18 Ugyldig samtykke – ansvar ved misbruk av konto, betalingsinstrument og elektronisk signatur
18.1 Ansvar ved misbruk av konto og betalingsinstrument
18.1.1 Direktivene
Det første betalingstjenestedirektivet hadde i artikkel 60 regler om kundens egenandel ved uautoriserte betalingstransaksjoner. Også i det reviderte betalingstjenestedirektivet er det gitt regler om dette, jf. artikkel 74 nr. 1, men reglene er endret på viktige punkter. Egenandelen er satt ned fra 150 euro til 50 euro, og reguleringen av i hvilke situasjoner kunden skal svare egenandel, er også endret.
Utgangspunktet etter artikkel 74 nr. 1 er at kunden kan bli ansvarlig «for tap knyttet til «ikke-godkjente betalingstransaksjoner opptil 50 euro som er en følge av at et tapt eller stjålet betalingsinstrument er brukt eller et betalingsinstrument er urettmessig tilegnet».
Det følger av fortalens avsnitt 71 at formålet med egenandelen er et ønske om å «oppmuntre betalingstjenestebrukeren til snarest mulig å underrette sin betalingstjenesteyter om tyveri eller tap av et betalingsinstrument og dermed redusere risikoen for ikke-godkjente betalingstransaksjoner».
Artikkel 74 nr. 1 gjør imidlertid unntak fra kundens plikt til å svare egenandel i tilfeller der den urettmessige tilegnelsen av betalingsinstrumentet ikke kunne oppdages av betaleren, med mindre betaleren har opptrådt bedragersk, og der tapet «skyldtes handlinger eller mangel på tiltak fra en betalingstjenesteyters ansatte, agent eller filial eller en enhet som dennes virksomhet var satt ut til».
De nye bestemmelsene innebærer at kunden skal være ansvarlig for egenandel i flere tilfeller enn tidligere, idet det ikke lenger er et vilkår at PIN-kode eller annen personlig sikkerhetsinformasjon er benyttet ved den uautoriserte betalingstransaksjonen. For eksempel vil misbruk av kortet ved netthandel eller ved bruk på en parkeringsautomat som hovedregel utløse en plikt til å betale egenandel, mens dette ikke var omfattet av reglene om egenandel i det første betalingstjenestedirektivet. Til gjengjeld er egenandelen lavere, og den er betinget av at kunden kunne oppdage tapet, tyveriet eller den uberettigede tilegnelsen av betalingsinstrumentet. Dersom kunden er utsatt for svindel uten at dette kunne oppdages, for eksempel ved såkalt «skimming», vil kunden ikke være ansvarlig for en egenandel.
I det reviderte betalingstjenestedirektivet artikkel 74 nr. 1 tredje og fjerde ledd er det gitt regler om ansvaret for tap som skyldes at kunden har opptrådt grovt uaktsomt eller svikaktig. Bestemmelsene viderefører det første betalingstjenestedirektivet artikkel 61 nr. 2 og 3. Det følger av artikkel 74 nr. 1 tredje ledd at betaleren skal bære alle tap dersom tapene skyldes at betaleren har opptrådt bedragersk eller forsettlig eller ved grov uaktsomhet har unnlatt å oppfylle sine plikter etter artikkel 69. I fjerde ledd videreføres en adgang til å begrense kundens tap i tilfeller av grov uaktsomhet.
Det følger av artikkel 74 nr. 2 at dersom betalerens betalingstjenesteyter ikke krever sterk kundeautentisering, skal betaleren ikke bære noe økonomisk tap med mindre betaleren har opptrådt bedragersk. Det reviderte betalingstjenestedirektivet forutsetter at betalingstjenesteyteren gjennom bruk av elektroniske løsninger for å kontrollere og verifisere kundens identitet skal forsikre seg om at den som bruker de aktuelle tjenestene, er rette vedkommende. I artikkel 97 kommer dette til uttrykk ved at betalingstjenesteyteren skal anvende såkalt «sterk kundeautentisering» når betaleren logger seg på sin betalingskonto på internett, initierer en elektronisk betalingstransaksjon eller gjennomfører en handling ved hjelp av fjerntilgang som kan innebære en risiko for betalingsbedrageri eller annet misbruk. Sterk kundeautentisering er definert slik i artikkel 4 nr. 30:
«autentisering som bygger på bruk av to eller flere elementer som er kategorisert som kunnskap (noe bare brukeren vet), besittelse (noe bare brukeren har) og iboende egenskap (noe brukeren er), som er så frittstående i forhold til hverandre at brudd på ett kriterium ikke innebærer risiko for brudd på de andre, og som er utformet på en slik måte at autentiseringsopplysningenes fortrolighet er sikret».
Forskrift 15. februar 2019 nr. 152 om systemer for betalingstjenester § 11 annet ledd innebærer at fra 14. september 2019 gjelder reglene i delegert kommisjonsforordning (EU) 2018/389 som norsk rett. Kommisjonsforordningen gir nærmere tekniske reguleringsstandarder for sterk kundeautentisering og standarder for sikker kommunikasjon.
Det reviderte betalingstjenestedirektivet artikkel 74 nr. 1 fjerde ledd gir medlemsstatene en nasjonal valgmulighet til å innføre regler som lemper kundens ansvar. Forutsetningen er at kunden ikke har opptrådt bedragersk eller forsettlig med hensyn til å unnlate å oppfylle sine plikter etter artikkel 69. Bestemmelsen lyder:
«I tilfeller der betaleren verken har opptrådt bedragersk eller forsettlig har unnlatt å oppfylle sine plikter i henhold til artikkel 69, kan medlemsstatene redusere ansvaret nevnt i dette nummer, idet det særlig tas hensyn til arten av betalingsinstrumentets personlige sikkerhetsopplysninger og de konkrete omstendighetene omkring tapet, tyveriet eller den urettmessige tilegnelsen av betalingsinstrumentet.»
Artikkel 73 i direktivet har regler om tilbakeføringsplikt for betalingstjenesteyteren. Det følger av bestemmelsen at betalingstjenesteyteren umiddelbart skal tilbakeføre beløpet dersom kunden bestrider å ha ansvar for en uautorisert betalingstransaksjon. Bestemmelsen er en videreføring av det første betalingstjenestedirektivet artikkel 60, men med flere endringer. Tidsfristen for tilbakebetalingen er i artikkel 73 nr. 1 presisert slik at betalingstjenesteyteren plikter å tilbakebetale det aktuelle beløpet umiddelbart og «under enhver omstendighet senest ved utgangen av påfølgende virkedag, etter å ha blitt oppmerksom på eller å ha blitt underrettet om transaksjonen». Betalingstjenesteyterens plikt til umiddelbart å tilbakeføre beløpet gjelder med mindre betalingstjenesteyteren har «rimelig grunn til å mistenke bedrageri og skriftlig underretter vedkommende nasjonale myndighet om grunnen». Videre er det inntatt en ny bestemmelse i artikkel 73 nr. 2. om plikten til tilbakebetaling når en betalingsfullmektig har vært involvert i transaksjonen. Den kontoførende betalingstjenesteyteren skal også i slike situasjoner har en plikt til umiddelbart å tilbakebetale beløpet til kundens konto. Samtidig oppstilles det en regressrett. På kontotilbyderens anmodning skal betalingsfullmektigen umiddelbart holde denne skadesløs. Det vises for øvrig til punkt 8 om regress.
18.1.2 Gjeldende rett
Kundens ansvar ved misbruk av konto og betalingsinstrument er regulert i finansavtaleloven § 35. Etter første ledd er det i utgangspunktet betalingstjenesteyteren som er ansvarlig for uautoriserte betalingstransaksjoner. Etter annet ledd svarer imidlertid kunden med inntil 1 200 kroner for tap ved uautoriserte betalingstransaksjoner «som skyldes bruk av et tapt eller stjålet betalingsinstrument dersom personlig sikkerhetsanordning er brukt, eller som skyldes uberettiget tilegnelse av et betalingsinstrument dersom kunden har mislyktes i å beskytte de personlige sikkerhetsanordningene og personlig sikkerhetsanordning er brukt». Bestemmelsen gjennomfører det første betalingstjenestedirektivet artikkel 60 i norsk rett.
§ 35 annet ledd er forstått slik at det gjelder et objektivt ansvar for egenandelen når personlig sikkerhetsinformasjon, for eksempel PIN-kode, er brukt. Dersom betalingsinstrumentet derimot er misbrukt uten at personlig sikkerhetsinformasjon er brukt, vil kunden ikke være ansvarlig for egenandel etter annet ledd. Et eksempel på dette er netthandel ved bruk av betalingskort der kortnummer, utløpsdato og år samt de tre siste sifrene bak på kortet brukes.
Det følger av tredje ledd at kunden svarer for hele den uautoriserte transaksjonen dersom tapet skyldes at kunden grovt uaktsomt eller forsettlig har unnlatt å oppfylle pliktene sine, eller dersom han eller hun har opptrådt svikaktig. Ved bruk av et elektronisk betalingsinstrument, for eksempel et betalingskort, svarer kunden likevel bare med en egenandel på 12 000 kroner ved grov uaktsomhet.
Grensen mellom simpel og grov uaktsomhet vil etter dette være av vesentlig betydning. Ofte vil det være vanskelig både for banken og kunden å bevise hendelsesforløpet rundt en uautorisert betalingstransaksjon. Derfor vil bevisreglene i praksis ha stor betydning. Det vises i den sammenheng til punkt 12.
Finansavtaleloven § 36 første ledd første punktum innebærer at kundens ansvar i tilknytning til uautoriserte betalingstransaksjoner kan lempes dersom tjenestene ikke tilfredsstiller nærmere bestemte funksjonskrav vedrørende sikkerhet knyttet til bruken av tjenestene, og den uautoriserte bruken har sammenheng med dette. Det kan etter første ledd annet punktum også tas hensyn til «arten av de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet som ble benyttet ved den uautoriserte transaksjonen, og omstendighetene knyttet til hvordan instrumentet ble tapt, stjålet eller uberettiget tilegnet, samt til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den uautoriserte transaksjonen kunne skje». Etter annet ledd kan kundens ansvar dessuten nedsettes dersom en leverandør av varer eller tjenester som har mottatt betalingen, forsto eller burde forstå at bruken av betalingsinstrumentet var urettmessig. I begge tilfeller gjelder imidlertid at lemping ikke kan skje dersom kunden har opptrådt svikaktig eller forsettlig har unnlatt å oppfylle sine forpliktelser til å bruke betalingsinstrumentet i samsvar med vilkårene for utstedelse og bruk etter § 34 første ledd, jf. henholdsvis § 36 første ledd tredje punktum og annet ledd annet punktum.
Det er i gjeldende finansavtalelov ikke inntatt regler om bruk av sterk kundeautentisering. Som det fremgår, kan imidlertid sikkerhetsnivået få betydning for spørsmålet om lemping etter § 36 første ledd første punktum.
Finansavtaleloven § 37 har regler om betalingstjenesteyterens tilbakeføringsplikt: Dersom kunden bestrider å ha ansvar for en uautorisert betalingstransaksjon, skal betalingstjenesteyteren straks tilbakeføre beløpet. Bestemmelsen innebærer en gjennomføring av det første betalingstjenestedirektivet artikkel 60.
I annet ledd er det oppstilt to unntak fra plikten til straks å tilbakeføre beløpet. For det første gjelder plikten ikke dersom kunden skriftlig har erkjent ansvar for betalingstransaksjonen. For det andre kan betalingstjenesteyteren velge å ta ut søksmål eller bringe saken inn for utenrettsligrettslig tvisteløsningsordning. Slikt søksmål eller klage må være tatt ut innen fire uker fra mottakelsen av skriftlig innsigelse fra kunden om den aktuelle transaksjonen. Disse unntakene er rent nasjonale regler som fantes i finansavtaleloven også før innføringen av det første betalingstjenestedirektivet. I forarbeidene ble det drøftet om det ville være i strid med direktivet å videreføre disse unntakene fra institusjonens plikt til umiddelbar tilbakeføring. I delrapport til Finansdepartementet fra arbeidsgruppen for betalingstjenestedirektivet («Betalingstjenester – Forslag til gjennomføring i norsk rett av bestemmelsene om forholdet mellom institusjon og kunde mv. i direktiv 2007/64/EF») heter det på s. 61:
«Etter direktivet artikkel 60 nr. 1 skal institusjonen tilbakebetale til kunden beløpet for en urettmessig betalingstransaksjon «umiddelbart». Dette kunne tale mot at man kan ha en regel som den norske om at institusjonen har fire uker på seg til å bringe sak mot kunden hvis den mener at transaksjonen er urettmessig, og mot at institusjonen kan trekke fra egenandelen fra beløpet som tilbakebetales. Samtidig er imidlertid ikke innholdet av begrepet «umiddelbart» nærmere klarlagt i direktivet, men det følger av artikkel 60 nr. 1 at plikten til å gjennomføre tilbakebetaling innen denne fristen bare gjelder der det foreligger en urettmessig betalingstransaksjon. Av dette sammenholdt med reguleringen av kundens ansvar i artikkel 61 fremgår det at det vil være tilfeller der institusjonen ikke er ansvarlig for en urettmessig betalingstransaksjon, og at institusjonen må gis en mulighet til å undersøke om dette er tilfelle før beløpet for transaksjonen tilbakebetales til kunden. Etter arbeidsgruppens syn kan direktivet, med tanke på en praktisk gjennomføring av oppgjøret mellom partene, forstås slik at man kan beholde de gjeldende reglene om prosessbyrde i finansavtaleloven § 37.»
På denne bakgrunn ble regelen om prosessbyrde i finansavtaleloven § 37 beholdt.
Det følger av finansavtaleloven § 32 at hvis kontotilbyderen ved en feil har belastet en konto, skal kontotilbyderen uten ugrunnet opphold godskrive kontoen for det tilsvarende beløpet. Kontotilbyderen plikter uten hensyn til skyld å erstatte rentetap og annet direkte tap som er oppstått ved den feilaktige belastningen. For indirekte tap svarer institusjonen etter alminnelige erstatningsregler. Bestemmelsen er særnorsk.
Gjeldende § 43 a gir regler om ansvar ved manglende sikkerhet i nettbaserte betalingstjenester. Bestemmelsen skal blant annet gi tjenesteytere insentiv til å designe tjenestene slik at man reduserer risikoen for at en transaksjon får et annet innhold enn tilsiktet fra betaleren side. Et eksempel er at feltet for angivelse av kontonummer inneholder kontrollfunksjoner som ikke lar kunden taste inn flere siffer enn hva et kontonummer består i. Et annet eksempel kan være krav til datoformatering som forhindrer at kunden legger inn feil dato – dersom kunden for eksempel angir måned før dag og ikke motsatt.
