet til § 35 andre ledd foreslått å sette beløpsgrensen for kundens egenandelsansvar til NOK 1200 [...] for andres misbruk av betalingsinstrumenter slik begrepet definert i utkastet § 12 bokstav c). FNH og Sparebankforeningen støtter dette forslaget.

Utkastet til § 35 andre ledd stiller imidlertid strengere krav for anvendelsen av egenandelsansvaret på NOK 1200 enn det direktivet i artikkel 61 nr. 1 foreskriver. Arbeidsgruppen har i lovutkastet oppstilt tre vilkår for at kunden skal bli ansvarlig for egenandelen: 1) Betalingsinstrumentet må være tapt eller stjålet, eller det må foreligge en uberettiget tilegnelse av betalingsinstrumentet, 2) personlig kode eller lignende sikkerhetsanordning er brukt og 3) kunden må ha unnlatt å beskytte nevnte personlige sikkerhetsanordning. Vi kan ikke se at artikkel 61 nr. 1 stiller krav om at alle disse tre vilkårene skal være oppfylt samtidig. For det første gjelder vilkåret om at kunden ikke har beskyttet den personlige sikkerhetsanordning bare i tilfeller av uberettiget tilegnelse av betalingsinstrumenter (ikke ved tap eller tyveri av instrumentet). For det andre stiller direktivet ikke krav om at kunden på noen måte skal bebreides for at den personlige sikkerhetsanordning ikke er blitt beskyttet. Mens lovutkastet benytter formuleringen «unnlatt å beskytte», har direktivet uttrykt dette forholdet uten å angi tilsvarende krav om klanderverdig opptreden – nærmest en form for subjektiv skyld – hos betaleren: «…...has failed to keep the personalised security features safe, ...».

Vi foreslår følgende omformulering av lovutkastet § 35 annet ledd:

«(2) Kunden svarer med inntil kr 1200 for tap ved urettmessige betalingstransaksjoner som skyldes misbruk av et tapt eller stjålet betalingsinstrument når personlig kode eller lignende personlig sikkerhetsordning er brukt. Det samme gjelder ved uberettiget tilegnelse av et betalingsinstrument dersom kunden har mislykkes i å beskytte nevnte personlige sikkerhetsanordning.»

I utkastet til § 35 tredje ledd første punktum foreslår arbeidsgruppen en ansvarsbegrensning på NOK 12000 for urettmessige betalingstransaksjoner som skyldes at kunden grovt uaktsomt har unnlatt å følge de forpliktelser som er nevnt i § 34 første ledd om bl.a. beskyttelse av personlige sikkerhetsanordninger og underretning ved tap, tyveri mv. Utkastet er dels en videreføring av gjeldende ansvarsbegrensingsregime for andres urettmessige bruk av betalingskort etter finansavtaleloven § 35 (dog med et inflasjonsjustert maksimalansvarsbeløp), dels en betydelig utvidelse av kundenes rettsstilling for urettmessige betalingstransaksjoner iverksatt med andre elektroniske betalingsinstrumenter enn betalingskort, så som nettbanktransaksjoner.

Arbeidsgruppens forslag til ansvarsbegrensing på NOK 12000 for tap som skyldes urettmessige betalingstransaksjoner følger ikke av betalingstjenestedirektivet. Dersom kunden grovt uaktsomt har unnlatt å følge forpliktelsene etter direktivets artikkel 56 (lovutkastet § 34), skal kunden som hovedregel dekke hele tapet selv, jfr. artikkel 61 nr. 2. Etter direktivets artikkel 61 nr. 3 kan likevel ansvaret reduseres (lempes) etter en vurdering av de personlige sikkerhetsanordninger og omstendighetene knyttet til tapet mv av betalingsinstrumentet.

FNH og Sparebankforeningen er ikke enig med arbeidsgruppen som i utkastet til § 35 tredje ledd første punktum foreslår innført en generell ansvarsbegrensing på NOK 12000 også for andre betalingsinstrumenter enn betalingskort. Ansvarsbegrensingen vil bl.a. omfatte urettmessige nettbanktransaksjoner. Etter direktivets artikkel 61 nr. 3 skal medlemsstatene ved eventuell innføring av ansvarsreduserende tiltak ta hensyn til arten av betalingsinstrumentets personlige sikkerhetsanordninger og omstendigheter omkring tapet, tyveriet eller den urettmessige tilegnelsen av betalingsinstrumentet. Disse føringene i direktivet burde i det minste ha medført at en eventuell ansvarsbegrensning for urettmessige nettbanktransaksjoner ble lagt vesentlig høyere enn for betalingskort. Det er blant annet større risiko for uberettiget tilegnelse av betalingskort og PIN som benyttes i det offentlige rom, enn at personlige sikkerhetsanordninger knyttet til nettbank skal kunne komme på avveier og deretter misbrukes. Arbeidsgruppen har i utredningen punkt 17.5.2.4 side 159 pekt på denne risikoforskjellen, men like fullt antatt at artikkel 61 nr. 3 åpner for samme ansvarsbegrensning ved grov uaktsomhet fra kundens side. Vi mener arbeidsgruppen ikke i tilstrekkelig grad har reflektert direktivets krav på dette punkt.

