22. oktober avsa Høyesterett en dom som vil pålegge bankene større ansvar ved BankID-svindel. Spørsmålet i saken var om svindelofferet hadde handlet uforsiktig og dermed måtte erstatte lånebeløpet som var innvilget i hans navn. Høyesterett la avgjørende vekt på at banken ikke hadde gjennomført ytterligere kontrolltiltak for å forsikre seg om at personen som tok opp forbrukslånet faktisk var den han utga seg for å være. Banken måtte derfor bære ansvaret for den innvilgede lånesummen. Dommen sender et tydelig signal til banknæringen: Det er på tide å forbedre sikkerheten rundt BankID!
Banknæringen burde særlig merke seg to poenger fra Høyesterettsdommen.
- For det første fremhever Høyesterett at manglende sikkerhet rundt BankID muliggjør svindel uavhengig av offerets uforsiktighet.
- For det andre er det banken og ikke kunden som kan iverksette de beste tiltakene for å forhindre svindel.
Sikkerheten rundt BankID er ikke god nok
Dagens BankID-ordning har ført til at antallet ID-tyveri har skutt i været. Selv om BankID er praktisk, er dette en mørk utvikling. Særlig alvorlig er det at banker i dag inngår låneavtaler som kan beløpe seg til millioner, utelukkende basert på identifikasjon og elektronisk signatur gjennom BankID.
Selv om BankID krever identifisering i to trinn, er sikkerheten langt fra god nok. I nære relasjoner er det i realiteten kun det personlige passordet som sikrer mot misbruk, da det ikke kan forventes at familiemedlemmer oppbevarer deres BankID-brikker i separate safer. Høyesterett uttaler i dommen at «det bare i særlige tilfeller [vil] være aktuelt å anse en oppbevaring hjemme som uaktsom».
Hver uke er Jussbuss i kontakt med klienter som har blitt utsatt for BankID-svindel. Et stort flertall har blitt svindlet av nærstående, som en samboer, et barnebarn eller en forelder. Svindelofrene har som regel oppbevart BankID-brikken sin på samme måte som folk flest; liggende et sted i huset. Svindler behøver dermed bare å finne ut av det personlige passordet for å kunne foreta økonomiske disposisjoner i offerets navn. Svindelofrene som Jussbuss er i kontakt med er som regel helt ukjent med hvordan svindler fikk vite passordet.
I den nylig avsagte Høyesterettsdommen var det heller ikke kjent hvordan svindlerne hadde fått tilgang til passordet. Retten fremhevet at svindlers tilegnelse av passordet kan være utenfor offerets kontroll. Som eksempel viste Høyesterett til at en keylogger for en periode kan kobles mellom PC og tastatur, og registrere inntastinger på tastaturet. Keyloggeren kan lett overses av den som bruker PC-en. Høyesterett understreket også at en svindler kan få tilgang på passordet ved ulike former for overvåkning av innehaveren mens vedkommende bruker BankID. Gjennom slik overvåkning kan svindlere tilegne seg passordet uten at innehaveren har handlet uforsiktig.
EU-domstolen: Meta brøt personvernregler
Banken kan iverksette de beste tiltakene mot svindel
Jussbuss erfarer også at bankene ikke har tilstrekkelige kontrollmekanismer for å gjøre svindelofre oppmerksomme på svindel når det først skjer. Det medfører at ofre sjeldent gis mulighet til å handle verken før svindelen skjer, eller tidsnok til å begrense omfanget.
Jeg vil skissere en typisk sak Jussbuss mottar. En klient er blitt utsatt for identitetstyveri av sin samboer. Samboeren har tatt opp forbrukslån i flere titalls banker, på totalt over én million kroner. For å skjule svindelen har svindler hentet posten hver dag, og dermed sørget for at offeret ikke fikk kjennskap til verken kredittkortene eller den løpende gjelden. Vi har også sett at svindler har opprettet mobilnummer i offerets navn som er registrert hos banken. Det tar lang tid før offeret oppdager svindelen. I mellomtiden kan kravene gå til forliksrådet, og hvis offeret ikke blir oppmerksom på dette, vil svindelen gå uoppdaget frem til Namsmannen tar utleggstrekk av lønnen til svindelofferet.
Eksempelsaken viser at manglende kontrolltiltak rundt låneopptak kan gjøre det nærmest umulig for offeret å oppdage svindelen. Høyesterett tar opp problemstillingen i dommen. De uttaler at det var «mulig for banken å foreta ytterligere kontrolltiltak før man utbetalte lånebeløpet. Dersom man hadde gjort dette, er det stor sannsynlighet for at misbruket ville vært unngått. Banken har dermed bevisst valgt en handlemåte som innebar en klar risiko for tap».
Høyesterett er altså klar på at det er bankene som kan iverksette de beste tiltakene for å forhindre svindel. Under henvisning til forarbeidene til ny finansavtalelov nevner Høyesterett som eksempel at bankene kan sende bekreftelser på låneforespørsel til kontoeierens mobilnumre, adresse eller elektroniske postkasse.
Flere banker er allerede i gang med å utarbeide slike sikkerhetsløsninger. Sett hen til hvordan svindler i eksempelsaken vår holdt svindelen skjult for offeret, burde imidlertid varsel sendes til både mobilnummeret, adressen og den elektroniske postkassen til svindelofferet. Det holder ikke med varsling ett sted.
Høyesterett lar ikke bankene slippe unna
Bankene må utarbeide ytterligere sikkerhetstiltak rundt BankID for å forhindre svindel. Med den nye høyesterettsdommen har bankene fått større insentiv til å få på plass tilstrekkelige kontrollmekanismer, ved at risikoen i større grad skyves over på finansnæringen. Ny finansavtalelov er også på trappene, og det er foreslått at banken som hovedregel skal bære tapet ved misbruk av BankID. Kombinasjonen av ny finansavtalelov dersom den vedtas, og Høyesteretts uttalelser, vil styrke insentivet ytterligere.
Finansielle tjenester i Norge er i dag innrettet på en måte som gjør brukerne avhengige av BankID. Da er det ikke rimelig å rette pekefingeren mot forbrukerne når det skjer misbruk. Høyesterett har inntatt et tydelig standpunkt, og etter dommen har ikke bankene lenger noe valg. Finansnæringen må forbedre sikkerheten rundt BankID hvis de vil fortsette å drive lukrativ business.
Nordea sliter med langvarig dataangrep: – Veldig uheldig