18.1.3 Forslaget i høringsnotatet
I høringsnotatet ble det vist til at det er nødvendig med en endring av finansavtalelovens regler om kundens ansvar ved uautoriserte betalingstransaksjoner som følge av artikkel 74 nr. 1 i det reviderte betalingsdirektivet. Det ble foreslått en egenandel på 400 kroner. For øvrig ble det foreslått å legge seg tett opp til direktivets ordlyd ved gjennomføringen. Det ble også foreslått å videreføre egenandelen på 12 000 kroner når kunden har opptrådt grovt uaktsomt.
I samsvar med artikkel 74 nr. 2 ble det foreslått en bestemmelse om at med mindre kunden har opptrådt svikaktig, «svarer kunden ikke for tap […] når kravene til sterk identitetskontroll ikke er overholdt».
Det ble foreslått en lempingsregel som i hovedsak viderefører gjeldende § 36. Gjeldende første ledd første punktum ble ikke videreført som følge av den nevnte gjennomføringen av artikkel 74 nr. 2.
Videre ble det lagt til grunn at det vil være nødvendig med visse endringer av gjeldende § 37 for å gjennomføre reglene om plikt til tilbakeføring ved uautoriserte betalingstransaksjoner i artikkel 73. Det ble foreslått en presisering av at tilbakebetaling skal skje senest innen utgangen av den påfølgende virkedagen. Videre ble det vurdert hvilken «nasjonale myndighet» som skal ta imot betalingstjenesteyterens skriftlige underretning om mistanke om kundens svikaktige opptreden. Det ble vist til at det virker noe uklart hva direktivet sikter til på dette punktet:
«Det kan spørres om man med dette sikter til den myndigheten som har tilsynsansvaret med oppfyllelse av direktivet. For norsk retts vedkommende vil det i så fall være Finanstilsynet og eventuelt Forbrukerombudet.
I SOU 2016: 53 side 268 er det foreslått at regelen skal gjennomføres ved at tjenesteyteren pålegges en plikt til å rapportere til Finansinspeksjonen.
Som argument mot en løsning som går ut på at betalingstjenesteyteren skal gi melding om mistanke om svikaktig opptreden fra kundens side til Finanstilsynet, kan det anføres at Finanstilsynet fører tilsyn med foretakene, ikke med kundene. Det organet som har tilsynsmyndighet med overholdelse av pliktene etter direktivet, omtales som den «kompetente myndighet», jf. artikkel 99. Når det i artikkel 73 vises til den «relevante nationale myndighet», er det nærliggende å anta at nasjonalstatene i denne sammenhengen kan velge en annen myndighet enn tilsynsmyndigheten.
Dersom meldingen fra betalingstjenesteyteren skal ha en praktisk betydning, må den sendes til et organ som har kompetanse til å ta stiling til kundens opptreden og de rettslige konsekvensene av denne for betalingstjenesteyterens tilbakebetalingsplikt. For norsk retts vedkommende er det enten de ordinære domstolene eller et utenrettslig tvisteløsningsorgan. Dermed fremstår den løsningen som allerede følger av finansavtaleloven § 37 annet ledd bokstav a, det vil si at betalingstjenesteyterens tilbakebetalingsplikt ikke gjelder dersom betalingstjenesteyteren innen fire uker har anlagt søksmål eller bragt saken inn for en utenrettslig tvisteløsningsordning, i hovedsak å være i overensstemmelse med direktivets krav.»
Det ble lagt til grunn at fireukersfristene i gjeldende § 37 annet ledd bokstav b og tredje ledd kan videreføres. Det ble vist til at direktivet ikke oppstiller noen konkret frist for betalingstjenesteyterens plikt til skriftlig å underrette relevant nasjonal myndighet, og det ble antatt at nasjonalstatene kan innføre eller beholde regler som konkretiserer den praktiske gjennomføringen av kravene i direktivet.
Videre ble det vist til at etter finansavtaleloven § 37 annet ledd bokstav b er betalingstjenesteyterens adgang til å velge å ta ut søksmål eller klage, og å dermed unngå plikten til umiddelbar tilbakebetaling, ubetinget. Etter direktivet er adgangen til ikke å straks tilbakebetale snevrere. I samsvar med direktivet ble det foreslått å gjøre betalingstjenesteyterens adgang til å unnlate tilbakebetaling betinget av en «rimelig mistanke om at kunden har opptrådt svikaktig». Det ble også foreslått at betalingstjenesteyteren skal svare forsinkelsesrenter for beløpet dersom disse vilkårene ikke er oppfylt.
Betalingstjenesteyterens plikt til å tilbakeføre beløpet til kundens konto ble ellers beskrevet slik:
«Direktivets løsning innebærer at betalingstjenesteyteren kan ha en plikt til å tilbakeføre beløpet til kundens konto selv om det er kunden som er ansvarlig for tapet etter reglene i artikkel 74. Betalingstjenesteyteren har en plikt til å tilbakebetale beløpet i alle tilfeller der det ikke foreligger rimelige grunner til å ha mistanke om svik fra kundens side. I tilfeller der betalingstjenesteyteren for eksempel har rimelige grunner til å mistenke at kunden grovt uaktsomt har forsømt sine plikter, må beløpet uansett tilbakeføres til kundens konto. Det er imidlertid mulig å ta rettslige skritt for å kreve disse pengene tilbake dersom det er grunnlag for å hevde at den uautoriserte transaksjonen er kundens ansvar.»
Unntaket etter § 37 annet ledd bokstav a for tilfeller der kunden skriftlig har erkjent ansvar for betalingstransaksjonen, ble ansett å være overflødig og ble foreslått sløyfet. Dette ble begrunnet slik:
«§ 37 regulerer tilfeller der kunden bestrider å ha ansvar for en uautorisert betalingstransaksjon. I en slik situasjon fremstår det lite praktisk at kunden skriftlig erkjenner å ha ansvaret for betalingstransaksjonen. Hvis kunden likevel skulle gjøre det, får plikten etter § 37 første ledd om å tilbakeføre beløpet ikke anvendelse. Denne plikten gjelder når kunden bestrider å ha ansvar for en uautorisert betalingstransaksjon. Dette er ikke tilfelle hvis kunden erkjenner ansvar.»
Gjeldende § 32 om tilfeller der kontotilbyderen ved en feil har belastet en konto og 43 a om ansvar ved manglende sikkerhet i nettbaserte betalingstjenester ble foreslått opphevet.
18.1.4 Høringsinstansenes synspunkter
Finans Norge mener lovforslaget må skille klart mellom uautoriserte betalingstransaksjoner og feil gjennomførte betalingstransaksjoner. Det vises til at man bør bruke ordet «uautorisert» siden dette er en innarbeidet terminologi, innebærer en direktivtro gjennomføring i norsk rett og «distanserer denne type tapssituasjoner fra typen transaksjoner som kan kategoriseres som ikke korrekt gjennomføring av betalingstransaksjoner». Finans Norge har også ellers noen språklige og lovtekniske kommentarer til ordlyden. Videre tas det til orde for at bestemmelsen om egenandel gjøres fravikelig for næringskunder i likhet med gjeldende § 35.
Forbrukerrådet mener at egenandelen bør være lav og uttaler:
«Lavt egenandelsbeløp er riktig, særlig i lys av at det fremover blir flere mulige situasjoner som kan gi opphav til uautoriserte transaksjoner ettersom egenandel også omfatter situasjoner der pin-kode eller annen personlig sikkerhetsordning ikke benyttes. Et tilleggsvilkår for å utløse egenandel er likevel at bruker kunne oppdaget transaksjonen. Det kan bemerkes at det karakteristiske for en misbrukssituasjon vanligvis er at forbruker ikke hverken kunne eller kan oppdage misbruk før i etterkant.»
Jussbuss støtter at ordningen med begrensede egenandeler etter ansvarsgrunnlag opprettholdes og uttaler at «[d]enne løsningen gir trygghet og forutberegnelighet for forbrukerne, og har etter vårt inntrykk fungert bra i praksis».
Forbruker Europa er positiv til en egenandel på 400 kroner.
Når det gjelder egenandelen på 12 000 kroner ved grov uaktsomhet, uttaler Forbrukerrådet:
«Direktivet åpner for å begrense tap på brukers hånd om tapet skyldes at bruker har opptrådt grovt uaktsomt, jf. direktivet artikkel 74 nr. 1. Departementet foreslår på dette grunnlag å videreføre egenandel på kr 12.000 ved grov uaktsomhet. Det er riktig å begrense tapet på forbrukers hånd fordi forbruker har svært begrensede ressurser til å beskytte seg mot misbruk og svindel sammenlignet med tjenesteyter. I lys av særs skjev partsbalanse er det derfor positivt at direktivet slår fast at tjenesteyter må dokumentere at forbruker har opptrådt grovt uaktsomt, noe som gir grunn til å tro at det vil bli et ytterligere press på å øke sikkerheten for bruk av betalingskort.»
I høringsuttalelsen fra Forbrukerombudet heter det:
«Størrelsen på forbrukers egenandel ved grov uaktsomhet foreslås videreført uendret på kr 12 000. Forbrukerombudet er enig i at egenandelen ved grov uaktsomhet ikke bør økes. Egenandelen ble hevet fra kr 8 000 til kr 12 000 i forbindelse med implementeringen av PSD1 høsten 2009. Dette var en markert økning av egenandelen. Beløpets størrelse er en betydelig sum for de aller fleste forbrukere og det er mer enn tilstrekkelig høyt til å gi forbrukere insentiv til å ta godt vare på både betalingsinstrument og tilknyttet kode.
Forbrukerombudet kan ikke se at det foreligger gode argumenter for å heve beløpet. Vi viser i denne forbindelse også til at man både i Sverige og i Danmark ved gjennomføringen av PSD2 opprettholder egenandeler på henholdsvis kr 12 000 og kr 8 000 ved grov uaktsomhet.»
Finans Norge mener egenandelen på 12 000 kroner må knyttes til misbruk av et elektronisk betalingsinstrument:
«I tredje ledd er det uklart om det er meningen å gjøre en endring fra gjeldende § 35, hvor egenandelen på 12.000 kroner bare gjelder for ‘elektronisk betalingsinstrument’. I tredje ledd er ikke uttrykket «elektronisk betalingsinstrument» brukt selv om høringsnotatet uttrykker at det er ønske om å videreføre egenandelen på 12.000 kroner ved bruk av ‘elektronisk betalingsinstrument’ (side 81). Vi mener at det i tredje ledd må omskrives slik at innholdet blir som gjeldende § 35 tredje ledd hvor utgangspunktet er at kunden svarer for hele tapet ved uautoriserte betalingstransaksjoner dersom tapet skyldes at kunden ved grov uaktsomhet har unnlatt å oppfylle en eller flere av sine plikter etter § 57 første ledd eller § 58 første ledd, og at grensen på 12.000 kroner gjelder ‘ved bruk av elektronisk betalingsinstrument’.»
Finanstilsynet uttaler i sin høringsuttalelse at man bør benytte begrepet «sterk kundeautentisering» i stedet for «sterk identitetskontroll». Videre uttales det at man må se hen til bestemmelsene som gjennomfører direktivteksten i norsk rett og reguleringer av krav til sterk kundeautentisering som fremgår av den delegerte kommisjonsforordningen.
Finans Norge uttaler om lemping av kundens ansvar:
«I første ledd første setning er det inntatt som et moment: ‘eventuell manglende aktsomhet eller andre forhold på betalingstjenesteyterens side som har medvirket til at tapet oppstod’. Dette er ikke nevnt i PSD2 art. 74 nr. 1 fjerde avsnitt.
Vi forstår departementets merknad første avsnitt slik at endringen fra gjeldende § 36 innebærer at der hvor PSD2s og betalingssystemlovgivningens krav til tekniske og forsvarlige systemer, herunder krav og unntak fra krav om sterk kundeautentisering, er ivaretatt, så er det ikke lempningsadgang som følge av forhold på betalingstjenestetilbyders side. Vi slutter derfor at elementet som nevnt i § 67 første ledd første setning sikter til andre forhold enn de tekniske eller forsvarlighet ved en tjenestens utforming og at for eksempel atferd fra ansatte hos betalingstjenestetilbyderen.
Det nevnte momentet er imidlertid noe uklart og bør klargjøres i proposisjonen.
[…]
For ordens skyld vil vi likevel nevne at vår oppfatning er at PSD2 art. 74 gjelder i de tilfeller betaler ikke har godkjent («authorised») transaksjonen. Det følger av ordlyden at den gjelder ‘uautoriserede betalingstransaktioner’ og ‘uanset artikel 73’, jf. 73 nr. 1, og det følger også av momentene som er nevnt i art. 74 nr. 1 fjerde avsnitt. Den gjelder ikke i de tilfellene det er skjedd feil fra kundens side, slik som § 66 regulerer.
Situasjoner der kunden selv gjør feil er vesensforskjellige fra tilfeller der en uberettiget tredjeperson ved misbruk igangsetter en transaksjon kunden selv ikke har noe med å gjøre. Ansvar for kundens egne feil og institusjonens ansvar for betalingstransaksjoner som ikke gjennomføres korrekt, er systematisk og materielt regulert på en annen måte enn ansvar ved misbruk av betalingsinstrument, i PSD2 art. 88 og 89.
Hvis kunden oppgir feil identifikasjonskode (typisk kontonummer), følger det av art. 88 at kunden selv, ikke institusjonen, må bære hele tapet ved dette. Egenandeler og lempning er regler som gjelder i ved uautorisert bruk (misbrukstilfeller) og ikke kundens egne feil. Det samme gjelder regelen om at betalingstjenestetilbyder skal ha hele ansvaret der hvor det ikke er brukt sterk kundeautentisering.»
Når det gjelder de foreslåtte reglene om tilbakeføringsplikt for betalingstjenesteyteren, uttaler Finans Norge:
«I annet ledd gjennomføres unntaket i PSD2 art. 73 nr. 1 om at betalingstjenestetilbyderen ikke har plikt til å tilbakeføre beløp til kundens konto dersom betalingstjenestetilbyderen «har rimelige grunde til at have mistanke om svig». Dette er oversatt til: «har rimelig mistanke om at kunden har opptrådt svikaktig», jf. første og tredje punktum.
Denne ordlyden kommer til å bli gjenstand for etablering av en ny praksis som må være så vidt mulig lik i EØS-området på grunn av tjenestenes grenseoverskridende karakter hvor også tredjeparter fra andre land enn Norge vil kunne være involvert. Vi mener derfor at norsk lov må være mer direktivtro.
Blant annet inneholder ikke PSD2 referanse til «kunden». Med den foreslåtte ordlyden, vil det fremstå som banken beskylder kunder for å være en sviker dersom beløpet ikke tilbakeføres, selv om banken på tidspunktet kun har rimelig grunner til mistanke som skal undersøkes nærmere. Dette er verken fordelaktig for banken eller for kunden, særlig i de tilfeller hvor det etter nærmere undersøkelser viser seg at mistanken er avkreftet. Vi mener derfor at ordlyden må endres til «har rimelige grunner til mistanke om svik». For øvrig legger vi til grunn at «svik» også dekker «forsett».