Vi vil videre få påpeke at en slik ansvarsbegrensning vil medføre en tilsvarende økt økonomisk risiko for betalingstjenestetilbyderne ved urettmessige betalingstransaksjoner. En naturlig konsekvens av en slik ansvarsbegrensing for kundene vil være er at institusjonene innfører strengere kontrollordninger, for eksempel i form av obligatoriske beløps- og belastningsbegrensninger (maksimalt tillatt beløp pr transaksjon eller pr time/dag i nettbanken), ulike former for aktivitetskontroller, ytterligere krav til personlige sikkerhetsanordninger og nedlasting av oppdaterte antivirusprogrammer. I sum vil nok dette medføre at kundene må påregne at effektiviteten og brukervennligheten i for eksempel nettbank blir redusert.»

Finansnæringens Hovedorganisasjon og Sparebankforeningen støtter arbeidsgruppens forslag til gjennomføring av direktivets artikkel 58 om reklamasjon og den foreslåtte regelen om at institusjonen skal kunne kreve tilbake beløp som en tredjeperson har mottatt urettmessig, og mener det sistnevnte er en kodifisering av gjeldende rett på området.

15.7 Departementets vurdering

Departementet har kommet til at arbeidsgruppens enstemmige forslag til gjennomføring av direktivet artiklene 55 til 61 i hovedsak bør følges opp.

Departementet går ikke inn for Banklovkommisjonens forslag, som etter departementets syn ikke ville innebære en tilstrekkelig tydelig gjennomføring av betalingstjenestedirektivet. Arbeidsgruppens forslag innebærer dessuten en mer enhetlig løsning for både kunde og institusjon enn Banklovkommisjonens forslag, ved at alle regler om ansvar ved misbruk samles i én bestemmelse. Arbeidsgruppens forslag innebærer også en styrking av kundens stilling sammenlignet med gjeldende rett, ved at det fastsettes en begrensning av kundens ansvar også ved misbruk i nettbank samt av andre elektroniske betalingsinstrumenter ved kundens grove uaktsomhet. Reglene vil gjelde uansett om et betalingsinstrument misbrukes fysisk eller over internett ved fjernsalgsavtaler mv. Forslaget sikrer dessuten en korrekt direktivgjennomføring ved at man unngår å operere med kriterier og kategorier som kan stå i et tvilsomt forhold til direktivet.

Når det gjelder arbeidsgruppens forslag til regulering av egenandel for kunden ved misbruk av betalingsinstrumenter, har det kommet enkelte synspunkter i høringen som etter departementets syn gjør det nødvendig med justeringer av arbeidsgruppens forslag. Finansnæringens Hovedorganisasjon og Sparebankforeningen hevder at vilkårene i arbeidsgruppens forslag til bestemmelse om egenandel ikke synes å være helt i overensstemmelse med direktivet, og foreslår en omformulering.

Departementet mener at man innenfor rammen av direktivet i størst mulig grad bør bygge på gjeldende norsk rett om egenandel, jf. finansavtaleloven § 35 første ledd. Etter det departementet kan se, reiser direktivet to spørsmål på dette punktet.

Det ene spørsmålet er om man i nasjonal rett kan fastsette at det skal inntre et krav om egenandel bare når personlig sikkerhetsanordning er brukt. Departementet viser til at det både i Danmark og Sverige er foreslått regler som ligger nært opp til den gjeldende norske regelen, ved at egenandelen inntrer dersom det er brukt personlige sikkerhetsanordninger. Både i Sverige og Danmark anser man denne regelen for å ligge innenfor direktivet, og dette må også kunne legges til grunn i Norge. Departementet er enig i at man ut fra direktivet artikkel 61 nr. 3 kan begrense ansvaret for kunden til tilfeller hvor personlige sikkerhets­anordninger er brukt. Heller ikke Finansnæringens Hovedorganisasjon og Sparebankforeningen synes å være uenige i dette.

Det andre spørsmålet er om direktivet må forstås slik at det oppstilles et krav om uaktsomhet for at egenandel skal inntre, og i hvilke tilfeller et slikt krav vil gjelde.

