Embed Size (px)
Citation preview
Misbruk av BankID- noen obligasjonsrettslige
problemstillinger
og misbrukes
Hvordan skjer misbruk av BankID?
• Misbruk foretatt av en ukjent gjerningsperson
på nett
– Hacking
– Phising
• Misbruk foretatt av nærstående
– Pålogging på annens nettbank, overføring av
penger
– Lån i en annens navn
Rettslig grunnlag for tapsallokering
• Uautoriserte betalingstransaksjoner
– Regulert i finansavtaleloven
• Uautorisert låneopptak
– Ingen særregulering av dette – må løses med
utgangspunkt i alminnelig kontrakts- og
erstatningsrett
Uautoriserte betalingstransaksjoner
• Finansavtaleloven § 35
• Finansinstitusjonen har som hovedregel
ansvar for «uautoriserte
betalingstransaksjoner»
• Kunden er ansvarlig for en egenandel på
12000 kroner ved grov uaktsomhet
• Reiser to spørsmål
– Når er en betalingstransaksjonen «uautorisert»?
– Hvor går grensen for «grov uaktsomhet»?
Når er en betalingstransaksjon
«uautorisert»?
• «En betalingstransaksjon anses bare som
autorisert dersom betaleren har gitt samtykke
til transaksjonen», jf. finansavtaleloven § 24
• Hva om du låner bort BankID til samboeren
for at samboeren skal hjelpe deg med
selvangivelsen?
• Må ha gitt samtykke til den konkrete
transaksjonen
Er det grovt uaktsomt å
følge linken og oppdatere
sikkerhetsinnstillingene
med BankID?
FinKN-2017-649
«Sakens dokumenter viser at både e-posten og den nettsiden
klageren ble ledet inn på, var troverdige. Lenken førte tilsynelatende
til Apples nettside. Den førte likevel ikke dit, men til en falsk side.
Nemnda forstår det slik at det var vanskelig eller umulig for
kortholderen å se at lenken og nettsiden ikke var ekte. Grov
uaktsomhet må derfor i tilfelle begrunnes med at kortholderen fulgte
en lenke i en e-post i stedet for selv aktivt å taste inn adressen, og at
han ga fra seg sikkerhetsopplysninger på den siden lenken første
ham til. … Med den publisitet som finnes om svindel og med de
advarsler som gis mot å la seg svindle, mener nemnda at det må det
regnes som grovt uaktsomt å gi sikkerhetsopplysninger på denne
måten, selv om både e-posten og nettsiden var troverdige. Nemnda
konkluderer med at kortholderen har opptrådt grovt uaktsomt i
saken.»
Misbruk av BankID til låneopptak
• Problemstillinger
– Er en avtale inngått med BankID i en annens
navn bindende for innehaveren av BankID?
• Reiser spørsmål om fullmakt
– Hvis avtalen ikke er bindende, kan den som er
utsatt for ID-tyveriet likevel bli ansvarlig for å
betale tilbake lånet til banken?
Avtalebinding
• Utgangspunktet:
– Avtale inngått i annens navn er ikke bindende
(tilsvarer falsk underskrift)
• Unntak: fullmakt
• Når innebærer misbruk av en annens BankID
fullmakt slik at avtalen binder den som
utsettes for misbruket?
Dansk Højesteret sag 82/2018
• http://www.hoejesteret.dk/hoejesteret/nyheder/Afgorelser/Docu
ments/82-18.pdf
Afgørelsen af, om indehaveren bliver aftaleretligt forpligtet i tilfælde af, at
tredjemand misbruger indehaverens digitale signatur, må træffes på
grundlag af en konkret vurdering af det samlede hændelsesforløb. I denne
vurdering indgår bl.a., under hvilke omstændigheder tredjemand er
kommet i besiddelse af indehaverens nøgle (brugernavn, adgangskode
og nøglekort til NemID), om indehaveren har haft kendskab til, at
tredjemand er kommet i besiddelse af de pågældende oplysninger, og om
indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks.
ved at spærre sit NemID så hurtigt som muligt, jf. herved betænkning nr.
1456/2004 om e-signaturs retsvirkninger, side 105-110. Herefter tiltræder
Højesteret af de grunde, der er anført af landsretten, at A har udvist en
sådan grad af uagtsomhed, at han i forhold til Basisbank hæfter for
låneoptagelsen på aftaleretligt grundlag, selv om underskriften ikke er
tilføjet digitalt af ham selv.
Ansvar på erstatningsrettslig grunnlag
• Den alminnelige culparegelen innebærer at
den som har opptrådt uaktsomt, og dermed
påført en annen tap, blir erstatningsansvarlig.
• Uaktsom håndtering av BankID
– Passord er lett å gjette, ikke byttet på lang tid
– Ikke oppdaterte virusprogrammer
– Skrevet ned passord
– ….
– Erstatningsansvarlig overfor banken?
Utdrag BankID-avtalen
• «PersonBankID er personlig og skal ikke overdras eller på annen måte overlates til
eller brukes av andre enn Kunden. Passord, personlige koder og andre
sikkerhetsprosedyrer må ikke røpes for noen, heller ikke overfor politiet, Banken
eller husstandsmedlemmer. Kunden skal benytte oppdatert programvare, herunder
operativsystem, nettleserprogram og annen programvare for sikker kommunikasjon
med nettstedet, samt antivirusprogramvare. For øvrig skal Kunden følge Bankens til
enhver tid gjeldende sikkerhetsråd.»
• «Dersom noen har handlet i tillit til disposisjoner gjort av uvedkommende som har
misbrukt Kundens BankID, for eksempel inngått avtale med misbrukeren, vil disse
etter alminnelige rettsregler kunne holde Kunden erstatningsansvarlig dersom
misbruket er muliggjort ved forsettlig eller uaktsom handling eller unnlatelse fra
Kundens side.»