I tredje ledd foreslår vi at ordlyden presiseres og forenkles noe ved at «kontoens betalingstjenestetilbyder» erstattes med «kontotilbyder». Regelen gir kontotilbyder ansvar for tilbakeføring ved reklamasjoner knyttet til betalingsfullmektiger. Kontotilbyder påføres et ansvar og får en risiko knyttet til at betalingsfullmektigen kan nekte ansvar, jf. at det er et vilkår for å bli holdt skadesløs fra betalingsfullmektigen at denne er ansvarlig. Slik vi forstår PSD2 art. 73 nr. 1 gis kontotilbyder en mulighet til å ikke å kreditere innen den påfølgende virkedag, men at det i så fall må rapporteres. Det kan gjelde både ved oppdrag via tredjepart og andre (for eksempel) kortbaserte transaksjoner der kunden av en årsak er svindlet. Med en så kort frist vil det ikke være mulig å kontrollere alle kilder i forhold til mulig svindel. Regelen vil dermed påføre kontotilbyder en ikke ubetydelig kredittrisiko.»
18.1.5 Departementets vurdering
Departementet foreslår i § 4-30 å innta regler om kundens ansvar ved tap som skyldes en ikke godkjent betalingstransaksjon. Bestemmelsen gjennomfører artikkel 74 i det reviderte betalingstjenestedirektivet og erstatter med noen endringer gjeldende § 35.
Ved misbruk av konto og betalingstjenester er betalingstjenesteyteren etter lovforslaget § 4-30 å anse som ansvarlig overfor kunden. Dette gjelder selv om det antas at betalingstjenesteyteren sjelden selv har forårsaket misbruket. Det er kunden som har lidt tapet, slik at ansvarsreglene i §§ 4-30 og 4-32 må forstås i relasjon til den egenandelen som kunden vil måtte bære selv. Reglene gjelder når kunden har lidt et tap som følge av misbruket.
Dersom også betalingstjenesteyteren har lidt et tap som følge av misbruket, må betalingstjenesteyteren eventuelt gjøre krav gjeldende mot skadevolderen, dersom denne er kjent, etter alminnelige erstatningsregler. Det kan selvsagt tenkes at kunden har medvirket til skaden. Departementet kjenner imidlertid ikke til rettsavgjørelser hvor kunden har blitt holdt ansvarlig for et økonomisk tap som tjenesteyteren har lidt i forbindelse med misbruk av kundens betalingsinstrument eller konto på grunnlag av alminnelige erstatningsregler. Departementet antar at kundens eventuelle medvirkning sjelden vil innebære et «tap» for betalingstjenesteyteren utover beløpet for den eller de transaksjonene som misbruket gjelder.
Når det gjelder egenandelens størrelse etter § 4-30, foreslår departementet å legge til grunn en eurokurs på 9 kroner ved omregningen, slik at egenandelen på 50 euro vil gi en egenandel på 450 kroner. Det vises til § 4-30 annet ledd i lovforslaget. Se også forskriftshjemmelen i § 1-11 fjerde ledd.
I bestemmelsens tredje ledd første punktum er det inntatt en regel om at kunden svarer for hele tapet dersom tapet skyldes at kunden ved grov uaktsomhet har unnlatt å oppfylle sine plikter etter § 4-23 første ledd eller § 4-24 første ledd. I tredje ledd annet punktum foreslås det å videreføre den gjeldende egenandelen på 12 000 kroner når den ikke godkjente betalingstransaksjonen er skjedd ved misbruk av et elektronisk betalingsinstrument, jf. i den forbindelse høringsuttalelsen fra Finans Norge om virkeområdet for bestemmelsen.
Finans Norge har i høringen et innspill om at ordet «godkjent» gjennomgående bør erstattes av «autorisert» når det siktes til autorisering av betalingstransaksjoner eller betalingsoppdrag. Departementet vil her vise til at det reviderte betalingstjenestedirektivet i norsk språkversjon benytter «godkjent» og «ikke-godkjent». Departementet kan ikke se at det skulle fremstå som problematisk å vise til at en «godkjent» betalingstransaksjon likevel kan være feil gjennomført, og at denne situasjonen er regulert annerledes enn «ikke-godkjent» betalingstransaksjon. Med «ikke-godkjent» sikter direktivet til en betalingstransaksjon som ikke har fått betalerens samtykke og dermed autentisert av betaleren. Terminologien i gjeldende § 24 er slik at betalingstransaksjoner bare anses «som autorisert dersom betaleren har gitt samtykke til transaksjonen». I det reviderte betalingstjenestedirektivet artikkel 64 nr. 1 heter det imidlertid at en betalingstransaksjon anses som «godkjent bare dersom betaleren gir sitt samtykke» til å gjennomføre betalingstransaksjonen. Departementet foreslår på denne bakgrunn å benytte direktivets ordlyd, slik at lovforslaget bruker «ikke godkjent» i stedet for «uautorisert» som etter gjeldende lov. Etter departementets syn vil ordlyden «ikke godkjent» dessuten knytte vilkåret nærmere til betalerens samtykke.
I § 4-30 femte ledd bokstav c er det inntatt en bestemmelse om at kunden (med unntak for svik) ikke svarer for tap når betalingstjenesteyteren ikke har krevd sterk kundeautentisering. Lovforslaget styrker dermed kundens rettsstilling i og med at kunden etter gjeldende lov må nøye seg med en mulighet for lemping av ansvaret i disse tilfellene. Et praktisk eksempel vil være betalingstransaksjoner som skjer gjennom internett. Dersom transaksjonen kan gjennomføres kun ved opplysninger som er trykket på det aktuelle betalingsinstrumentet, slik som kortnummer og CCV-/CVC-/CVC2-kode på et betalingskort, svarer kunden ikke for misbruk med mindre han eller hun har opptrådt svikaktig.
En bestemmelse om lemping er inntatt i § 4-31 i lovforslaget. I likhet med forslaget i høringsnotatet er gjeldende § 36 første ledd første punktum ikke videreført. Denne bestemmelsen er erstattet av den nevnte bestemmelsen i § 3-31 femte ledd bokstav c. Lempingsregelen i § 4-31 gir adgang til lemping for den egenandelen som den skadelidte (kunden) må bære som følge av misbruk av konto eller betalingsinstrument, og ivaretar dermed hensynet til kundene. Den generelle adgangen til å lempe erstatningsansvar etter skadeserstatningsloven § 5-2 er på sin side begrunnet ut fra hensynet til den byrden erstatningsansvaret kan utgjøre for skadevolderen.
I lovforslaget § 4-32 foreslås det regler om en tilbakeføringsplikt for betalingstjenesteyteren. Bestemmelsen gjennomfører artikkel 73 i det reviderte betalingstjenestedirektivet og svarer til høringsnotatets lovforslag med enkelte språklige endringer, blant annet på bakgrunn av innspillene fra Finans Norge i høringen.
Kundens rett til å kreve tilbakeføring må for øvrig ses i sammenheng med § 4-24 om kundens varslingsplikt og reklamasjon.
I samsvar med forslaget i høringsnotatet foreslås det å oppheve gjeldende § 32 om tilfeller der kontotilbyderen ved en feil har belastet en konto. Som det ble pekt på i høringsnotatet, kan det vanskelig tenkes en feilaktig belastning av en konto som ikke skyldes enten en uautorisert betalingstransaksjon eller en manglende, mangelfull eller forsinket gjennomføring av en betalingstransaksjon. Regelen er derfor dekket av lovforslagets bestemmelser om dette.
Det foreslås også å oppheve gjeldende § 43 a om ansvar ved manglende sikkerhet i nettbaserte betalingstjenester. Krav til hvordan tjenesteyteren bør utforme eller designe sine tjenester for i størst mulig grad å forhindre at kundene gir samtykke til noe annet enn det som er tilsiktet, bør gjelde generelt. I lovforslaget vil et krav som følger av nåværende § 43 a, kunne vurderes i generell form etter de plikter som følger av § 3-1 første ledd, jf. § 3-49.
18.2 Ansvar ved misbruk av elektronisk signatur
18.2.1 Direktivene
Punkt 18.1 gjelder misbruk av konto og betalingsinstrument. Slikt misbruk vil som regel ha bakgrunn i at feil person er identifisert som kunde – for eksempel ved tyveri av kort og koder. Punkt 18.2 gjelder en annen form for misbruk. I dette punktet drøftes tilfeller der det er spørsmål om det foreligger en bindende aksept fra kunden i form av elektronisk signatur. Som det vil fremgå av punkt 18.2.5, kan elektronisk signatur gis på samme måte og med samme fremgangsmåte som ellers blir brukt til elektronisk identifikasjon, jf. foran om sterk kundeautentisering.
Problemstillingene kan fremstå som to sider av samme sak. Det vises til at for eksempel BankID kan benyttes både som sterk kundeautentisering (når kunden logger seg inn i sin nettbank for å samtykke til gjennomføring av en betalingstransaksjon) og til elektronisk signering av en avtale, for eksempel en kredittavtale. Det er samtidig slik at også ved inngåelse av en avtale vil BankID kunne brukes til å identifisere kunden. Direktivene regulerer ikke rettsvirkninger eller gyldigheten av elektroniske signaturer, men det reviderte betalingstjenestedirektivet og tilhørende delegert kommisjonsforordning om tekniske reguleringsstandarder for sterk kundeautentisering peker likevel på at det er gode grunner til å se disse problemstillingene i sammenheng. I fortalen til det reviderte betalingstjenestedirektivet heter det om sterk kundeautentisiering i avsnitt 69:
«Forpliktelsen til å ivareta sikkerheten for personlige sikkerhetsopplysninger er av avgjørende betydning for å beskytte betalingstjenestebrukerens midler og begrense risikoene knyttet til bedrageri og ikke godkjent tilgang til betalingskontoen.
Vilkårene eller andre forpliktelser som betalingstjenesteyterne pålegger betalingstjenestebrukerne i forbindelse med ivaretakelsen av de personlige sikkerhetsopplysningene, bør imidlertid ikke utformes på en måte som hindrer betalingstjenestebrukerne fra å benytte tjenester som tilbys av andre betalingstjenesteytere, herunder betalingsinitieringstjenester og kontoopplysningstjenester. Slike vilkår bør heller ikke inneholde noen bestemmelser som på noen måte kan gjøre det vanskeligere å bruke betalingstjenestene til andre betalingstjenesteytere som er godkjent eller registrert i henhold til dette direktiv.»
Det følger av fortalen til delegert kommisjonsforordning (EU) 2018/389, som er gitt med hjemmel i betalingstjenestedirektivet artikkel 98, og som gjelder tekniske reguleringsstandarder for sterk kundeautentisering og felles og sikre åpne standarder for kommunikasjon avsnitt 27 at det er en sammenheng mellom reglene om sterk kundeautentifisering i direktivet og bruk av elektronisk signatur:
«For at styrke brugernes tillid og sikre stærk kundeautentifikation bør der tages hensyn til brug af elektroniske identifikationsmidler og tillidstjenester som omhandlet i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (1), navnlig for så vidt angår anmeldte elektroniske identifikationsordninger.»
Direktivene regulerer ikke ansvar ved misbruk av elektronisk signatur.
18.2.2 Gjeldende rett
Systemer for fremstilling av elektronisk signatur har gjort det enklere og mer effektivt både for kundene og tjenesteyterne å inngå avtaler om finansielle tjenester og til å bruke eller utføre de avtalte tjenestene. På samme måte som for løsninger som baserer seg på penn, papir og fremvisning av legitimasjon, er det en fare for identitetstyverier også for de elektroniske signaturfremstillingssystemene. En person som er i besittelse av en annen persons signaturfremstillingsdata og har kjennskap til hvordan disse er beskyttet i form av de personlige sikkerhetsordningene, og vedkommendes personnummer, kan misbruke disse til å fremstille en ugyldig elektronisk signatur. Slike handlinger er for gjerningspersonen straffbare etter straffeloven § 361 om dokumentfalsk, eventuelt også etter § 366 om misbruk av identifikasjonsbevis og regler i straffeloven kapittel 30 om bedrageri. Blant annet vil gjerningspersonen kunne ta opp kreditt og utføre betalingstransaksjoner i pseudounderskriverens navn. Pseudounderskriveren benyttes her som benevnelse på den som tilsynelatende har skrevet den ugyldige elektroniske signaturen.
På samme måte som ved forfalskning av håndskrevet signatur er disposisjoner som foretas i en annens navn ved bruk av ugyldig elektronisk signatur, ikke avtalerettslig bindende for pseudounderskriveren, se her Hov: Avtaleslutning og ugyldighet Kontraktsrett I (2002) s. 237.
Pseudounderskriveren kan imidlertid være forpliktet til å reklamere overfor en godtroende avtalemotpart, noe også Hov anfører i samme verk s. 238. Hov viser i denne sammenheng til dommen i Rt. 1918 s. 689 hvor Høyesterett avgjorde en sak om forfalskning av veksler. En person hadde i en periode på to og et halvt år utstedt 58 falske veksler, som banken igjen diskonterte, i tillegg til å sende bekreftelse på hver aksept til pseudoutstederen (den som for banken fremstod som utsteder av vekslene). I tidligere rettsinstans hadde underretten vurdert om passivitet kunne føre til avtalebinding for pseudoutstederen. Høyesterett avviste på den ene siden at det kunne foreligge avtalerettslig binding, men kom på den andre siden til at pseudoutstederen hadde erstatningsansvar for det tapet banken led ved ikke å ha blitt gjort kjent med forfalskningene etterhvert som pseudoutstederen fikk aksept for utstedelsene.
Det kan ved misbruk av signaturfremstillingsdata dessuten være et spørsmål om ansvar for pseudounderskriveren for det tapet en godtroende tjenesteyter har lidt som følge av å ha stolt på signaturen. Et slikt erstatningsansvar vil kunne bygge på at pseudounderskriveren ikke har vært tilstrekkelig aktsom i sin håndtering av de elektroniske signaturfremstillingsdataene og tilhørende sikkerhetsordninger. Pseudounderskriveren har for eksempel oppbevart sin BankID og tilhørende sikkerhetsordninger på en slik måte at det var enkelt for gjerningspersonen å misbruke disse til å signere falskt i pseudounderskriverens navn.
Dersom en elektronisk signatur brukes til å gjennomføre en betalingstransaksjon i en annens navn, vil forholdet reguleres av gjeldende §§ 35 til 37 om ansvar for uautoriserte betalingstransaksjoner. Som det fremgår av punkt 18.1.2, er kundens ansvar da begrenset, med mindre kunden har handlet med forsett eller selv opptrådt svikaktig. Utgangspunktet er derfor at betalingstjenesteyteren er ansvarlig for tap som skyldes ikke-godkjente (uautoriserte) betalingstransaksjoner. Kundens ansvar er begrenset til en egenandel. Når en elektronisk signatur brukes for å iverksette en betalingstransaksjon, er den elektroniske signaturen et betalingsinstrument i finansavtalelovens forstand, se i den forbindelse § 12 bokstav c og også Ot.prp. nr. 94 (2008–2009) s. 134 og FinKN-2017-281. At de prosedyrer som må følges ved betalinger i nettbanken til sammen utgjør et betalingsinstrument, er også lagt til grunn av EU-domstolen i dom 9. april 2014 i sak C-616/11 T-Mobile Austria, som gjelder det første betalingstjenestedirektivet (2007/64), som ligger til grunn for gjeldende § 35.