Etter departementets syn er det ikke naturlig å forstå direktivet slik at det oppstiller et krav om uaktsomhet hos kunden for at egenandel skal inntre. Direktivet synes bare å gi anvisning på at kunden mer faktisk og objektivt har mislyktes i å beskytte sikkerhetsanordningene. Dette samsvarer også best med at det er tale om en egenandel. Departementet foreslår at bestemmelsen om egenandel på dette punktet gjennomføres mest mulig i samsvar med ordlyden i direktivet.

Såkalt «hacking» i elektroniske nettverk og «skimming» av kort vil etter en naturlig forståelse være uberettiget tilegnelse av betalingsinstrument i direktivets forstand, fordi det ikke er tale om at et betalingsinstrument fysisk har kommet på avveie fra kunden ved tap eller tyveri. I slike tilfeller gjelder uansett etter ordlyden i direktivet et kriterium om at kunden har mislyktes i å beskytte de personlige sikkerhetsanordningene knyttet til instrumentet. Arbeidsgruppen har lagt til grunn at tilfeller der en tredjeperson har trengt seg inn i et elektronisk nettverk, dvs. hacking, vil kunden ikke kunne ilegges en egenandel da det ikke kan sies at kunden har unnlatt å beskytte de personlige sikkerhetsanordningene i slike tilfeller. Departementets forslag synes å ville lede til samme resultat, fordi kunden uansett forståelse av direktivets krav til beskyttelse av sikkerhetsanordninger som et skyldkrav eller et objektivt vilkår, ikke kan sies å ha mislyktes i å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet i slike tilfeller. Tapet skyldes i slike tilfeller under ingen omstendighet manglende beskyttelse av personlige sikkerhetsanordninger, men det faktum at en tredjeperson har brutt seg inn i nettverket. For tilfeller av såkalt «skimming» vil det bero på en nærmere vurdering av om årsaken til tapet er at personlige sikkerhetsanordninger ikke er beskyttet, eller om koden for eksempel er filmet helt uten kundens vitende.

Når det gjelder egenandelens størrelse, går Forbrukerrådet i høringen mot å heve egenandelen fra dagens nivå på 800 kroner til 1200 kroner. Forbrukerombudet har på sin side gitt sin generelle støtte til forslaget om endringer i reglene om andres misbruk. Departementet bemerker at en heving av beløpsgrensen som foreslått av arbeidsgruppen ikke synes urimelig i lys av den tid som har gått fra finansavtalelovens ikrafttredelse. Til Forbrukerrådets spørsmål om hva egenandelen skal dekke, viser departementet til at en egenandel er en form av selvrisiko, som må ses i sammenheng med det øvrige systemet for begrensninger av kundens ansvar ved misbruk av betalingsinstrumenter. Departementet viser til at arbeidsgruppen til kundens fordel har foreslått å innføre en grense for forbrukerens ansvar ved grov uaktsomhet også i nettbanktilfeller, noe departementet følger opp, jf. nedenfor.

Departementet går så over til å vurdere spørsmålet om en grense for kundens ansvar i tilfeller av kundens grove uaktsomhet. Arbeidsgruppen har foreslått at det skal gjelde en ansvarsbegrensning på 12 000 kroner ved misbruk av elektroniske betalingsinstrumenter. Departementet slutter seg til forslaget. At regelen skal begrenses til elektroniske betalingsinstrumenter, kom ikke klart frem i arbeidsgruppens forslag til lovtekst, og departementet har endret ordlyden for å reflektere dette. Sammenlignet med dagens rettstilstand vil ansvarsbegrensningen ikke bare gjelde i tilfeller av kortmisbruk, men også for eksempel ved bruk av nettbank.

Arbeidsgruppen har i delrapport I side 160 lagt til grunn at direktivet ikke synes å gi grunnlag for ansvarsbegrensning ved grov uaktsomhet for betalingsinstrumenter som det ikke er knyttet personlige sikkerhetsanordninger til. Departementet er ikke enig i at direktivet utelukker dette, men er enig med arbeidsgruppen i at det uansett ikke er aktuelt å innføre ansvarsbegrensninger i norsk rett for slike betalingsinstrumenter. Ut fra ordlyden i artikkel 61 nr. 3 synes medlemsstatene i sin vurdering å kunne ta i betraktning andre momenter enn de personlige sikkerhetsanordningene ved instrumentet. Når direktivet sier at det særlig skal tas hensyn til slike sikkerhetsanordninger, må dette naturlig forstås å gjelde i tilfeller hvor det rent faktisk er knyttet slike anordninger til betalingsinstrumentet. Etter departementets syn kan bestemmelsen altså ikke forstås slik at den i prinsippet utelukker ansvarsbegrensninger hvor dette etter medlemsstatens syn er aktuelt. Ansvarsbegrensning, også i form av intet ansvar, må dermed kunne fastsettes i tilfeller hvor det rent faktisk ikke er knyttet personlige sikkerhetsanordninger til instrumentet. Som nevnt er departementet imidlertid enig med arbeidsgruppen i at ansvarsbegrensninger ikke er aktuelt i slike tilfeller. Heller ikke Banklovkommisjonen har ansett det nødvendig eller hensiktsmessig med begrensninger i kundens ansvar i slike tilfeller, jf. NOU 2008: 21 punkt 3.5.2 side 45.

