0 Sammendrag
0.1 Sammendrag
0.1.1 Innledning
Banklovkommisjonens Utredning nr. 21, NOU 2008: 21 Nettbankbasert betalingsoverføring, inneholder forslag til endringer i lov om finansavtaler og finansoppdrag av 25. juni 1999 nr. 46 (finansavtaleloven).
I mandat av 13. mars 2007 ga Finansdepartementet i samråd med Justisdepartementet Banklovkommisjonen i oppdrag å vurdere spørsmålet om sikkerhet ved bruk av nettbank og behovet for endringer i finansavtaleloven, herunder ansvarsbegrensning for bankkunder. Mandatet er inntatt i avsnitt 1.1 nedenfor. Som følge av prosessen med implementeringen av direktiv 2007/64/EF (betalingstjenestedirektivet), oppstod det et behov for presisering av mandatet. Spørsmål i forhold til dette og nærmere avklaringer, er det redegjort for i avsnitt 1.2.
For å få et best mulig grunnlag for behandling og vurdering av hvordan et regelverk for bruk av nettbasert betalingstjeneste bør utformes, herunder særlig virkemåten for og risikoen ved bruk av nettbank, har Banklovkommisjonen trukket en arbeidsgruppe bestående av representanter fra noen store bankinstitusjoner, Finansnæringens Hovedorganisasjon, Sparebankforeningen, Forbrukerombudet og Forbrukerrådet inn i det forberedende arbeidet.
0.1.2 Bakgrunnen for arbeidet
I 1994 foreslo Banklovkommisjonen, i sin Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag), regler om finansavtaler og finansoppdrag. Lovforslaget ble i stor grad lagt til grunn i det videre lovforarbeidet og ble vedtatt som lov 25. juni 1999 nr. 25 (finansavtaleloven). På dette tidspunkt var det kun et begrenset innslag av nettbaserte betalingsoverføringsformer. Det var særlig betalingsoverføring ved bruk av betalingskort, det vil si debet- og kredittkort, som utpekte seg, og som Banklovkommisjonen fant grunn til å regulere etter nærmere bestemte regler, jf. finansavtaleloven §§ 35 flg. Banklovkommisjonen var imidlertid – på dette tidspunktet – klar over utviklingen av en ny form for betalingsoverføring som gjorde det mulig å gi betalingsinstrukser til sin bank via en hjemmeterminal, såkalt «hjemmebank», jf. blant annet Banklovkommisjonens Utredning nr. 1 side 71. Denne form for betalingsoverføring er det vi nå kjenner som nettbank, og som brukes i utstrakt grad ved siden av telefonbank. Behovet for en regulering av disse betalingsoverføringsmekanismene var forutsett, og Banklovkommisjonen foreslo i den forbindelse en forskriftshjemmel i finansavtaleloven § 35 sjette ledd om at de særskilte reglene for betalingskort helt eller delvis kunne gjøres gjeldende for andre typer betalingsinstrumenter.
En utredning av behovet for om en nærmere regulering av slike betalingsoverføringsformer skulle innføres, ble utsatt blant annet i påvente av EU-direktivet om betalingstjenester. Som følge av en konkret sak i 2007 hvor en kunde utilsiktet, det vil si ved feilbruk av betalingstjenesten, hadde overført et større beløp til gal mottaker, ble spørsmålet om sikkerheten ved bruk av nettbank reist på nytt. Underveis i utredningsarbeidet ble det imidlertid også lagt opp til at spørsmål om urettmessige nettbaserte betalingsoverføringer kunne utredes nærmere, det vil si misbruk av nettbaserte betalingstjenester. Det vises her til avsnitt 1.2. Om regelverkets plassering i norsk rett vises det til avsnitt 6.1.3.