Dersom signaturen misbrukes til å inngå avtale om en finansiell tjeneste, benyttes den elektronisk signatur ikke som «betalingsinstrument», og reglene i §§ 35 til 37 vil ikke få anvendelse på forholdet. Lov 15. juni 2018 nr. 44 om gjennomføring av forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked, som erstatter den tidligere e-signaturloven, regulerer heller ikke fordelingen av det økonomiske ansvaret for misbrukssituasjonene som er beskrevet foran. I artikkel 11 nr. 4 i forordningen er det presisert at forordningen ikke berører det erstatningsansvaret som etter nasjonal lovgivning kommer til anvendelse på partene i en transaksjon der det er benyttet elektroniske identifikasjonsmidler som omfattes av en ordning for elektronisk identifikasjon meldt i henhold til artikkel 9 nr. 1.
Spørsmålet om erstatning ved misbruk av elektronisk signatur i andre tilfeller enn ved gjennomføring av betalingstransaksjoner må dermed løses etter alminnelige erstatningsrettslige regler. Ut fra dette vil det etter gjeldende lov kunne ha stor betydning for ansvarsfordelingen ved tap som oppstår etter identitetstyverier, om misbruket av elektronisk signatur brukes til avtaleinngåelse mv. eller til betalingstransaksjoner.
Man har fra rettspraksis og avgjørelser fra Finansklagenemnda flere eksempler på at innehaveren av en BankID er blitt holdt erstatningsansvarlig for det tapet banken har lidt ved å ha betalt ut lån til noen som har misbrukt vedkommendes BankID. Det har i disse sakene gjennomgående vært lagt til grunn en meget streng aktsomhetsnorm for innehaveren. I Borgarting lagmannsretts dom 12. oktober 2019 gis det på den annen side uttrykk for en noe annen rettsoppfatning. Saken gjaldt spørsmålet om en kvinne var erstatningsansvarlig overfor Komplett Bank ASA og Bank Norwegian AS for ektefellens misbruk av hennes BankID ved låneopptak. Det springende punktet var om kvinnen hadde utvist erstatningsbetingende uaktsomhet i og med at hennes tidligere ektefelle hadde fått tilgang til hennes BankID. Det var ingen holdepunkter for at kvinnen ikke hadde beskyttet passordet på en tilstrekkelig aktsom måte, ut over det faktum at hennes tidligere ektefelle beviselig hadde hatt tilgang til det. Lagmannsretten uttalte at man i realiteten ville ha innført et objektivt ansvar dersom kvinnen skulle pålegges erstatningsansvar uten andre holdepunkter enn at hennes BankID rent faktisk hadde vært gjenstand for misbruk. Den eneste bevisførselen kvinnen rådet over, var hennes egen forklaring. Denne var konsistent, troverdig og ga konkret støtte for at hun hadde gjort det som med rimelighet kunne forventes for å skjule passordet også overfor ektefellen. Lagmannsretten kom i motsetning til tingretten til at kvinnen ikke hadde utvist erstatningsbetingede uaktsomhet.
18.2.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet § 14 å innføre en regel om ansvarsfordelingen mellom tjenesteyteren og kunden ved tredjepersoners misbruk av sertifikat for elektronisk signatur. Bestemmelsen var utformet etter modell av § 64 i høringsnotatets lovforslag, som videreførte gjeldende § 35 med visse endringer i tråd med det reviderte betalingstjenestedirektivet, jf. punkt 18.1. Med unntak for uautoriserte betalingstransaksjoner omfattet lovforslaget § 14 i utgangspunktet enhver bruk som en tredjeperson gjør av tapt eller uberettiget tilegnet sertifikat til elektronisk signatur i tilknytning til en finansavtale.
Utgangspunktet etter lovforslaget § 14 var at tjenesteyteren er ansvarlig for tap som skyldes misbruk av elektronisk signatur i tilknytning til en finansavtale. Dette utgangspunktet ble modifisert ved regler om egenandelsansvar for kunden. Ved henholdsvis simpel og grov uaktsomhet fra kundens side ble kundens egenandel foreslått satt til 400 og 12 000 kroner. Ved forsettlige forhold skulle kunden bære hele tapet. Ved tap som skyldes tjenesteyteren eller noen som tjenesteyteren representerer eller blir representert av, skulle egenandelen bortfalle.
I tråd med forslaget for ansvarsfordelingen ved uautoriserte betalingstransaksjoner ble det foreslått en regel om lemping av kundens ansvar. Tap som skyldes misbruk av elektronisk signatur etter at kunden har varslet sertifikatutstederen eller tjenesteyteren om faren for misbruk, eller som skyldes at disse ikke har tilrettelagt for slike varsler, skulle ikke bæres av kunden. Tilsvarende skulle gjelde når kravet til sterk kundeautentisering (identitetskontroll) ikke er oppfylt.
18.2.4 Høringsinstansenes synspunkter
Høringsinstansene har delte oppfatninger om forslaget i høringsnotatet.
BankID Norge AS, BlueStep Bank AB, EnterCard Norge, Finans Norge og Hovedorganisasjonen Virke er negative til forslaget og mener at bestemmelsen om misbruk av elektronisk signatur bør utgå. Blant disse høringsinstansene gis det uttrykk for at spørsmålet om ansvar bør reguleres av alminnelige avtale- og erstatningsrettslige regler. Det er anført at dersom misbruk av elektronisk signatur skal lovreguleres, bør det gjøres i avtaleloven eller e-signaturloven. Det gis også uttrykk for at forslaget vil føre til at risikoen for misbruk av elektronisk signatur vil øke, at for mye av denne risikoen legges på tjenesteyteren, samt at troverdigheten og tilliten til elektronisk signatur dermed reduseres. Slike konsekvenser er uheldige for digitaliseringen av samfunnet generelt og vil være spesielt uheldige for mulighetene til å kommunisere elektronisk ved finansielle avtaler. Det vises i den forbindelse til at forslaget vil gjøre det mindre attraktivt for finansforetakene å tilrettelegge for elektronisk avtaleinngåelse, noe som også vil føre til store kostnader som følge av utbygging av flere filialer hvor kunder kan møte opp fysisk for å signere på avtaler mv.
Synspunktene begrunnes med at de foreslåtte ansvarsbegrensningene gjør at et mulig erstatningsansvar ikke vil virke tilstrekkelig preventivt på den som rettmessig kan underskrive med elektronisk signatur, og på personkretsen som typisk ufører misbruket. Synspunktene synes også å ha nær sammenheng med høringsinstansenes forståelse av bevisregelen i høringsnotatets lovforslag § 7 annet ledd, som slo fast at bruken av et sertifikat til elektronisk signatur ikke i seg selv anses som tilstrekkelig bevis for at kunden har gitt sin elektroniske signatur, eller for at kunden har opptrådt forsettlig, se punkt 12. Flere høringsinstanser mener at lovforslaget er spesielt problematisk sett i sammenheng med denne bevisregelen, og det vises til at tjenesteyteren sjelden vil ha mulighet til å bevise andre omstendigheter enn selve bruken av den elektroniske signaturen.
BankID Norge AS uttaler:
«Sertifikatholder pålegges i dag, gjennom avtale med utsteder, å beskytte sine sikkerhetsanordninger og passord. Tilfeller av misbruk av elektronisk signatur er ikke et omfattende problem, men BankID Norge vet at det forekommer. Tilliten til BankID er svært viktig for BankID Norge, utstedere (bankene), brukerne (3.8 millioner) og samfunnet for øvrig, og antallet tilfeller av misbrukssituasjoner er såpass lavt ettersom norske utstedere og BankID Norge har omfattende sikkerhetsmekanismer på plass for å hindre misbruk. BankID Norge arbeider videre med tiltak som kan bedre sikkerheten i BankID, men hvordan en sertifikatholder beskytter og sikkerhetsmekanismer og passord, vil være utenfor kontrollen til utsteder eller BankID Norge og er sertifikatholders ansvar.
BankID Norge mener innføring av en generell misbruksregel for elektronisk signatur, som ikke er begrenset til betalingstransaksjoner, kan medføre økt omfang av misbrukssaker. Brukers insentiver til å beskytte sine sikkerhetsmekanismer blir mindre. Et viktig premiss bak utstedelse av sikkerhetsmekanismen er at bruker kjenner til farene ved at denne deles og på grunn av dette, oppbevarer den og passord trygt uten å dele med andre. Fjernes denne forutsetningen, vil det kunne medføre økt misbruk.
For tilfeller der sertifikatholder ikke beskytter disse sikkerhetsmekanismer godt nok, kan den aktør som tilbyr en finansavtale dermed måtte bære nærmest hele tapet til kunden. Dagens regel med ansvar for betalingstransaksjoner vil alltid ha en begrensning til enten beløpsgrense på personers kredittkort eller midler på debetkort/konto. Dette er en situasjon hvor bankene kan beregne risikoen og vurdere mulig tap. Virkeområdet til finansavtaleloven skal i henhold til forslaget omfatte så langt det passer «lignende avtaler» som etter omstendighetene eksempelvis kan omfatte kjøp av boliger, bil mv. BankID Norge anser det ikke rimelig at tjenesteytere skal stå ansvarlig for slike disposisjoner dersom sertifikatholder ikke har ivaretatt sikkerhetsmekanismer og passord i tråd med avtalevilkår.
[…]
Departementet har likestilt misbruk av elektronisk signatur og identitetstyveri og misbruk i nære relasjoner eller hvor sertifikatholder med vilje deler sikkerhetsmekanismer med tredjepersoner. BankID vil vise til at disse situasjonene er vesensforskjellige.
Misbruk av BankID i nære relasjoner forekommer, og skyldes at familiemedlemmer deler egne eller tilegner seg andres passord og sikkerhetsmekanismer. Omfanget av disse tilfellene er ikke betydelig, og det kan blant annet skyldes at personer ikke ønsker å påføre nærstående gjeld eller finansielle problemer. Ved opprettelsen av den foreslåtte misbruksregel for elektronisk signatur – med lav ansvarsgrense – fjernes dette «samvittighetsaspektet». Næringen frykter at personer vil ha mindre insentiv til å avstå fra slike handlinger når de vet at familiemedlemmet ikke fullt ut blir ansvarlig.»
[…]
Digitalisering av samfunnet, der forbrukere, næringsliv og offentlige virksomheter kan kommunisere uten personlig oppmøte er avhengig av muligheten til å benytte elektronisk signaturløsninger. Også offentlige instanser er i dag avhengig av at brukere i hovedsak velger digitale løsninger, for eksempel Skatteetaten. Sett i lys av digitaliseringsprosjektene med digitalt førstevalg som offentlig og privat sektor arbeider med å gjennomføre, vil dette være et tilbakesteg i digitaliseringsarbeidet.
Forslag til § 14, sett i sammenheng med forslag til § 7 annet ledd om omvendt bevisbyrde, antas å motarbeide digitaliseringarbeidet i samfunnet og effektiviseringen av ulike tjenester. Det er ikke forslått noen tilsvarende ansvarsbegrensning for fysisk underskrift, noe som vil favorisere fysisk signatur fremfor elektronisk. Fysisk underskrift vil kunne bli den fortrukne metode for signering av dokumenter av stor betydning. En slik løsning vil være uheldig.
Vi kan ikke se at en slik løsning der digitalisering og effektiviteten får et tilbakesteg, vil være i forbrukernes eller samfunnets interesse. BankID i kraft av å være et «sikkerhetsnivå 4»-produkt har den styrken at det ikke er tvil om hvilket sertifikat som er benyttet til signering eller autentisering.
Elektronisk signatur er like juridisk bindende som fysisk signatur, og BankID Norge forventer at produktet BankID behandles deretter.»
Dersom forslaget opprettholdes, mener BankID Norge AS at beløpsgrensen på 12 000 kroner «må økes betydelig». Videre vises det i høringsuttalelsen til at lovens virkeområde er foreslått utvidet ved at den skal gjelde tjenesteytere av finansielle tjenester og tjenesteytere av «lignende avtaler». I høringsuttalelsen vises det til at det er noe uklart hvem som kan pådras ansvar etter bestemmelsen.
Finans Norge gir uttrykk for mange av de samme synspunktene som BankID Norge AS. Finans Norge uttaler blant annet følgende:
«Finans Norge ønsker også å bemerke at det er en vesensforskjell mellom svindelsituasjonene misbruk av elektronisk signatur og identitetstyveri, og misbruk i nære relasjoner eller der elektronisk signatur deles med andre. Departementet henviser til situasjoner der kunden deler sine sikkerhetsanordninger og passord. Dette er et brudd på avtalen med banken om å ikke dele disse elementene. Utstedere av elektronisk signatur har en rekke krav som følge av lov om elektronisk signatur om utsteders ansvar for at kontroll, utstedelse, levering, sikkerhet mm., slik at sikkerhetselementer kun kan knyttet til sertifikatholder. Forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner (eIDAS) er enda ikke trådt i kraft, men av denne følger også et prinsipp om «sole control.» På bakgrunn av dette må bankene i avtale med sertifikatholder kunne innta bestemmelser om hvordan sikkerhetselementer skal ivaretas og sikres.
Vi mener reglene departementet foreslår samlet vil kunne bidra til økt økonomisk kriminalitet og bedrageri mot bankene, særlig i kriminelle miljøer og ved kriminalitet i nære relasjoner til kunder. Misbruk av BankID er i dag ikke et omfattende problem ettersom utstedere foretar gode kontroller og sikkerheten i BankID er velfungerende. Misbruk av BankID i nære relasjoner er forekommende, og skyldes at familiemedlemmer deler eller tilegner seg andres passord og sikkerhetsmekanismer. Antallet saker er likevel ikke stort, da de færreste ønsker å påføre sine nære gjeld eller finansielle problemer. Ved opprettelsen av en misbruksregel for elektronisk signatur fjernes dette «samvittighetsaspektet,» og næringen frykter at personer vil ha mindre insentiv fra å frastå slike handlinger når de vet at familiemedlemmet ikke fullt ut blir ansvarlig.»
Finans Norge mener videre at dersom det foreslås en bestemmelse om misbruk av elektronisk signatur, må denne være begrenset til tyveri av andres sikkerhetselementer. Den bør ikke omfatte tilfeller der kodebrikke og passord er overlatt til en nærstående som foretar disposisjoner som innehaveren av kodebrikken ikke har godtatt. Dette er brudd på avtalen med utstederen om å ikke dele sikkerhetselementer med andre. Finans Norge uttaler også at «under enhver omstendighet må en regel som den foreslåtte ikke gjelde i næringsforhold. I forholdet mellom næringsdrivende vil regelen være uklar».