• Kan forbrukslånsbanken påberope seg at disse
avtalevilkårene er brutt, og at kunden derfor er
ansvarlig?
BankID-avtalen som tredjemannsavtale– «Prinsippet om avtalens subjektive begrensning er ikke til hinder
for at rettsordenen lenge har godtatt at også en tredjemann kan få
en selvstendig rett på grunn av en avtale som er inngått mellom
andre personer (såkalte tredjemannsavtaler).» Woxholth
BankID-avtale
KundePrimærbank
Forbrukslånsbank
90 år gammel dame med alzheimers
og hjelpeverge (FinKN-2014-550)
«Når det ikke var satt noen begrensninger for klagers bruk av sin bankkonto,
kan nemnda ikke se at banken har utvist noen form for uaktsomhet i denne
saken. Lånesøknaden gjaldt ikke et særlig høyt beløp, og det er ikke opplyst
om noe spesielt påfallende ved den. Søknaden kunne imøtekommes
automatisk. Klager må da være ansvarlig for hele det tapet som måtte bli
følgen av det urettmessige låneopptaket.
Flertallet vil for øvrig tilføye at klager utvilsomt har opptrådt grovt uaktsomt i
forbindelse med oppbevaring av kodebrikke og personlig kode. Etter
avtalens pkt. 9 pliktet hun å sørge for at ikke uvedkommende kunne
misbruke kontoen ved å få tilgang til hennes BankID. I et slikt tilfelle finner
flertallet at klager blir ansvarlig for tapet fullt ut etter alminnelige
erstatningsrettslige regler. Flertallet finner ikke grunnlag for lemping av dette
ansvaret på grunnlag av kontoavtalen eller skadeserstatningsloven § 5-1
eller § 5-2»
LG-2018-151437
Etter lagmannsretten syn har ankende part i dette tilfellet ikke opptrådt med
tilstrekkelig aktsomhet ved bruk av sin nettbank og BankID i forhold til den risiko
som ligger for misbruk av denne type personlig informasjon. Selv om hun ikke har
latt sin samboer bruke hennes nettbank eller opplyst til han hva hennes BankID-
passord var, har hun ikke tatt nødvendige forholdsregler for å sikre at han ikke
kunne gjøre seg kjent hennes BankID-passord. Det vises til at hun etter egen og
samboerens forklaring brukte nettbanken og BankID-passordet selv om de satt
sammen. Det var dette som gjorde det mulig for samboeren å se hva ankende part
tastet inn på sin PC.
Ankende part kunne med letthet ha forhindret at samboer fikk mulighet til å kikke
på passordet hun tastet inn på PC'en ved å vende seg bort fra han ved inntasting
eller at hun skjulte selve inntastingen. Dette gjorde hun imidlertid ikke. Måten hun
forholdt seg på ved bruk av BankID-passordet innebar altså en klar risiko for at
samboeren kunne se hva passordet var. Ved å forholde seg slik, tilsidesatte hun de
generelle kravene og forventingene til henne for bruk av BankID og hun må derfor
bære ansvaret for at BankID-passordet kom til samboerens kunnskap. Hun er
derfor alene på dette grunnlag erstatningsansvarlig for ankemotpartens tap
Ektefelle tar
opp lån i den
andre
ektefellens
navn
• 17-197796TVI-HAUG
• 18-074832TVI-
OTIR/01
• 16-174649TVI-NERO
• 18-050976TVI/ALST
• 14-193249TVI-FOLL
• 17-169552TVI-FOLL
• LA-2017-135340
• LB-2016-43622
Case 4: mor tar opp
lån i datters navn
17-184519TVI-STRO
Case 5: hjemmehjelp misbruker
BankID (HR-2017-2292-A)
Case 7: misbruk i voldelig forhold
• Straffesak, LE-2018-70451
– Mann skyldig i grov mishandling av sin tidligere
samboer over 10 år. Mishandlingen bestod blant
annet av kvelertak, spark mot magen mens
fornærmede var gravid og trusler om å drepe
fornærmede og felles barn.
– «I forbindelse med at samboerskapet tok slutt, tok
tiltalte fornærmedes BankID og benyttet den til å
bytte passord og vanskeliggjorde hennes
mulighet til å kjøpe seg ting på egenhånd.»
Hvis du vil unngå store økonomiske
tap etter misbruk av BankID, pass på:• Ha mye penger på konto, så ID-tyven kan stjele
penger fra kontoen din istedenfor å ta opp lån i ditt
navn
• Ikke fall for sofistikerte nettangrep
• Ikke ha alzheimers (eller andre diagnoser)
• Ikke vær pleietrengende
• Ikke vær narkoman eller ha narkomane
familiemedlemmer
• Ikke ha foreldre eller andre nærstående som lider av
spillavhengighet
• Ikke vær i et voldelig forhold
Forslag til ny finansavtalelov § 14
• Foreslått å likestille misbruk av BankID til
uautoriserte betalingstransaksjoner og annen
misbruk, inkl. misbruk ved låneopptak
Læringsmål, fullført masterstudium
«Jurister skal alltid legge til grunn høye etiske
standarder og de skal kjenne og følge normene for
faglig og akademisk redelighet. Gode jurister skal ha så
vel menneskelige som faglige ferdigheter. Gjennom
studiet vil du få kunnskap om forholdet mellom jussen
og samfunnet, om reglers virkning og utvikling.
Utdannelsen gir deg store muligheter til å påvirke andre
menneskers tilværelse og til å delta i utforming av
samfunnet. Med dette følger et stort ansvar.»
https://www.uio.no/studier/program/jus/hva-lerer-du/