0.1.3 Banklovkommisjonens vurderinger og forslag
Banklovkommisjonen mener at behovet for ansvarsregulering når det gjelder tap som har oppstått ved bruk av nettbasert betalingstjeneste, gjør seg gjeldende både ved feilbruk fra kundens side og uvedkommendes misbruk av nettbankkonti. Bruk av nettbasert betalingsoverføring medfører ulike, men typiske risiki som fra tid til annen vil føre til tap for kunder. Banklovkommisjonen har ansett slike regler som et viktig innslag i dagens lovgivning, særlig i lys av det store antall av den norske befolkning som benytter seg av nettbaserte betalingstjenester, som for eksempel nettbank og telefonbank. I takt med den økte bruken av Internett, antar Banklovkommisjonen videre at de nettbaserte betalingstjenestene vil være den praktisk sett dominerende betalingstjeneste for regningsbetaling i årene fremover. Brukerkretsen vil således utvides, og brukerkollektivet vil omfatte personer med varierende teknisk og datamessig innsikt ut fra de enkeltes personlige forutsetninger. Selv om antall betalingsoverføringer ved bruk av slike tjenester i dag er på et høyt nivå, må det derfor forventes en betraktelig økning av slike betalingsoverføringer i tiden fremover. Det vises til avsnitt 6.1.3. En nærmere beskrivelse av virkemåten for nettbank og telefonbank er gitt i avsnittene 5.2.1 og 5.2.2.
Banklovkommisjonen foreslår i utredningen at det tas inn et nytt avsnitt Va i kapittel 2 i finansavtaleloven som fastlegger ansvarsfordelingen i tilfelle av utilsiktet og urettmessig bruk av nettbasert betalingstjeneste. Utkast til nye lovbestemmelser bygger i stor grad på de prinsipper som ligger til grunn for bestemmelsene i finansavtaleloven §§ 34 flg., særlig reglene om betalingskort i finansavtaleloven § 35. Dette har sin bakgrunn i at nettbasert betalingsoverføring også kan iverksettes ved hjelp av en form for brukerlegitimasjon som innebærer en forhøyet risiko for at det oppstår tap. Lovutkastet innebærer at kunden som hovedregel bare skal bære en del av tapet ved utilsiktede eller urettmessige betalingsoverføringer som følge av feilbruk eller misbruk av nettbaserte betalingstjenester (egenandelsmodellen).
Etter lovutkastet skal kunden ha en objektiv, men begrenset egenrisiko (ansvar) for utilsiktede og urettmessige nettbaserte betalingsoverføringer som har oppstått som følge av feilbruk eller misbruk. Banklovkommisjonen mener at en slik regel vil oppfordre kunder til å utvise nødvendig forsiktighet og opptre med rimelig aktsomhet i sin bruk av nettbaserte betalingsoverføringstjenester. Den objektive egenandelen gjelder imidlertid ikke dersom årsaken må tilskrives sikkerhetsmangler ved nettbanksystemet eller andre forhold som kunden ikke kan lastes for. Det kan ikke utelukkes at institusjonenes systemer ikke tilfredsstiller de krav som med rimelighet må stilles til kontroll og sikkerhet for å motvirke at utilsiktede eller urettmessige betalingsoverføringer iverksettes. Med utgangspunkt i produktansvarsreglene, har Banklovkommisjonen derfor fremmet forslag om at den objektive egenandelen ikke gjelder dersom tapet har oppstått som følge av at institusjonens betalingstjenester ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente.
Banklovkommisjonen har videre foreslått at kunden også skal være ansvarsfri dersom tilegnelsen av nødvendig brukerlegitimasjon har forekommet på en måte som tilsier at kunden ikke bør pålegges ansvar. Det vises til lovutkastet § 37b første ledd annet punktum in fine i kapittel 9, og merknader til bestemmelsen i kapittel 8.
I tilfeller hvor kunden har utvist grov uaktsomhet når det gjelder bruk av nettbasert betalingstjeneste eller oppbevaring av nødvendig brukerlegitimasjon, og dette har ført til tap som følge av at utilsiktede eller urettmessige betalingsoverføringer er iverksatt, skal imidlertid kunden ha et vesentlig høyere ansvar. Egenandelen er her satt noe høyere enn for betalingskortene. Formålet har vært å legge til rette for en rimeligere tapsfordeling i visse særlige tilfelle, og statuere at nettbaserte betalingstjenester har så mange iboende risiki at kunden må opptre aktsomt og forsiktig i sin bruk av tjenesten. Banklovkommisjonen understreker at det ved vurderingen av hvilket ansvar kunden selv bør ha fordi kundens handlemåte innebærer en grov tilsidesettelse av kundens egen plikt til å unngå at tap oppstår, vil kunne få betydning for hvilken feil kunden måtte ha utvist i det enkelte tilfelle. Lovutkastet inneholder også enkelte bestemmelser som i særlige tilfelle medfører at kunden selv må bære hele tapet. Det vises her til avsnittene 6.3.2 og 6.3.3.