EnterCard Norge uttaler:
«Spørsmål om misbruk av et gyldig utstedt betalingsinstrument etter gjeldende lov § 35 gjelder typisk bruk av betalingskort i minibanker eller på brukersteder ute i offentligheten, ofte utenlands. I slike situasjoner der det er vanskelig for kunden å beskytte seg helt mot bedrageri, tyveri og overfall. Det er da rimelig med ansvarsbegrensning. Dessuten er tapene i slike saker normalt av begrenset karakter ettersom det er belastningssperrer i kortene.
Der det er tale om opprinnelig låneopptak ved bruk av BankID er situasjonen en helt annen. For å få tatt opp et lån må man ha tilgang kundens BankID-brikke eller mobiltelefon, og kjenne koden. Man må dertil kjenne kundens personalia som personnummer, adresse mv. Seriøse kredittytere vil dessuten kontrollere at den oppgitte kontoen for utbetalingen av lånet står i låntagers navn.
Misbrukeren må derfor ha kontroll på brukerens elektroniske sertifikat over tid uten at brukeren merker det. I praksis er det primært medlemmer av sertifikateierens familie eller andre med fast tilgang til husstanden.
Ettersom den påståtte misbrukeren som oftest er noen den fornærmede kjenner, typisk en samlivspartner eller et familiemedlem, er det vanskelig for utenforstående å avdekke hvem som har gjort hva. Misbruk kan vanskelig avdekkes uten at offeret medvirker til det. Ved at sertifikateier i utgangspunktet har et uaktsomhetsansvar for andres misbruk, gis denne et incitament til i å unngå at misbruk oppstår. Dersom misbruk likevel skjer, gir reglene et incitament til å oppklare saken, herunder anmelde den til politiet og gi full innsikt.
EnterCard Norge og bransjen opplever i økende utstrekning at personer får utbetalt kreditt som de senere nekter å vedkjenne seg ved å hevde at de er utsatt for identitetstyveri. Slikt fingert identitetstyveri er et sammenlignbart problem med egentlig identitetstyveri. En indikasjon på det er at påstander om identitetstyveri ofte først kommer opp når den nominelle låntageren får pågang i form av inkasso. Normalt er påstanden da at det er noen i sertifikatholders familie som står bak.
For långiver er det selvsagt krevende å føre bevis om dette, uten sertifikatholders hjelp, og man kan heller ikke regne med at politiet etterforsker saken. Dersom den omvendte bevisbyrderegelen i § 7 blir vedtatt, blir det i praksis svært vanskelig å fremme krav, både mot sertifikateieren og den angivelige misbrukeren. De kan lett skylde på hverandre. Og forsett hos sertifikatholder vil i praksis være umulig å bevise. Dermed vil långiver i høyden få refundert 12.000 kroner av lånebeløp som kan være opp mot 500.000 kr. Det vil helt sikkert bli utnyttet i stor skala, og påføre finansnæringen store tap.»
I høringsuttalelsen fra BlueStep Bank AB gis det uttrykk for følgende:
«Et lån fra en bank kan beløpe seg til flere millioner kroner. Dersom kundens erstatningsansvar for grov uaktsomhet begrenses til 12.000 kroner vil dette innebære en enorm risiko for bankene. Dette kan føre til at elektronisk avtaleinngåelse faller helt bort eller blir mindre vanlig fordi bankene utsetter seg for svært stor risiko. Det kan også føre til at forbrukere blir mindre forsiktige med sine elektroniske sertifikater, og kan undergrave hele strukturen for elektroniske sertifikater. Alternativt, bør ansvarsbegrensningen på 12.000 kroner ved grov uaktsomhet økes vesentlig.
Etter BlueSteps oppfatning er BankID et meget sikkert system som i praksis ikke er åpent for misbruk med mindre kunden overlater sitt sertifikat til andre. Det er derfor ikke hensiktsmessig å begrense kundens ansvar for eksempel i situasjoner der kunden rent faktisk er – eller burde være klar over – at det elektroniske sertifikatet er tapt/stjålet, men unnlater å melde fra om dette til sin bankforbindelse.
BlueStep mener at reglene i PSD 2, samt de detaljerte reglene i de regulatoriske tekniske standardene om SCA (Strong customer authentication) 5 er tilstrekkelig til å ivareta hensynet til sikkerhet. Reglene i e-signaturloven bidrar også til dette.»
Videre uttaler Hovedorganisasjonen Virke:
«Forslaget som regulerer ansvarsfordelingen mellom tilbyderen av finansielle tjenester og kunden ved tredjeparts misbruk av elektronisk signatur, for eksempel BankID, medfører at elektronisk signatur gis redusert troverdighet sammenlignet med en fysisk underskrift. Sett i sammenheng med forslaget om omvendt bevisbyrde, øker risikoen for svindel og misbruk. Forslaget vil etter Virkes oppfatning være et tilbakeskritt sett i lys av målet om økt digital samhandling. Vi kan ikke se at det er i samfunnets interesse at tilliten til digitale signaturer svekkes.»
Forslaget støttes på den annen side av Forbrukerombudet, Forbrukerrådet, Nasjonal kommunikasjonsmyndighet, Affinion International AS, Juridisk rådgivning for kvinner, Jussbuss, Pensjonistforbundet og Finansmarkedsprosjektet ved Institutt for privatrett, Det juridiske fakultet, Universitetet i Oslo. Av de høringsinstansene som støtter forslaget, gis det blant annet uttrykk for at kundens ansvar bør være det samme ved finansielle avtaler som ved betalingstransaksjoner, og at det er behov for å styrke forbrukernes rettigheter ved misbruk av elektronisk signatur. Det vises til at digitaliseringen har økt mulighetene for misbruk, og at bankene bør bære en større del av ansvaret når denne utviklingen har gitt bankene betydelige besparelser. Videre vises det til den personlige belastningen for enkeltpersoner som dagens regler innebærer.
Nasjonal kommunikasjonsmyndighet uttaler:
«Vi er enig i at kundens ansvar i forbindelse med misbruk av et sertifikat for elektronisk kommunikasjon bør være det samme uavhengig av om sertifikatet misbrukes til å utføre betalingstransaksjoner, eller ved andre finansielle tjenester. Regelverket i dag er slik at kundens ansvar ved uautoriserte betalingstransaksjoner og ved uautorisert låneopptak eller andre disposisjoner er svært ulikt. Eksempelvis, som beskrevet i høringen, er kundens ansvar ved grov uaktsomhet som leder til misbruk av kundens BankID ved å overføre penger fra kundens flexilånskonto, eller økning og deretter overføring av penger fra en kredittkortkonto, begrenset til 12.000 kroner.
Samtidig vil kunden kunne vært fullt ut erstatningsansvarlig overfor en kredittyter dersom BankID misbrukes til å ta opp et nytt forbrukslån med direkte overføring til misbrukerens konto. Kunden blir da erstatningsansvarlig for hele lånebeløpet allerede ved simpel uaktsomhet.
Nkom ser ikke gode grunner for å forskjellsbehandle kundens ansvar ved uautoriserte betalingstransaksjoner og uautoriserte låneopptak. Med dagens teknologi bør erstatningsansvaret være likelydende. Dette innebærer et økt ansvar/økte kostnader for tilbyderne av finansielle tjenester, som igjen kan medføre dyrere tjenester for kunden. Nkom mener likevel at dette er et ansvar som tilbyderne bør ta og et mer avklart ansvarsforhold vil stille større krav til å iverksette tiltak for å unngå tredjeparts misbruk av sertifikater ved elektronisk kommunikasjon.»
Forbrukerombudet gir uttrykk for følgende:
«Forbrukerombudet anser dette som en viktig og nødvendig styrking av forbrukernes rettigheter ved misbruk av eID. Det er etter vårt syn også riktig å søke en konsistent regulering av misbruk av eID og betalingsinstrumenter. Dagens regler gir for det første urimelige utslag ved at enkeltforbrukere må bære en uforholdsmessig stor del av kostnadene i misbrukstilfellene. For det andre gir reglene urimelige utslag fordi forbrukeren bærer fullt ansvar når eID misbrukes til låneopptak, men er dekket av ansvarsbegrensningene for betalingsinstrumenter når samme eID misbrukes til å føre pengene ut av konto. Dette gir tilfeldige og uheldige resultater i misbrukssaker som for de fleste fremstår som i realiteten like.
Det er et viktig moment, som departementet nevner i høringsnotatet, at forbrukere i dag i praksis er avhengig av å ha en digital signatur dersom de skal kunne nyttiggjøre seg av så vel finansielle som offentlige tjenester. Denne utviklingen kommer bankene til gode i form av betydelige kostnadsbesparelser. Næringen sparer store summer på en økt digitalisering, mindre bemanning og færre filialer og manuelt utførte tjenester. Også offentlig sektor nyter godt av økt bruk av digitale signaturer, og forbrukere er i stadig større grad avhengig av å være besittelse av elektronisk identifikasjon og signatur.
Denne utviklingen utsetter på noen måter forbrukerne for større risiko. Uvedkommende som tilegner seg forbrukerens eID kan påføre forbrukeren store tap. Det er rimelig å stille aktsomhetskrav til forbrukeren, men ansvaret må balanseres mot systemrisikoen og det forhold at tapene kan ramme enkeltforbrukere uforholdsmessig hardt.
Misbruk av betalingsinstrumenter og misbruk av eID, har svært mange likheter. Begge deler er i vår moderne verden elektroniske innretninger som krever en viss aktsomhet av brukeren og som har innebygget en risiko for misbruk. Ansvarsreguleringen av betalingsinstrumenter har på mange måter fungert godt. Instrumentene har den nødvendige tillit i befolkningen og følgene av misbruk fordeles på en måte som oppleves rimelig. Det er derfor naturlig og rasjonelt å bruke samme type ansvarsregulering for eID.
Hvorvidt eID oppleves som trygt av den jevne forbruker henger nøye sammen med ansvarsreguleringen ved misbruk. En fortsatt utvikling hvor enkeltforbrukere må bære store tap etter misbruk av eID vil etter vårt syn skade tilliten til instrumentet og kunne bremse digitalisering av disse tjenestene.
Dagens regulering medfører også en urimelig og tilfeldig risiko for långivere og banker. I dag vil en långiver som utbetaler et lån etter en lånesøknad der eID er misbrukt, i utgangspunktet ikke løpe noen risiko, så fremt lånet utbetales til konto i en annen bank. Banken som mottar låneutbetalingen, vil imidlertid være ansvarlig for beløp overskytende 12 000 kr dersom kontoen tilhører offeret, og svindleren logger seg inn på offerets konto og gjennomfører en betalingstransaksjon herifra for å kunne disponere pengene.
[…]
Det synes for Forbrukerombudet som at enkelte av sakene i Norge vedrørende svindel ved bruk av BankID, har blitt muliggjort av at kunden ved utstedelsen av BankID, ikke har fått nødvendige opplysninger om bruk og sikring av eID. […] Det kan etter Forbrukerombudets syn vanskelig hevdes at en forbruker har opptrådt grovt uaktsomt ved å bryte sikkerhetsforanstaltninger, dersom utsteder ikke har sikret at forbrukeren har fått kunnskap om sikkerhetsforanstaltningene.»
Affinion International AS viser til at selskapet har arbeidet med å hjelpe ofre for identitetstyveri i Norge, Sverige, Danmark og Finland siden januar 2011 og har håndtert omlag 5000 saker med identitetstyveri. Flere av disse sakene involverer misbruk av elektronisk signatur. Videre heter det i høringsuttalelsen:
«Elektronisk signering er ingen garanti mot misbruk. De tekniske løsningene er gode, men selv i tilfeller der sertifikatholder opptrer med normal aktsomhet kan det forekomme misbruk uten at sertifikatholder med rimelighet kan lastes.
Det er umulig for en sertifikatholder å garantere seg mot at noen som bevisst går inn for det ikke fanger opp et passord. Eksempler vi har sett er bruk av key-logger, kamera og at noen i husstanden fanger opp passord over tid ved å kikke over skulder. I noen tilfeller er det profesjonelle bedragere vanlige privatpersoner vanskelig kan beskytte seg mot.»
[…]
Det er kun låneinstitusjonene som har kontroll over hvilke rutiner og sikkerhetsmekanismer de velger å ta i bruk. Låneinstitusjonene har valgt å utbetale lån så raskt at det er vanskelig å avklare misforståelser eller å gjøre undersøkelser. Disse valgene er gjort fordi låneinstitusjonene mener at man på denne måten kan oppnå bedre fortjeneste enn ved et mer omstendelig, tregere og tryggere system.
Vi ser saker der det forekommer misbruk av elektronisk signatur, som oftest opptak av store forbrukslån:
uten at ID offeret for dette med rimelighet kan lastes.
der det er urimelig at låneinstitusjoner som faktisk er utsatt for bedrageriet, søker å overføre hele belastningen for dette til ID offeret som i utgangspunktet er uskyldig tredjepart.
der ID offeret heller ikke har noen kontroll over hvilke rutiner og sikkerhetsmekanismer låneinstitusjoner velger å ta i bruk.
Konsekvensene i slike saker er urimelige, ofte med opptak av forbrukslån for mange hundre tusen kroner- i praksis totalt ødeleggende for en privatperson.»
Juridisk rådgivning for kvinner mener at forslaget vil innebære en svært viktig endring, og uttaler:
«I likhet med det som fremkommer av høringen, opplever JURK at bruken av elektronisk signatur ved BankID innebærer en risiko for misbruk og identitetstyverier. JURK har gjennom de siste årene stadig blitt kontaktet av kvinner som søker hjelp etter å ha opplevd identitetstyveri begått av sine partnere, først og fremst gjennom bruk av hennes BankID uten hennes samtykke eller viten. Eksempelvis hender det at partneren har tatt opp lån eller starte firma i hennes navn, noe som fører til at kvinnen sitter igjen med enorme mengder lån hun ikke har noen forutsetninger for å kunne nedbetale, og en partner som nekter å betale noe som helst. Dette er å anse som økonomisk vold. Ofte henger dette også sammen med psykisk og eller fysisk vold. Flere kvinner som lever i voldelige forhold opplever nettopp å bli truet eller lurt til å gi fra seg opplysninger som kan benyttes av partneren til å gjøre avtaler om finansielle tjenester.
At ansvaret for tap i saker der sertifikat for elektronisk signatur er misbrukt, nå legges til tjenesteyter, vil kunne føre til at kvinner som utsettes for utnyttelse og økonomisk vold i nære relasjoner, får en bedre rettslig beskyttelse.
Slik høringen poengterer, er bruken av BankID for elektronisk signatur blitt en svært vanlig måte for kunder å inngå avtaler om og utføre finansielle tjenester. Dette er kanskje den mest praktiske og effektive måten å gjennomføre finansielle transaksjoner på, og et slikt tilbud fra bankenes side er i utgangspunktet positivt. Når banken tilbyr en ordning med BankID for sine kunder, er JURK enige med departementet i at dette må medføre et ansvar på bankens side. At den som er blitt utsatt for identitetstyveri skal være erstatningsansvarlig overfor kredittyter ved opptak av forbrukslån, mener JURK blir en ansvarsfraskriving fra kredittyterens side.
