Aktørenes navn er endret

Aktørenes navn er endret

Avgjørelse Fagutvalg kontrakt

3/11-14gh

TVISTESAK NR 1/2014 FOR FAGUTVALG KONTRAKT:

STOREVIK BANK – LILLEVIK BANK. KRAV OM ERSTATNING ETTER MISBRUK AV FEILUTSTEDT BANKID

Saken gjelder krav om erstatning etter at en BankID som var utstedt av Lillevik Bank til feil person (”Skurken”), urettmessig ble brukt til å disponere over en annen persons konto i Storevik Bank ved bruk av nettbank. Tvistespørsmålet er i hvilken grad Lillevik Bank er erstatningsansvarlig ut over ansvarsgrensen på kr 100 000,- for hver transaksjon.

Utvalget drøftet sekretariatets innstilling i møte 22. oktober 2014 i Finans Norges lokaler i Oslo. På grunnlag av drøftinger i møtet ble det utarbeidet et forslag til utvalgets avgjørelse som er skriftlig behandlet. Alle deltakende utvalgsmedlemmene har i den skriftlige behandlingen sluttet seg til avgjørelsens begrunnelse og konklusjon.

Utvalgets medlem fra Storevik Bank har ikke vært tilstede på møtet 22. oktober 2014 da saken ble behandlet, og heller ikke deltatt i den skriftlige saksbehandlingen etter møtet.

Faktum

Kontraktsutvalget legger følgende hendelsesforløp til grunn:

Lillevik Bank utstedte i november 2013 en BankID på grunnlag av legitimasjonskontroll gjennom Postens PUM-tjeneste. Ved legitimasjonskontrollen som skjedde 4. november, la ”Skurken” fram for Posten et bankkort med bilde utstedt av Storevik Bank, samt kopi av et pass der det blant annet var påskrevet ”rett kopi” av ”Oslo Politikammer” og en signatur. Bankkortet hadde ”Skurken” stjålet fra mottakers postkasse, antagelig i juli 2013. Det er uklart hvordan ”Skurken” hadde fått tak i eller laget den falske kopien av passet. Lillevik Bank mottok den 7. november kopi av de legitimasjonsdokumentene som var fremlagt for Posten og godkjente disse samme dag. Lillevik Bank klargjorde deretter BankID slik at den kunne brukes fra 12. november.

Den 12. november benyttet ”Skurken” den feilutstedte BankID’en fra Lillevik Bank til å overføre kr 180 000 fra kundens MasterCard (kredittkortkonto) til kundens brukskonto og deretter kr 260 000 fra kundens boligkredittkonto til kundens brukskonto – alle kontoene i

Lillevik Bank. Deretter ble hhv kr 190 000 og kr 250 000 overført fra kundens konto i Lillevik Bank til en konto i DNB som ”Skurken” hadde tilgang til. Overføringene skjedde 12. november. Dagen etter hevet ”Skurken” mesteparten av de overførte beløpene i Forex Bank og via andre uttaksmuligheter. Etter uttakene sto det til rest på kontoen i DNB et beløp på kr 11 424 som er returnert til Storevik Bank.

Storevik Bank mener Lillevik Bank er ansvarlig for de uberettigede belastninger fullt ut. Lillevik Bank har erkjent ansvar for to uberettigede transaksjoner, men etter Regler om BankID begrenset til kr 100 000 pr transaksjon. Lillevik Bank la til grunn at det var to transaksjoner medførte tapet, og erkjente ansvar for til sammen kr 200 000. Det tok noe tid før dette beløpet ble overført til Storevik Bank, men dette synes å ha skjedd før 30. juni 2014. Kontraktsutvalget legger derfor til grunn at det omtvistede beløp er kr 228 576,-.

Partenes anførsler

Grunnlaget for Storevik Banks krav om erstatning for de falske transaksjonene i Storevik Bank, er at transaksjonene er gjennomført med en BankID som Lillevik Bank har utstedt til feil person, jf Regler om BankID punkt 15.

Xxxxxxxx Bank mener at ansvaret i denne saken ikke er begrenset til kr 100 000 pr transaksjon fordi Lillevik Bank, ved deres medhjelper Posten, har utvist grov uaktsomhet i forbindelse med legitimasjonskontrollen ved å akseptere kopi av et pass som grunnlag for utstedelsen. Ansvarsgrunnlaget etter Regler om BankID punkt 15 annet ledd er simpel uaktsomhet med omvendt bevisbyrde, og Storevik Bank legger til grunn at ansvarsbegrensningen på kr 100 000 ikke kan komme til anvendelse der utsteder har utvist grov uaktsomhet.

Lillevik Bank mener at det ikke er utvist grov uaktsomhet fra Lillevik Bank/Postens side ved legitimasjonskontrollen. Lillevik Bank mener dessuten det ikke er grunnlag for å innfortolke at ansvarsgrensen på kr 100 000 ikke gjelder i tilfelle det skulle vært utvist grov uaktsomhet. Regler om BankID regulerer uttømmende ansvaret og ansvarsbegrensningene, og i BankID fremgår dessuten en beløpsmessig bruksbegrensning der det må være brukerstedets (signaturmottakers) fulle risiko dersom denne velger å akseptere transaksjoner over denne beløpsgrensen.