Banklovkommisjonen har som nevnt lagt vekt på prinsippene i finansavtaleloven §§ 34 flg. Bestemmelsene om lemping av kontohaverens ansvar samt bestemmelsen om reklamasjon og tilbakeføring, er i hovedsak også videreført. Når det gjelder krav til dokumentasjon, har Banklovkommisjonen, både av prosessøkonomiske og samfunnsøkonomiske hensyn, sett det som hensiktsmessig at kundens krav om tilbakeføring er begrunnet og at kunden i tillegg plikter å gi opplysninger til institusjonen om, og på hvilken måte, det er gjort forsøk på å få betalingsmottakeren til å tilbakeføre beløp som utilsiktet eller urettmessig er overført til mottakeren. Det vises her til avsnitt 6.3.6 og lovutkastet § 37d annet ledd.
0.2 English Summary
0.2.1 Introduction
The Banking Law Commission’s Report no. 21, NOU 2008: 21 Payment transfers in online banking services, contains proposals for amendments to the Act on Financial Agreements and Financial Assignments of 25 June 1999 no. 46 (the Financial Agreements Act).
In the terms of reference of 13 March 2007 the Norwegian Ministry of Finance, in consultation with the Ministry of Justice, mandated the Banking Law Commission to consider the question of security in use of online banking services and the need for amendments to the Financial Agreements Act, including limitation of liability for bank customers. The terms of reference are incorporated in Section 1.1 below. In consequence of the process of implementation of Directive 2007/64/EC (the payment services directive), there arose a need to clarify the terms of reference. Questions related to this and further clarifications are described in Section 1.2 below.
In order to obtain the best possible basis on which to consider and evaluate how regulations for use of online payments service should be designed, including in particular the functioning of and risk involved in the use of online banking services, the Banking Law Commission has drawn upon a working party consisting of representatives of some big bank institutions, the Norwegian Financial Services Association (FNH), the Norwegian Savings Banks Association, the Consumer Ombudsman and the Consumer Council, into the preparatory work.
0.2.2 Background for the report
In 1994 the Banking Law Commission, in its Report no. 1 (NOU 1994: 19 Financial Agreements and Financial Assignments), proposed rules on financial agreements and financial assignments. The main lines of the recommendation were continued in the drafting work and were passed as Act No. 25 of 25 June 1999 (the Financial Agreements Act). At that time the extent of online payments transfers was limited. What stood out particularly was payments transfer via use of payment cards, that is to say direct-debit and credit cards, and it was this that the Banking Law Commission found reason to regulate under special rules, confer Sections 35 ff. of the Financial Agreements Act. The Banking Law Commission was however – at that time – aware of the development of a new form of payments transfer that made it possible to issue payment instructions to one’s bank via a home terminal, the so-called «home banking», confer inter alia the Banking Law Commission’s Report no. 1 page 71. This form of payments transfer is what we now know as «online banking services», and is used extensively in parallel to telephone banking. The need to regulate these payment transfer mechanisms was foreseen and in this connection the Banking Law Commission proposed an authorisation for regulations in Section 35 sixth paragraph of the Financial Agreements Act to the effect that the special rules for payment cards could, wholly or in part, be made applicable to other kinds of payment instruments.
A report on whether more detailed regulation of such forms of payments transfer was needed was deferred inter alia in expectation of the EU directive on payment services. In consequence of a specific case in 2007 in which a customer had unintentionally – that is, by erroneous use of the payment service – transferred a large sum of money to the wrong recipient, the question of security in use of online banking services was raised anew. Along the way in the report work, however, it was suggested that the question of unlawful online payments transfers could be studied more closely, that is, the abuse of online payment services, see Section 1.2 below. For the incorporation of the regulations in Norwegian law see Section 6.1.3 below.