At ansvaret på denne måten plasseres på kredittyterens side, vil kunne øke deres incentiv til å innføre rutiner som forsikrer at de forholder seg til rette debitor (personen som er faktisk utførte betalingstransaksjonen eller disposisjonen av en finansiell tjeneste), og dermed forebygge at misbruk av BankID forekommer. Som det understrekes i høringsnotatet, vil kredittyteren ha større forutsetning og mulighet enn kunden til å iverksette tiltak for å unngå tredjepersoners misbruk av sertifikater ved elektronisk kommunikasjon. Videre har kredittyteren større forutsetning for å pulverisere kostnadene dette måtte medføre.»
Jussbuss er også positiv til forslaget og uttaler:
«Løsningen i dagens finansavtalelov er uholdbar. Den trekker opp et helt vilkårlig skille mellom «uautoriserte betalingstransaksjoner» og andre disposisjoner, med hensyn til hvem som bærer tapet dersom det viser seg at disposisjonen er gjort ved en tredjepersons misbruk av et betalingsinstrument. Det er etter vårt syn ingen grunn til å opprettholde dette skillet.
Jussbuss mottar et økende antall henvendelser angående identitetstyveri og svindel, og tilfellene er ofte svært alvorlige. Ofrene er mennesker med relativt lav inntekt og en utfordrende livssituasjon fra før. Våre klienter forteller at det å bli utsatt for svindel er enormt belastende, og vanskeliggjør arbeid og sosiale relasjoner. Enda verre blir det av at situasjonen forblir uavklart over lang tid, ofte flere år. At noen tar kontroll over din økonomi og pådrar deg enorm usikret gjeld, er altså både økonomisk lammende og psykososialt skadelig.
Her er det også et poeng at den faktiske situasjonen i disse sakene er svært lite opplyst, og at man ofte ikke vet nøyaktig hvordan svindlerne fikk tilgang på kundens betalingsinstrument. Jussbuss opplever saker hvor verken klienten, vi, kredittyter eller politiet forstår hvordan svindlerne lyktes med å identifisere seg som klienten og få utstedt bank-id. Vurderingen av hvorvidt kunden har vært uaktsom eller ikke, gjøres da med lite informasjon, noe som svekker forutberegneligheten og rettsikkerheten for kunden.»
Etter Jussbuss sitt syn bør det derfor også presiseres at tjenesteyteren har bevisbyrden for at kunden har vært grovt uaktsom eller svikaktig, dette selv om det ikke inntas en generell regel om bevisbyrde i tråd med det vi foreslår i merknaden til § 7. At ressurssvake mennesker i en livskrise skal bli ansvarlige for millionbeløp fordi de ikke lykkes i å avdekke et faktum verken banker eller myndigheter er i stand til å finne ut av, fremstår som en lite hensiktsmessig løsning.
Det kan for øvrig vanskelig sies at en slik pulveriseringsregel utsetter ytere av finansielle tjenester for uforholdsmessig stor risiko. I den grad dette blir hevdet, vil det bære preg av skinnargumentasjon. I et Dagens Næringsliv-oppslag i juli 2014 uttalte DNBs kommunikasjonssjef til illustrasjon følgende: «Dokumentkontrollen i Norge er god, og som sagt har vi ikke mange slike saker, men kjeltringer går stadig nye veier for å anskaffe seg falske identiteter for å bedrive svindel». Altså; tilfellene er relativt få i den store sammenhengen, men totalt ødeleggende for de det gjelder. Dette er med andre ord tap som egner seg svært godt for pulverisering.
Dersom det finnes finansinstitusjoner som ikke har rygg til å bære slike tap, kan ikke Jussbuss forstå det annerledes enn at de allerede har alvorlige soliditetsutfordringer. Med tanke på den enorme lønnsomheten banker som tilbyr usikret kreditt opplever på disse produktene, ser vi uansett ikke kredittyterens økonomiske risiko som en vektig innvending mot et så viktig tiltak.
Det er dessuten grunn til å minne om at det allerede gjelder den samme pulveriseringsløsning ved utvidelser av rammer på eksisterende lån, samt betalingstransaksjoner, og at svært få hevder at disse reglene medfører en uforholdsmessig stor belastning for finansforetak. Det minnes også om at potensielle kunders tillitt til bank-id som identifikasjonsinstrument vil styrkes med en slik regel, noe som vil kunne ha positive samfunnsøkonomiske ringvirkninger på sikt.»
Pensjonistforbundet uttaler følgende om bestemmelsen:
«Pensjonistforbundet støtter at det innføres en egen erstatningsregel ved misbruk av sertifikat for elektronisk signatur, etter modell av regelen for uautoriserte betalingstransaksjoner. Flere og flere avtaler inngås med elektronisk sertifikat, som forbruker ofte er tvunget til å benytte seg av for å få tilgang til viktige tjenester. Eldre mennesker er spesielt sårbare for å bli utsatt for identitetstyveri, i den forstand at mange ikke behersker digitale verktøy fullt ut, og er avhengig av å få hjelp av andre. En ansvarsdeling der tilbyder i hovedsak har ansvaret ved misbruk, vil også gi tilbyder insentiver til å iverksette tiltak og utvikle teknologi som hindrer og oppdager misbruk.»
18.2.5 Departementets vurdering
Terminologi
Lov om elektronisk signatur (lov 15. juni 2001 nr. 81) er nå erstattet av lov om elektroniske tillitstjenester (lov 15. juni 2018 nr. 44). Som BankID Norge AS peker på i sin høringsuttalelse, er begrepene «sertifikat» og «sertifikatholder», som var brukt i høringsnotatet, ikke teknologinøytrale. Selv om regler fastsatt med hjemmel i lov om elektronisk signatur, slik som selvdeklarasjonsordningen og Kravspesifikasjonen for PKI i offentlig sektor, fremdeles er gjeldende som følge av overgangsregler i lov om elektroniske tillitstjenester § 10, har departementet valgt å benytte den teknologinøytrale terminologien i forordning (EU) nr. 910/2014 (som også gjelder som norsk lov). Det vises for øvrig til drøftelsen i proposisjonens 16.1.5.
I det følgende omtales den som rettmessig kan signere med elektronisk signatur, som «rettighetshaveren», eventuelt «pseudounderskriveren» når signaturen er misbrukt. For å beskrive de entydige dataene som brukes til å fremstille en elektronisk signatur, benyttes «elektroniske signaturfremstillingsdata», se definisjonen av «elektroniske signaturfremstillingsdata» i forordning (EU) nr. 910/2014 artikkel 3 nr. 13.
Den som utsteder og dermed gir adgang til å signere med bruk av elektronisk signatur, blir omtalt som «tilbyder» og skal forstås som «kvalifisert tilbyder av tillitstjenester» i samsvar med definisjonen i artikkel 3 nr. 20. Tilbyderen skal etter kravene i forordningens vedlegg IV blant annet sikre at de elektroniske signaturfremstillingsdataene som blir brukt til fremstilling av elektroniske signaturer i kvalifiserte elektroniske signaturfremstillingssystemer, behandles tilstrekkelig fortrolig, og at disse i praksis kan forekomme bare én gang. Videre skal tilbyderen sikre at de elektroniske signaturfremstillingsdataene som brukes til fremstilling av elektroniske signaturer, med rimelig sikkerhet ikke kan utledes, og at tilgjengelig teknologi er brukt for å beskytte den elektroniske signaturen mot forfalskning. Tilbyderen skal også sikre at rettighetshaveren på en pålitelig måte kan hindre andre i å bruke de elektroniske signaturfremstillingsdataene som brukes til fremstilling av elektroniske signaturer. Elektroniske signaturfremstillingsdata kan for eksempel være en BankID-brikke som gir en engangskode kunden skal benytte sammen med sitt personlig passord for å signere elektronisk, men kan også være av en annen type teknologi – eksempelvis basere seg på biometri.
Det er tilbydere av kvalifiserte tillitstjenester som kan tilby en kvalifisert valideringstjeneste, som validerer den elektroniske signaturen, og som stiller resultatet av valideringen til rådighet for en tjenestebruker som ønsker å få validert noens elektroniske signatur, for eksempel en finansiell tjenesteyter som ikke er villig eller i stand til selv å utføre valideringen av kvalifiserte elektroniske signaturer. Det kan også være slik at tjenesteyteren tilbyr elektronisk signatur som tjeneste til rettighetshaveren og selv validerer elektronisk signatur i avtaler tjenesteyteren inngår med rettighetshaveren. Valideringen skal sikre og vise at det er benyttet et kvalifisert sertifikat for kvalifisert elektronisk signatur, og at valideringsdataene stemmer med rettighetshaverens elektroniske signaturfremstillingsdata. I det følgende benyttes «elektronisk signatur» i kortform for kvalifiserte elektroniske signaturer som er fremstilt ved bruk av kvalifisert sertifikat i et kvalifisert elektronisk signaturfremstillingssystem.
Med «misbruk» av elektroniske signaturfremstillingsdata siktes det til tap, tyveri og uberettiget bruk eller tilegnelse av elektroniske signaturfremstillingsdata som brukes til å fremstille kvalifisert elektronisk signatur.
Med mindre noe annet er presisert, vil den videre drøftelsen om elektronisk signatur også gjelde for signatur som er fremstilt av juridiske personer – såkalt «elektronisk segl».
Noen utgangspunkter om tap som skyldes misbruk av elektronisk signatur
Det alminnelige utgangspunktet er at hver avtalepart bærer sin risiko for at avtalen inngås med rett motpart. Inngår kunden avtale med noen som feilaktig utgir seg for være tjenesteyteren, bærer kunden som et utgangspunkt selv risikoen for transaksjoner som foretas i forbindelse med avtalen. Det samme utgangspunktet gjelder for tjenesteyteren når det gjelder transaksjoner som er utført etter avtale med noen som feilaktig utgir seg for å være kunden. Ved dokumentfalsk eller forfalskning av signatur er disposisjonen ikke avtalerettslig bindende for den som er utsatt for identitetstyveriet (pseudoavgiveren av et tilbud eller en aksept, pseudounderskriver av signatur).
I avtalerettslig teori er det lagt til grunn at falskneri kan få virkning også for pseudounderskriveren. Selv om pseudounderskriveren ikke blir avtalerettslig bundet av pseudodisposisjonen, kan en pseudounderskriver som har opptrådt uaktsomt, bli erstatningsansvarlig for utgifter medkontrahenten har hatt i forbindelse med avtaleinngåelsen, jf. punkt 18.2.2. Departementet antar imidlertid at for finansielle tjenester vil tjenesteyterens risiko generelt være noe skjerpet, og at pseudounderskriverens eventuelle erstatningsansvar tilsvarende er noe mer lempelig sammenlignet med hva som gjelder for pseudodisposisjoner på andre rettsområder, der uaktsomhet kan medføre et ansvar for pseudounderskriveren.
Nærmere om departementets forslag
Departementet foreslår i § 3-20 en regel om ansvarsfordelingen mellom tjenesteyteren og den som har rett til å signere med elektronisk signatur (rettighetshaveren), ved en tredjepersons misbruk av den elektroniske signaturen. Bestemmelsen viderefører i det vesentlige forslaget i høringsnotatet. Under forutsetning av at rettighetshaveren er ansvarlig etter ellers gjeldende rettsregler, foreslås et utgangspunkt om at tjenesteyteren likevel skal være ansvarlig for hele tapet, men med en egenandel på inntil 450 kroner for rettighetshaveren hvis han eller hun kunne ha oppdaget misbruket forut for misbruket. Rettighetshaveren svarer etter forslaget likevel med en egenandel på inntil 12 000 kroner ved grov uaktsomhet. Ved forsett vil rettighetshaveren kunne bli holdt ansvarlig for hele beløpet. Bestemmelsen bygger på § 4-30 om ansvar for tap ved misbruk av konto og betalingsinstrument.
Lovforslaget innebærer etter dette at rettighetshaverens ansvar ved uautoriserte låneopptak og andre uautoriserte avtaler om finansielle tjenester reguleres likt med kundens ansvar ved uautoriserte betalingstransaksjoner (jf. punkt 18.1). Med dagens teknologi bør erstatningsansvaret være det samme. Departementet viser i den forbindelse til høringsuttalelsen fra Nasjonal kommunikasjonsmyndighet, som er statlig tilsynsorgan for blant annet tilbydere av kvalifisert elektronisk signatur og det tilsynsorganet som sertifiserer tilbyderne. Etter departementets syn bør det tillegges betydelig vekt at Nasjonal kommunikasjonsmyndighet ikke ser gode grunner for å forskjellsbehandle kundens og rettighetshaverens ansvar i disse tilfellene.
Som begrunnelse for forslaget vil departementet innledningsvis også særlig peke på at misbruk av elektronisk signatur i forbindelse med finansielle avtaler vil kunne få svært negative økonomiske og personlige følger for den enkelte som utsettes for det. Slik departementet ser det, er det et klart behov for en bedre beskyttelse av enkeltpersoner enn det som følger av dagens regler.
Departementet viser videre til at bruken av elektronisk signatur og sterk kundeautentisering er mer omfattende i dag enn tidligere. Mulighetene for svindel har derfor økt, og i mange tilfeller benyttes de samme løsningene og sikkerhetsordningene til kjøp av varer og tjenester på internett som ved avtaleinngåelser. Det er selvsagt en fordel for brukerne at løsningene som tilbys, er enkle å bruke. Men det må samtidig kunne anføres at når det utstedes løsninger som gir samme fremgangsmåte for betalingstransaksjoner som for avtaleinngåelse, så har tilbyderen av løsningen og den finansielle tjenesteyteren medvirket til den økte risikoen. Dersom det var ulike fremgangsmåter for å godkjenne betalingstransaksjoner og for signering av kredittsøknader, for eksempel ved at det kreves forskjellige koder, er det nærliggende å anta at det ville føre til en redusert risiko.
Tjenesteyteren, og tilbyderen av tillitstjenester, har langt flere muligheter enn den enkelte rettighetshaveren til å iverksette tiltak for å unngå at tredjepersoner misbruker de elektroniske signaturfremstillingsdataene, og til å pulverisere tap i den forbindelse. Departementet viser som eksempel til at når kredittyteren utbetaler kredittbeløp til andre enn rettighetshaveren selv, og stiller kredittbeløpene til disposisjon svært raskt, må det kunne hevdes at kredittyteren selv legger forholdene til rette for misbruk. Muligheten for at rettighetshaveren oppfatter misbruket – kanskje før kredittbeløpet utbetales – ville øke betraktelig dersom kredittytere i større grad sendte bekreftelser på låneforespørsel til rettighetshaverens offentlig registrerte mobilnummer, adresse eller elektroniske postkasse. Det bør dessuten være mulig for kredittyteren å sikre at kreditt bare utbetales til en konto som tilhører den som har søkt kreditt, slik også EnterCard Norge har pekt på i høringen at seriøse kredittytere vil gjøre. Svindleren kan riktignok også opprette konto i pseudounderskriverens navn med sikte på utbetalingen av kredittbeløpet, men departementet legger til grunn at reglene om uautoriserte betalingstransaksjoner gjelder for en slik konto. Kredittyteren vil dessuten kunne være langt mer aktsom ved å utbetale kredittbeløpet til kontoen som er oppført i kredittsøkerens selvangivelse.