Utvalgets vurdering

Det følger av Regler om BankID punkt 8.3 at banken skal "forvisse seg om" sertifikatholders identitet ved utstedelse av BankID. Det skal her legges en streng aktsomhetsnorm til grunn. Videre forutsetter Regler om BankID punkt 8.4 at bankens legitimasjonskontroll ved utstedelse skal skje på grunnlag av pass. Dette må selvsagt forstås slik at det skal

fremlegges et originalt pass, og ikke kopi av pass. Dette gjelder selv om det sammen med kopi av pass fremlegges andre gode legitimasjonsdokumenter i original. Bruk av Postens PUM-tjeneste er en akseptert måte å gjennomføre legitimasjonskontrollen på, men Postens gjennomføring av denne kontrollen skjer fullt og helt på vedkommende banks ansvar. Det er således åpenbart at Reglene om BankID er brutt ved legitimasjonskontrollen i saken og at dette er Xxxxxxxx Xxxxx ansvar. Lillevik Bank har da også erkjent ansvar for feilutstedelsen, begrenset til ansvarsbeløpet på kr 100.000 pr transaksjon, jf Regler om BankID punkt 15 fjerde ledd.

Når Xxxxxxxx Bank på denne måten kan identifiseres med Postens handlinger, legger utvalget til grunn at selv om Posten i sin tjenestebeskrivelse for PUM ikke gir noe ”løfte” om å kontrollere at pass bli fremlagt, må Postens manglende kontroll av et originalt pass sammen med at Lillevik Bank ikke oppdaget at det bare var blitt fremlagt en kopi av Pass for Posten, anses likt som om det var Xxxxxxxx Bank selv som hadde aksepterte kopi av pass. Dersom banken hadde godtatt kopi av pass som eneste legitimasjonsdokument mener utvalget at dette klart måtte anses som grovt uaktsomt. I saken var det imidlertid også lagt fram bankkort med bilde, noe som vel må sies å ”dempe” graden av uaktsomhet noe.

Utvalget legger likevel til grunn at legitimasjonskontrollen samlet sett må anses for å ligge i grenseland mot grovt uaktsomhet. Utvalget ser det likevel ikke som nødvendig å ta endelig stilling til spørsmålet om legitimasjonskontrollen kan anses som grov uaktsom.

Slik Regler om BankID er formulert, er punkt 15 fjerde ledd om ansvarsgrensen på kr

100.000 pr transaksjon uttrykkelig begrenset til det ansvar som følger av reglenes punkt 15 første og annet ledd. Ansvarsgrunnlaget er for visse nærmere angitte skadeårsaker uaktsomhet med omvendt bevisbyrde, og ellers uaktsomhet. Det skilles for så vidt ikke her mellom simpel eller grov uaktsomhet, men det er ”vanlig lære” at man som utgangspunkt ikke kan fraskrive seg ansvar for sin egen grove uaktsomhet.

Imidlertid er det e-signaturlovens system at dersom en sertifikatutsteder skal kunne begrense sitt ansvar (for bestemte typer feil eller forsømmelser), må det angis en tilsvarende bruksmessig begrensning i sertifikatet. Sertifikatmottakeren vil derved kunne se denne bruksbegrensningen og vil selv kunne vurdere om han likevel ønsker å stole på sertifikatet ut over bruksbegrensningen. Sertifikatmottakerens tar således en bevisst risiko dersom han velger å stole på sertifikatet ut over den angitte bruksbegrensning og

”tilhørende” ansvarsgrense. Det vises til e-signaturloven § 22 tredje ledd med henvisning til loven § 4 bokstav j. Banknæringen har i fellesskap ønsket å sette en ansvarsbegrensning på kr 100 000 for BankID, og har derfor også angitt beløpet kr 100 000 i det feltet i BankID- sertifikatet der slike bruksgrenser skal angis. Uten at det har hatt konsekvenser for

resultatet, vil utvalget også bemerke at den valgte bruks- og ansvarsgrensen på kr 100 000 i BankID synes å være lav ut fra den tiltenkte bruk av BankID.

Ut fra betraktningene om at sertifikatmottaker faktisk har valgt å stole på sertifikatet ut over angitte bruksbegrensninger og derved å ta en risiko, er det nærliggende å legge til grunn at ansvarsbegrensningen i bestemmelsen også kommer til anvendelse selv om utsteder skulle ha utvist grov uaktsomhet. En ta slik bevisst risiko ved å akseptere transaksjoner over beløpsgrensen kan også langt på vei anses som å ha ”medvirket” til den del av tapet som oversteg beløpsgrensen. Når det i Regler om BankID punkt 15 fjerde ledd står at ansvaret ”i alle tilfeller” er begrenset til kr 100 000, taler også denne løsningen.

Utvalget vil også bemerke at sett hen til graden av Xxxxxxxx Xxxxx forsømmelse, e- signaturlovens ”system” som beskrevet over samt at det er to likeverdige parter som er involvert , vil en ”frifinnelse” av Lillevik Bank for ansvar ut over kr 100 000 pr transaksjon

heller ikke oppfattes å være i strid med ”alminnelige rimelighetsbetraktninger”, prinsipper fra avtaleloven § 36 eller lignende.

Utvalgets avgjørelse:

Lillevik Bank er ikke ansvarlig i saken ut over kr 200.000 som banken allerede har erkjent ansvar for.

Utvalgets avgjørelse er enstemmig.

..oo0oo..

Følgende utvalgsmedlemmer har deltatt i avgjørelsen:

Advokat Xxxxx Xxxxxx Nordea Bank Norge (utvalgsleder) Advokat Xxxxxx Xxxx DNB Bank

Advokat Xxxx Xxxxxx Storebrand Bank

Advokat Xxxx Xxxxx Sparebanken Hedmark

Advokat Xxxx Xxxxxxxx Xxxx Gruppen Advokat Xxxxxx Xxxxxxxxxx SpareBank1 Gruppen Advokat Xxx Xxxxxxxx Xxxx Sparebank

Sekretær Xxxxxx Xxxxxxx, Finans Norge