Skip to main content

Ny norsk finansavtalelov – Hva er egentlig nøkkelspørsmålet for finansinstitusjoner?

I dette innlegget skal vi kort omtale hvordan loven er i dag, hvilke endringer som kommer, hvilke konsekvenser dette ser ut til å få, og ikke minst hva finansinstitusjonene kan gjøre for å tilpasse seg den nye loven.

Forslag til ny finansavtalelov har vært på trappene i over tre år, og flere av endringene har vært til dels svært omstridt. En av de mest omtalte endringene knytter seg til plasseringen av ansvaret for misbruk av elektronisk signatur.

Dagens lov skiller mellom kortbruk og inngåelse av avtaler

Dagens lov skiller tydelig mellom (A) såkalte "uautoriserte betalingstransaksjoner", dvs. kortbruk og nettbank, og (B) inngåelse av låneavtaler ved bruk av elektronisk signatur. Felles for dem er at det benyttes en personlig kode for å godkjenne disposisjonen, enten i form av kort og kode, eller kodebrikke for bruk av BankID. Det som er ulikt, er at ved kortbruk og nettbank svarer ikke kunden for mer enn 12 000 kroner selv hvis han eller hun har opptrådt grovt uaktsomt ved oppbevaring av personlige koden (dagens § 35), og bevisbyrden ligger hos finansinstitusjonen. For elektronisk inngåelse av låneavtaler, gjelder alminnelige uaktsomhets- og bevisregler. Slik sett har kunden svakere vern ved elektroniske avtaleinngåelser enn ved bruken av elektroniske betalingsinstrumenter. I praksis er det ofte slik at det er tilstrekkelig for finansinstitusjonen å konstatere at personlig kode og BankID var benyttet, og at det enten skyldes samtykke eller en form for uaktsomhet med hensyn til oppbevaring av koden som benyttes for å godkjenne signering med BankID.

Ny finansavtalelov skjerper beviskravet for finansinstitusjoner

Lovforslaget opphever dette skillet. Også for inngåelse av låneavtaler ved bruk av elektronisk signatur begrenses ansvaret til 12 000 kroner der kunden har opptrådt grovt uaktsomt. Hvis kunden skal gjøres ansvarlig for et høyere beløp må finansinstitusjonen bevise at kunden enten har samtykket eller opptrådt forsettlig med kvalifisert sannsynlighetsovervekt. For finansinstitusjonene blir dermed både bevistemaet og beviskravet vesentlig skjerpet med ny lov, i tillegg til beløpsbegrensningen.

Det sier seg selv at mulighetene for misbruk og svindel blir større med ny lov. Et av de store spørsmålene som oppstår som følge av lovendringen, er hvordan finansinstitusjonene skal ha tilstrekkelig bevis for å dokumentere samtykke eller forsett. Lovens forarbeider gir anvisning på følgende beviskrav: Dersom kunden fremsetter bevis som gjør det i det minste "antakelig" (begrepet er hentet fra en svensk høyesterettsdom som det vises til i den nye lovens forarbeider) at en annen enn kunden står bak den elektroniske signaturen, dvs. at dersom dette alternative hendelsesforløpet har en viss grad av realisme, så vil kravet til kvalifisert sannsynlighetsovervekt ikke være oppfylt. I tillegg følger det direkte av den nye loven at bruken av den elektroniske signaturen i seg selv ikke er nok til å bevise samtykke eller forsett.

Biometri kan løse nøkkelspørsmålet: hvem er det som bruker koden

For finansinstitusjonene blir dermed oppgaven å fremlegge bevis som gjør det tilstrekkelig urealistisk ("uantakelig" for å benytte begrepet fra den svenske høyesterettsdommen) at det er noen andre enn kunden som står bak den elektroniske signaturen, f.eks. ved å legge frem tilleggsdokumentasjon som kan bidra til å belyse forholdet. I tillegg til selve bruken av elektroniske signaturfremstillingsdata, vil andre bevis typisk være om det er objektive indikasjoner på ID-tyveri, kundens handlinger (for eksempel bruken av kodebrikke før og etter den omstridte bruken), hvorvidt forholdet er anmeldt og hvor pengene er utbetalt. I tillegg vil kundens troverdighet være bevistema. Slike kriterier etterlater imidlertid en nokså stor risiko for at kravet til kvalifisert sannsynlighetsovervekt ikke er oppfylt. Det er også uklart hvordan domstolene vil tolke de nye bestemmelsene.

Svakheten ved at tilgangen til å fremstille en elektronisk signatur er basert på bruk av kodebrikke (noe bare kunden har) og personlig kode (noe bare kunden vet), er at det ikke sier noe sikkert om hvem kunden faktisk er. For å misbruke elektronisk signatur, er det tilstrekkelig å få tak i kodebrikke og kode. En løsning som bringer finansinstitusjonene langt på vei bevismessig, er et ekstra element som bidrar til å bevise at den som bruker koden er den samme som den elektroniske signaturen utpeker (altså hvem kunden er). Det som først og fremst er aktuelt her, er ulike former for biometriske bevis (fingeravtrykk, "selfie" eller video) som produserer og formidles i forbindelse med inngåelsen av låneavtaler i kombinasjon med andre identifikasjonspapirer som pass.

Om skribenten

Ole Andenæs er partner ved Wikborg Reins Oslo-kontor, og leder firmaets fagområde for finansregulatorisk. Andenæs har tidligere arbeidet som juridisk direktør i investeringsbanken Carnegie AS, og har inngående og praktisk kjennskap til regelverk knyttet til verdipapirforetak, forvaltere, investoradferd og tilgrensende regelverk. Før dette var Andenæs senioradvokat i Advokatfirmaet Thommessen, der han hovedsakelig arbeidet med finansregulatorisk rådgivning til et bredt spekter av regulerte foretak, selskapsrett og tvister innenfor disse områdene. Han er også spesialist i aksjeselskapsrett, og er medforfatter av tredje utgave av Aksjeselskaper og allmennaksjeselskaper (2016).