Det er også foretakene selv, og ikke kundene, som har kontroll over rutinene og sikkerhetsmekanismene som skal gjelde ved bruk av digitale løsninger. Begrensninger for kundens ansvar vil kunne gi tjenesteytere et insitament til å sørge for mer betryggende metoder for autentisering ved elektronisk inngåelse av avtaler og bruk av tjenester. Jo tryggere ordninger som utvikles for autentisering ved elektronisk kommunikasjon, desto mindre er mulighetene for misbruk. BankID Norge AS er selv inne på noe av dette når det i høringsuttalelsen blir vist til at det skjer en «rivende utvikling» på området, og at kodebrikken er «en teknologi som har kortvarig overlevelseskraft og den teknologiske utviklingen vil medføre tryggere og mer effektive signerings- og identifiseringsløsninger som er langt mer tillitsvekkende å benytte enn fysisk signatur».
Departementet legger også vekt på at kundene i praksis i stor grad er avhengige av å benytte seg av digitale løsninger for å få tilgang til finansielle tjenester. Banker og andre finansforetak har få betjente forretningslokaler. Som det er pekt på i høringen, vil det derfor forekomme at kunder utstyrer seg med elektronisk signatur utelukkende for å få tilgang til grunnleggende, og i det daglige nødvendige, finansielle tjenester, så som betalingstjenester. Men siden den elektroniske signaturen kan brukes også til andre disposisjoner – for eksempel låneopptak – vil dette medføre en for kunden uønsket risiko for misbruk i andre sammenhenger enn betalingstransaksjoner.
Pensjonistforbundet har pekt på at eldre mennesker er spesielt sårbare for å bli utsatt for identitetstyveri fordi mange ikke behersker digitale verktøy fullt ut og er avhengig av å få hjelp av andre. Departementet antar også derfor at en likestilling av de to misbrukssituasjonene bør gi bransjen insentiver til å iverksette tiltak og utvikle teknologi som hindrer og oppdager misbruk.
Digitaliseringen har ført til en betydelig rasjonaliserings- og effektiviseringsgevinst for finansnæringen. En situasjon der gevinsten først og fremst kommer næringen selv til gode, mens det først og fremst er kunden som skal ha risikoen for misbruk, er neppe holdbar på sikt hvis man ønsker å opprettholde tilliten til digitale løsninger. Etter departementets syn vil grenser for kundens ansvar ved misbruk nettopp være en faktor som kan gjøre at publikum er villig til å ta i bruk teknologi som også lar seg misbruke av uvedkommende. Som noen høringsinstanser peker på, kan det at brukerne av elektronisk signatur opplever det som utrygt, være egnet til å bremse digitaliseringen. Etter departementets syn kan forslaget etter dette bidra til økt tillit til elektroniske løsninger, ikke det motsatte, slik det er hevdet av enkelte av høringsinstansene.
Departementet viser dessuten til at en regulering med grenser for rettighetshaverens ansvar ved misbruk av elektronisk signatur gjør det mindre betenkelig å åpne for at kausjonsavtaler kan inngås elektronisk, noe som har vært etterspurt av næringen, se punkt 11. Det vises i den forbindelse til at ansvaret som kan følge av en kausjonsavtale, gjerne vil gå ut på et langt høyere beløp enn det som vil være tilfellet i forbindelse med en avtale om usikret forbrukskreditt.
Noen av høringsinstansene som går imot forslaget, gir uttrykk for at uautoriserte betalingstransaksjoner er misbrukssituasjoner som skiller seg vesentlig fra misbruk av elektronisk signatur. EnterCard Norge viser blant annet til at spørsmål om misbruk av et gyldig utstedt betalingsinstrument etter gjeldende § 35 typisk gjelder bruk av betalingskort i minibanker eller på brukersteder ute i offentligheten, der det er vanskelig for kunden å beskytte seg helt mot bedrageri, tyveri og overfall, men mener at der det er tale om opprinnelig låneopptak ved bruk av BankID, er situasjonen en helt annen. Departementet vil bemerke at gjeldende § 35 og lovforslaget § 4-30 om misbruk av betalingsinstrument ikke er begrenset til betalingstransaksjoner iverksatt med betalingskort. Bestemmelsene omfatter også betalingstransaksjoner iverksatt ved bruk av andre betalingsinstrumenter, for eksempel elektronisk signatur i kundens nettbank, se punkt 18.2.2.
Det er betydelige likheter mellom de krav til sterk kundeautentisering som gjør seg gjeldende for en kunde ved bruk av betalingstjenester, og de krav som gjelder ved kvalifisert elektronisk signatur. Det er nettopp denne likheten i de tekniske kravspesifikasjonene som gjør at samme løsning kan benyttes både til sterk kundeautentisering og til elektronisk signatur. Etter departementets syn må dette være avgjørende for at misbruk som utføres med samme fremgangsmåte, bør reguleres likt i tilknytning til finansielle tjenester. Tjenesteyterens ansvar for tap kan riktignok bli klart større ved misbruk av elektroniske signaturfremstillingsdata ved opptak av kreditt enn når samme løsning brukes som betalingsinstrument til å gjennomføre en kontooverføring, men dette skyldes de grensene betalingstjenesteytere har satt for størrelsen på betalingstransaksjoner som kunden kan gjennomføre ved bruk av tjenesten. Slik departementet ser det, er det ikke noe som skulle hindre kredittytere i å innføre lignende sikkerhetstiltak ved utbetaling av kreditt.
Departementet er likevel enig at i uautoriserte betalingstransaksjoner og misbruk av elektroniske signaturer vil kunne forekomme i noe ulike situasjoner, noe som vil kunne ha betydning for hvilket ansvar rettighetshaveren eller pseudounderskriveren har. I tilfeller der pseudounderskriveren ikke har et tidligere etablert kundeforhold hos den finansielle tjenesteyteren før misbruket blir utført, er utgangspunktet at lovforslaget regulerer verken avtaleforholdet mellom pseudounderskriveren og tilbyderen av den elektroniske signaturløsningen eller avtalevilkårene mellom pseudounderskriveren og den finansielle tjenesteyteren om sikkerhet og bruk av tjenester. I slike tilfeller vil pseudounderskriverens ansvar for misbruk bero på alminnelige regler om erstatningsansvar utenfor kontrakt. Skulle forholdet imidlertid være slik at misbruk er skjedd i relasjon til en finansiell tjenesteyter som pseudounderskriveren allerede har et etablert kundeforhold til, kan et eventuelt erstatningsansvar for pseudounderskriveren også bygge på avtalevilkår i den aktuelle kundeavtalen om bruk av elektronisk signatur. Departementet antar at det skal noe mer til for å konstatere uaktsomhet i relasjon til tjenesteytere hvor det ikke foreligger et tidligere etablert kundeforhold, enn der det foreligger et etablert kundeforhold som har relevante avtalevilkår for den aktuelle misbrukssituasjonen. På disse punktene kan situasjonen dermed være noe annerledes enn ved uautoriserte betalingstransaksjoner, hvor det alltid vil foreligge et etablert kundeforhold med slike vilkår.
I den sammenheng kan det nevnes at det i lovforslaget § 3-17 er inntatt enkelte plikter for tilbyderen om tilrettelegging for varsling ved misbruk av elektroniske signaturfremstillingsdata, som for tilbyderen av den elektroniske signaturløsningen vil tilsvare den finansielle tjenesteyterens plikter i relasjon til misbruk av betalingsinstrument. Departementet foreslår videre at finansielle tjenesteytere som tilbyr sine kunder å signere med elektronisk signatur, også skal ha opplysninger lett tilgjengelig for sine kunder om hvordan kunden skal varsle om misbruk av elektronisk signatur, jf. § 3-18. En slik opplysningsplikt bør bare gjelde for de elektroniske signaturene tjenesteyteren aksepterer. Tjenesteyteren bør kunne oppfylle denne opplysningsplikten ved å vise til tilsvarende informasjon fra tilbyderen av den elektroniske signaturløsningen.
I høringen har på den ene siden Affinion International AS, Juridisk rådgivning for kvinner og Jussbuss anført at det kan forekomme misbruk uten at pseudounderskriveren med rimelighet kan lastes. Andre høringsinstanser, for eksempel BlueStep Bank AB, er på den annen side av den oppfatning at BankID er «et meget sikkert system som i praksis ikke er åpent for misbruk med mindre kunden overlater sitt sertifikat til andre». Departementet legger til grunn at det her, som ellers, vil kunne forekomme at det oppstår tap uten at det lar seg gjøre å peke på noen konkret uaktsom, grov uaktsomt eller forsettlig handling som årsak til tapet. På samme måte som at tjenesteyteren etter lovforslaget ikke selv vil være erstatningsansvarlig overfor kunden for mindre avvik fra optimal handlemåte, jf. punkt 24.5.2, kan heller ikke ethvert avvik fra optimal atferd fra kundens hånd lede til erstatningsansvar for kunden.
BankID Norge AS og Finans Norge har vist til at det er en vesensforskjell mellom svindelsituasjonene misbruk av elektronisk signatur og identitetstyveri på den ene siden og på den andre siden misbruk i nære relasjoner eller der kunden rettstridig deler sin elektroniske signatur med andre. BankID Norge AS og Finans Norge synes å ha oppfattet høringsnotatet slik at forslaget likestilte disse misbrukssituasjonene. Departementet vil bemerke at når kunden med forsett har gitt sine signaturfremstillingsdata og sikkerhetsordninger til andre, vil kunden etter forslaget som et utgangspunkt være fullt ansvarlig for tap som skyldes misbruk av de elektroniske signaturfremstillingsdataene. Kunden vil dessuten være fullt ansvarlig for tap som skyldes forsettlig mislighold av vesentlige sikkerhetsvilkår for utstedelse av elektronisk signatur fra den aktuelle tilbyderen av signaturløsningen, med reservasjon for eventuelle urimelige vilkår i brukeravtalen.
Det kan være noe uklart hva som nærmere ligger i skyldkravet forsett på privatrettens område, se blant annet Hagstrøm: Obligasjonsrett (2011) s. 479–482, jf. s. 69–70 med videre henvisninger. Det reiser seg for eksempel spørsmål om forsettet må omfatte tapet, eller om det er tilstrekkelig at forsettet omfatter kontraktsbruddet eller overtredelsen av atferdsnormen. Forsettskravet vil også kunne variere med kontraktstypen og kontraktsbruddet. Det kan derfor være behov for å angi nærmere hva som ligger i forsettskravet i de foreslåtte reglene om ansvar for misbruk av elektronisk signatur. Et ubegrenset ansvar for rettighetshaveren bør være forbeholdt tilfeller der rettighetshaveren med forsett har satt seg ut over tjenesteyterens sentrale interesser eller tilsidesetter sikkerhetsordninger som er avgjørende at blir fulgt ved normal bruk av signaturløsningen, for eksempel ved at sikkerhetsordningene for de elektroniske signaturfremstillingsdataene med forsett deles med andre. Men departementet ser ikke behov for å gå så langt som å kreve at forsettet må omfatte tapet.
I den danske loven om betalinger § 100 femte ledd er det for spørsmålet om bortfall av ansvarsgrensene avgjørende om «betaleren med forsæt har oplyst den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, og at det er sket under omstændigheder, hvor betaleren indså eller burde have indset, at der var risiko for misbrug». I tillegg til at rettighetshaveren forsettlig må ha gitt de elektroniske signaturfremstillingsdataene til en tredjeperson, stilles det altså krav om at rettighetshaveren ved dette i det minste utviste uaktsomhet når det gjelder følgene (misbruket) av pliktbruddet. En slik modell vil kunne ta høyde for at det finnes kunder som ikke har teknisk kompetanse til å bruke de elektroniske signaturfremstillingsdataene, og som dermed lar seg bistå av noen som vedkommende stoler på. Selv om rettighetshaveren ved å gi sikkerhetsanordningene til tredjepersonen da gjør seg skyldig i et forsettlig kontraktsbrudd, kan omstendighetene tilsi at rettighetshaveren ikke var uaktsom med hensyn til at tredjepersonen ville misbruke de elektroniske signaturfremstillingsdataene.
Departementet går imidlertid ikke inn for en slik løsning. Det avgjørende for departementet er at samme system og sikkerhetsordninger kan benyttes til å gjennomføre både uautoriserte betalingstransaksjoner og andre disposisjoner. Departementet foreslår derfor at ansvarsreglene utformes tilnærmet likt med ansvarsreglene som gjelder for uautoriserte betalingstransaksjoner. Etter departementets vurdering kan en regel som stiller krav om at skylden også må omfatte følgene av pliktbruddet, stå i et spenningsforhold til ordlyden i artikkel 74 nr. 1 annet ledd i det reviderte betalingstjenestedirektivet.
For å avgjøre om rettighetshaveren har utvist forsett, er det uten betydning om rettighetshaveren eventuelt ikke er kjent med eller misforstår sine forpliktelser etter loven eller avtalen («rettsvillfarelse»). Rettighetshaverens villfarelse om sine forpliktelser ved håndtering av sikkerhetsordninger som er fastsatt i signaturtilbyderens brukervilkår, kan imidlertid anses unnskyldelig etter alminnelige regler, se nedenfor. Tjenesteyteren har dermed en selvstendig oppfordring til å gjøre rettighetshaveren kjent med sikker bruk av elektronisk signatur i tilknytning til finansielle tjenester.
Siden rettighetshaverens villfarelse om sine plikter normalt ikke vil være unnskyldelig, vil en rettighetshaver som med forsett gir sine signaturfremstillingsdata og sikkerhetsordninger til en tredjeperson, som utgangspunkt måtte bære hele ansvaret. Typetilfellet som synes å utgjøre hovedinnvendingen fra flere av høringsinstansene, får dermed ikke de konsekvensene disse høringsinstansene bygger innvendingene sine på.