Det har kommet enkelte innvendinger i høringen til at ansvaret for kunden begrenses i nettbanktilfellene. Finansnæringens Hovedorganisasjon og Sparebankforeningen mener at direktivet artikkel 61 nr. 3 ikke åpner for å fastsette en fast ansvarsgrense i lovgivningen. Videre hevdes det at det uansett anses i strid med direktivet å ikke skille mellom kortmisbruk og misbruk i nettbank ved fastsettelsen av ansvarsbegrensningens størrelse.

Departementet er ikke enig i dette. Departementet mener at artikkel 61 nr. 3 åpner for å fastsette beløpsgrenser i lovgivningen. Det følger direkte av ordlyden i direktivet artikkel 61 nr. 3 at medlemsstatene skal kunne fastsette ansvarsbegrensninger, og hva medlemsstatene i så måte skal legge vekt på. Det har i forbindelse med de nordiske departementsdrøftelsene om direktivet vært enighet om at direktivet ikke er til hinder for at det opereres med faste ansvarsgrenser i lovgivningen, jf. Ds 2008: 86 side 27.

Når det gjelder ansvarsgrensens størrelse, mener departementet for det første at arbeidsgruppens forslag om en grense på 12 000 kroner i alle de aktuelle tilfellene tar høyde for artikkel 61 nr. 3 i direktivet. Både ved kortmisbruk og i nettbanktilfellene tilsier risikosituasjonen for misbruk at det innføres begrensninger i kundens ansvar. Heller ikke i Sverige synes direktivet å være forstått slik at er til hinder for å fastsette samme ansvarsgrense for både kort og nettbank. Departementet vil uansett bemerke at artikkel 61 nr. 3 bare gir anvisning på enkelte momenter i den helhetsvurderingen som skal foretas etter bestemmelsen. Det synes å være rom for å vektlegge andre hensyn. Etter departementets syn bør det innføres ansvarsbegrensninger av hensyn til kunden ved andres misbruk, og departementet følger opp arbeidsgruppens forslag om en felles ansvarsgrense for elektroniske betalingsinstrumenter på 12 000 kroner.

Forbrukerrådet går i høringen mot forslaget om en heving av beløpsgrensen for kundens ansvar fra 8000 kroner til 12 000 kroner. Departementet bemerker at det bare er for betalingskort at forslaget innebærer en heving av beløpsgrensen. For andre elektroniske betalingsinstrumenter er beløpsbegrensning av ansvaret noe nytt og innebærer i seg selv en betydelig styrking av kundens stilling. Når det gjelder kort, kan departementet ikke se at en heving til 12 000 kroner er urimelig i lys av tiden som har gått siden finansavtalelovens ikrafttredelse. Etter departementets syn må forslaget også ses i sammenheng med at det foreslås å innføre ansvarsbegrensning for kunden også i andre tilfeller. Videre legger departementet vekt på at det er en rettsteknisk gunstig løsning med samme beløpsgrense i disse situasjonene.

Departementet går inn for arbeidsgruppens forslag om å videreføre gjeldende regler i finansavtaleloven § 37 om reklamasjon og prosess med de tilpasninger på grunn av direktivet som arbeidsgruppen har foreslått. Departementet følger også opp forslaget om en regel om at institusjonen kan kreve tilbake betalingsmidler som en tredjeperson urettmessig har mottatt som følge av en uautorisert betalingstransaksjon.

Departementet foreslår som nevnt i punkt 3.2.5 i proposisjonen at reglene om uautoriserte betalingstransaksjoner skal gjelde også for betalingsinstrumenter som benyttes innenfor begrensede nettverk mv., jf. direktivet artikkel 3 bokstav k og § 11 bokstav n i lovforslaget. Dette erstatter arbeidsgruppens forslag om videreføring av kredittkjøpsloven § 13. Andre kort enn de som benyttes i begrensede nettverk, vil uansett være omfattet av misbruksreglene og de øvrige reglene i kapittel 2 siden betalingskort er et betalingsinstrument som forutsetter en rammeavtale.

Det vises ellers til forslaget til endring av finansavtaleloven §§ 34 til 37 og forslaget til ny § 24 a om belastningsgrenser og sperring, og til merknadene til bestemmelsene i punkt 20 nedenfor.

Til forsiden