Når det gjelder Forbrukerombudets uttalelse om at dersom rettighetshaveren ikke har fått veiledning i krav til bruk og oppbevaring av sikkerhetsordninger og signaturfremstillingsdata, må det i seg selv være nok til å utelukke at rettighetshaveren kan anses for å ha opptrådt grovt uaktsomt, viser departementet til forordning (EU) nr. 910/2014 artikkel 24 nr. 2 bokstav d, som stiller krav til kvalifiserte tilbydere av tillitstjenester. Det følger av denne bestemmelsen at tilbyderen «før inngåelse av et kontraktsforhold, på en tydelig og forståelig måte [skal] opplyse enhver person som ønsker å benytte en kvalifisert tillitstjeneste, om de nøyaktige vilkårene for bruk av denne tjenesten, herunder eventuelle bruksbegrensning». Etter bokstav g skal tilbyderen «treffe egnede tiltak mot forfalskning og tyveri av data». Det er videre angitt flere sikkerhetsbestemmelser for systemene som brukes, og krav til kontroll av signaturbrukerens identitet mv. Tilbyderen vil etter artikkel 13 være ansvarlig for tap som oppstår og skyldes manglende overholdelse av kravene i forordningen. En kvalifisert tilbyder av tillitstjenester formodes i et slikt tilfelle å ha handlet forsettlig eller uaktsomt, med mindre tilbyderen beviser at skaden nevnt i artikkel 13 nr. 1 første ledd oppsto uten at tilbyderen har handlet med forsett eller uaktsomt, jf. nr. 2. Disse reglene synes å ivareta synspunktet i høringsuttalelsen fra Forbrukerombudet. Det vil etter forordningen med andre ord kunne gjøres krav gjeldende mot tilbyderen av den elektroniske signaturløsningen. For å få utstedt en løsning for elektronisk signatur kreves det etter gjeldende regler personlig fremmøte og fremvisning av gyldig legitimasjon. Departementet antar at det kan være grunnlag for ansvar for tilbyderen dersom tilbyderen burde forstå at løsningen utstedes til en person som ikke har forutsetninger for å benytte den i samsvar med vilkårene. Videre vil det neppe kunne legges til grunn at pseudounderskriveren har opptrådt med grov uaktsomhet hvis tilbyderen ikke har gitt tilstrekkelig veiledning om bruken av de elektroniske signaturfremstillingsdataene.
Selv om det trolig først og fremst er tilbyderen som har innflytelse på utformingen og sikkerhet knyttet til et produkt som gjøres tilgjengelig for partene ved inngåelse av en avtale om finansielle tjenester, foreslår departementet ikke regler om tilbyderens ansvar overfor kunden. I lovforslaget reguleres kun ansvaret for den finansielle tjenesteyteren. På bakgrunn av at det er tilbyderen av tillitstjenesten som reelt sett har de beste forutsetningene for autentisering av signaturen, foreslås det imidlertid at tilbyderen innenfor rammen av sitt ansvarsområde skal ha bevisbyrden for at den kvalifiserte elektroniske signaturen er korrekt validert og ikke berørt av teknisk svikt eller andre feil. Se nærmere § 3-6 annet ledd og punkt 12.
Departementet antar at denne løsningen kan gjøre det enklere for den finansielle tjenesteyteren å gjøre gjeldende krav mot tilbyderen for sitt tap gjennom regress eller på annet grunnlag. Med en slik løsning får tilbyderen også insentiv til å sørge for tryggere løsninger, samtidig som at den finansielle tjenesteyteren har insentiv til å sørge for å ta i bruk trygge og sikre løsninger. Tjenesteyteren vil gjennom sitt valg av tilbydere av løsning for elektronisk signatur blant annet måtte ta i betraktning både tilbyderens mulighet for å autentisere signaturer og eventuell risiko for at tilbyderen ikke vil legge frem de bevis som tjenesteyteren trenger for å kunne dokumentere at signaturen ble autentisert på korrekt måte.
Etter det departementet erfarer, er det i dag ingen kvalifiserte tilbydere av tillitstjenester i det norske markedet. Når det ikke er brukt en kvalifisert tilbyder av tillitstjenester, vil det etter lovforslaget § 3-6 første ledd være den finansielle tjenesteyteren som har bevisbyrden. Tilsvarende vil reguleringen av tilbyderens plikter i § 3-17 gi insentiv til å benytte kvalifiserte tilbydere. Er det ikke benyttet en kvalifisert tilbyder, vil tjenesteyteren selv ha en større risiko knyttet til autentiseringen. Departementet legger til grunn at lovforslaget i relasjon til kunden er til hinder for at den finansielle tjenesteyteren har vilkår om rettighetshaverens plikter som er mer tyngende for rettighetshaveren enn det som følger av lovforslaget § 3-17.
En innvending blant høringsinstansene som har gått imot forslaget, er at ansvarsbegrensningene vil føre til at et mulig erstatningsansvar ikke vil virke tilstrekkelig preventivt for rettighetshaveren og personkretsen som typisk kan misbruke de elektroniske signaturfremstillingsdataene, for eksempel rettighetshaverens familiemedlemmer og øvrige husstand. Det er anført at risikoen for misbruk dermed blir større, og at forslaget plasserer en for stor del av denne risikoen hos tjenesteyteren. Synspunktet bygger på at rettighetshaveren ikke vil ha samme oppfordring som i dag til å utvise forsiktighet i sin omgang med signaturløsningen hvis ansvaret begrenses gjennom egenandeler. Det vises også til at personkretsen som typisk står nærmest til å utføre misbruket, nære slektninger og medlemmer av husstanden, ikke vil ha samme oppfordring til av samvittighetsgrunner å avstå fra å misbruke den elektroniske signaturen, ettersom rettighetshaveren ikke risikerer å bære hele tapet.
Departementet deler ikke disse oppfatningene. BankID Norge AS og Finans Norge gir uttrykk for at misbruk av elektronisk signatur ikke er et utbredt problem i dag, men at det forekommer. Ut fra høringsuttalelsene til Affinion International AS, Jussbuss og Juridisk rådgivning for kvinner kan det imidlertid synes å være et mer utbredt problem. Departementet er også kjent med at det tilbys forsikring mot identitetstyveri i tilknytning til finansielle avtaler og tjenester i markedet, noe som tyder på at problemstillingen i hvert fall ikke er helt upraktisk.
Departementet har videre vanskelig for å se at forslaget om ansvarsfordelingen ved misbruk av elektronisk signatur i tilknytning til en finansavtale vil medføre en markert endring i kunders håndtering og oppbevaring av de elektroniske signaturfremstillingsdataene. Det vises til at rettighetshaveren som regel vil bruke signaturløsningen i en rekke andre sammenhenger: Så langt en disposisjon kan foretas elektronisk og en elektronisk signatur aksepteres, er elektronisk signatur likestilt med fysisk underskrift. Signaturløsningene brukes dessuten i kommunikasjon med offentlige myndigheter i en rekke sammenhenger, for eksempel i forbindelse med offentlige tjenester, stønadsordninger, bekreftelse av skattemelding mv. Dersom rettighetshaveren ikke håndterer de personlige sikkerhetsordningene knyttet til signaturfremstillingsdataene på forsvarlig vis, vil det innebære en risiko for misbruk. Lovforslaget regulerer kun misbruk av elektronisk signatur i tilknytning til avtaler om finansielle tjenester. Hvilke konsekvenser misbruket har i andre sammenhenger, reguleres av andre regler. Både pseudounderskriveren og den som utfører misbruket, kan for eksempel straffes på nærmere vilkår. Dette har tjenesteyteren selv anledning til å opplyse kunden om. Departementet peker dessuten på at et egenandelsansvar på 12 000 kroner ved grov uaktsomhet for de fleste utgjør et ikke ubetydelig beløp. Ansvaret er etter forslaget dessuten ubegrenset ved forsettlige brudd på vesentlige vilkår for utstedelse og bruk, noe høringsinstansene synes å mene er den mest praktiske skyldformen ved misbruk av elektronisk signatur.
Departementet foreslår imidlertid i tråd med høringsinnspillene fra BankID Norge AS og Finans Norge og på samme måte som for betalingsinstrumenter at det lovfestes regler for håndtering av signaturfremstillingsdata til elektronisk signatur og de personlige sikkerhetsordningene knyttet til signaturløsningen, se § 3-19 i lovforslaget. Bestemmelsen pålegger rettighetshaveren å bruke elektronisk signatur i samsvar med vilkårene for utstedelse og bruk og til å ta alle rimelige skritt for å beskytte personlige sikkerhetsordninger. Rettighetshaverens plikter i forbindelse med håndtering av signaturfremstillingsdata og sikkerhetsordninger reguleres i dag i det vesentlige ved avtale. En lovfesting av visse krav til rettighetshaverens håndtering kan sammen med tjenesteyterens opplysninger og veiledning om dette bidra til å bevisstgjøre rettighetshaveren om sine plikter. Det vises i denne sammenheng til Forbrukerombudets høringsuttalelse, som fremhever viktigheten av at rettighetshaveren er kjent med, og har et bevisst forhold til, pliktene som gjelder ved bruk av sertifikat til elektronisk signatur.
Departementet foreslår at det fremdeles skal være slik at vilkårene for utstedelse og bruk skal kunne avtalereguleres ut over reglene i lovforslaget, noe både BankID Norge AS og Finans Norge har understreket at det fortatt vil være behov for. Slike vilkår kan imidlertid ikke avtales hvis de medfører ulemper for forbrukeren sammenlignet med lovforslaget, jf. § 1-9. Dessuten vil det være et krav etter lovforslaget, i samsvar med kravene i det reviderte betalingstjenestedirektivet artikkel 69 nr. 1 bokstav a for betalingsinstrumenter, at vilkårene er objektive, ikke innebærer forskjellsbehandling og står i forhold til formålet, jf. § 3-19 første ledd tredje punktum.
BankID Norge AS har i sin høringsuttalelse poengtert at elektronisk signatur er like bindende som fysisk signatur, «og bør behandles deretter». Det har i høringen også vært anført som en innvending mot forslaget at det er foreslått ansvarsgrenser for misbruk av elektronisk signatur, men ikke for misbruk av annen type signatur, og at dette vil kunne medføre at bankene vil foretrekke andre former for signatur ved inngåelse av finansielle avtaler, noe som ikke er heldig i et digitaliseringsperspektiv. Departementet er enig i at en kvalifisert elektronisk signatur skal ha samme rettsvirkning som en håndskreven signatur (forutsatt at loven åpner for at en aktuell disposisjon kan gjennomføres ved bruk av elektronisk signatur), og viser til at lovforslaget heller ikke innebærer noen endring på dette punktet: En håndskrevet signatur som ikke er skrevet av pseudounderskriveren, er ikke bindende for pseudounderskriveren. Det samme gjelder ved elektronisk signatur. Departementet viser videre til at det følger av forordning (EU) nr. 910/2014 artikkel 25 nr. 2 at en kvalifisert elektronisk signatur har samme rettsvirkning som håndskreven signatur. Lovforslaget innebærer med andre ord ingen endring av reglene om signaturers gyldighet. Lovforslaget gjelder derimot spørsmålet om hvilken økonomisk risiko pseudounderskriveren skal ha i relasjon til en finansiell tjenesteyter som i god tro har handlet i tillit til at pseudounderskriften var ekte. Departementet har for øvrig vanskelig for å se det som en nærliggende konsekvens av forslaget at næringen vil gå tilbake til et krav om håndskrevet signatur. Også denne formen for signatur er utsatt for forfalskninger og misbruk. Videre vil departementet peke på at ansvarsgrensene som gjelder ved misbruk av konto og betalingsinstrument, ikke synes å ha hatt noen betydning for digitaliseringen og nedbyggingen av filialer som kan betjene kunder i skranken.
Departementet har i lys av de nevnte høringsuttalelsene likevel vurdert om det ville være hensiktsmessig å la de foreslåtte reglene om misbruk av elektroniske signaturfremstillingsdata også omfatte misbruk av håndskrevet signatur. Selv om pseudounderskriveren kan ha opptrådt uaktsom også i slike tilfeller, skiller de to tilfellene seg vesentlig fra hverandre ved at den håndskreven signaturen, i motsetning til den elektroniske signaturen, ikke er utstedt av andre enn underskriveren. Spørsmål om sikkerhet og aktsom opptreden blir dermed et annet.
Departementet nevner for øvrig at i lys av den rettsoppfatningen som er lagt til grunn i Borgarting lagmannsretts dom 12. oktober 2019 (se punkt 18.2.2), vil lovforslaget i enkelte tilfeller kunne innebære et skjerpet ansvar for kunden. Det vises her til at i motsetning til det som følger av dommen, vil kunden etter lovforslaget kunne bli ansvarlig for en egenandel. Lovforslaget innebærer etter dette ikke nødvendigvis en strengere regulering for tjenesteyteren enn det som følger av gjeldende rett.
Departementet nevner også at ansvarsfordelingen mellom partene ved misbruk av elektronisk signatur må ses i sammenheng med § 3-6 tredje ledd. Bestemmelsen fastslår at bruk av elektronisk signatur ikke i seg selv skal anses som tilstrekkelig bevis for at det er rettighetshaveren som har signert, eller at rettighetshaveren har opptrådt ved grov egenskyld. Noen høringsinstanser synes å være av den oppfatning at dette innebærer at tjenesteyteren har bevisbyrden i en sak om misbruk av elektronisk signatur. Høringsinstansenes skepsis mot misbruksregelen synes til en viss grad å ha sammenheng med denne forståelse av bevisregelen. Som nevnt i punkt 12 synes imidlertid dette å bygge på en sammenblanding av spørsmålet om beviskraften av en elektronisk signatur og bevisbyrde: Det som reguleres av § 3-6 tredje ledd, er hvordan signaturen i seg selv skal vurderes og vektes i den samlede bevisvurderingen i saken, det vil si signaturens bevisverdi. Bevisbyrden reguleres i § 3-5 første ledd, som i første punktum fastslår at bevisbyrden ligger på den part som har best mulighet og oppfordring til å sikre bevis for omstendigheten. Det vises her til redegjørelsen i punkt 12.5.
I høringen har Finans Norge tatt til orde for at dersom lovforslaget fremmes, bør det kun gjelde for forbrukere. Departementet har vært noe i tvil om dette spørsmålet idet departementet ikke er kjent med omfanget av tilsvarende misbruk når det gjelder næringsdrivende, organisasjoner og stiftelser mv. Beskyttelsesbehovet vil være svært varierende når det gjelder denne gruppen. Departementet foreslår derfor i denne omgang å gjøre reglene fravikelig for andre enn forbrukere i samme utstrekning som for reglene om uautoriserte betalingstransaksjoner.
BankID Norge AS har i høringen gitt uttrykk for at forslaget vil kunne virke negativt på digitaliseringen som følge av det foreslåtte virkeområde for høringsnotatets lovforslag, og mener at det er uklart hvem som kan pådra seg ansvar etter bestemmelsen. Departementet har på denne bakgrunn justert lovforslaget slik at reglene kun skal gjelde for avtaler om finansielle tjenester som inngås med en finansiell tjenesteyter, jf. § 1-2 annet og sjette ledd. Andre finansavtaler, slik som avtaler om betalingsoppgjør mellom to parter hvor ingen opptrer i egenskap av å være finansiell tjenesteyter, vil ikke være omfattet. Det samme gjelder kausjon stilt mellom to privatpersoner, som for øvrig uansett faller utenfor lovens virkeområde. Departementet vil derfor understreke at reglene neppe er egnet for analogisk anvendelse i avtaler der realdebitor ikke er en profesjonell tjenesteyter.
Det vises for øvrig til lovforslaget §§ 3-17 til 3-21 og til proposisjonen punkt 18.1 om risiko for misbruk av konto og betalingsinstrument som reglene i det vesentlige bygger på.