0.2.3 The Banking Law Commission’s assessments and recommendations
The Banking Law Commission considers that the need for regulation of liability for losses caused by the use of online payment services applies to both error on the part of the customer and unauthorised persons’ abuse of online banking accounts. Use of online payments transfer involves various, but typical, risks that from time to time will lead to losses for customers. The Banking Law Commission regards such rules as an important element of present legislation, particularly in the light of the large number of Norwegians who make use of online payment services, such as for example online banking services and telephone banking. In step with the increased use of the Internet, the Banking Law Commission also assumes that the online payment services will be the practically-speaking dominant method of paying bills in the years to come. The circle of users will be growing constantly, and the user collectivity will include individuals with variable technical and computer knowledge and personal skills. Even if the number of payments transfers involved in the use of such services is currently at a high level, a considerable increase of such payments transfers may therefore be expected in future, see Section 6.1.3 below. A detailed description of the mode of functioning of online banking services and telephone banking is provided in Sections 5.2.1 and 5.2.2 below.
In its report the Banking Law Commission recommends that a new Section Va be included in Chapter 2 of the Financial Agreements Act that lays down the division of liability in the case of unintentional and unlawful use of online payment services. The draft statutory provision is based largely on the principles underlying Sections 34 ff. of the Financial Agreements Act, particularly the rules on payment cards in Section 35 of the Financial Agreements Act. This is because online payments transfer may also be performed via a form of User ID that involves an increased risk of loss. The draft amendment means that, as a main rule, the customer shall bear only a part of the loss from unintentional or unlawful payments transfers in consequence of erroneous use or misuse of online payment services (the «deductible» model).
Under the draft amendment the customer shall have an objective, but limited, own risk (liability) for unintentional and unlawful online payments transfers caused by erroneous use or abuse. The Banking Law Commission considers that such a rule will challenge customers to employ the requisite prudence and to act with due care in their use of online payment transfer services. The objective deductible will not, however, apply if the cause can be assigned to security defects in the online banking services system or other factors for which the customer cannot be blamed. It cannot be ruled out that the institutions’ systems do not satisfy the requirements that can reasonably be made of control and security in order to prevent the occurrence of unintentional or unlawful payments transfers. Taking the product liability rules as its point of departure, the Banking Law Commission has therefore recommended that the objective deductible should not apply if the loss has arisen in consequence of the failure of the institution’s payment services to offer the security that a user or the public can reasonably expect. The Banking Law Commission also recommends that the customer also be free from liability if the requisite User ID has occurred in a manner that dictates that the customer not be liable. See the draft Section 37b first paragraph second period at the end of Chapter 9, and comments on the provision in Chapter 8.
In cases where the customer has displayed gross negligence in his use of online payment services or storage of requisite User ID, and this has led to loss in consequence of unintentional or unlawful payments transfers, however, the customer shall have substantially greater liability. Here the deductible is pitched higher than for the payment cards. The object is to facilitate a more reasonable allocation of loss in certain special cases, and to signal that online payment services contain so many inherent risks that the customer must behave prudently and with due care in his use of the service. The Banking Law Commission would emphasise that consideration of what liability the customer himself ought to have, on the grounds that the customer’s actions amounted to a gross violation of the customer’s own duty to avoid loss, should be based on what mistakes the customer made in each individual case. The draft also contains certain provisions that in special cases mean that the customer himself must bear the entire loss. See here Sections 6.3.2 and 6.3.3 below.
The Banking Law Commission has, as mentioned above, emphasised the principles of Sections 34 ff of the Financial Agreements Act. The principles for discretionary change to the account-holder’s liability and the provisions for complaint and recovery have by and large also been continued. As regards documentation requirements, the Banking Law Commission, for reasons of both trial costs and societal interests, considers it reasonable that demands for recovery be justified and that the customer be obliged in addition to give information to the institution about whether, and if so how, he has attempted to induce the payment recipient to repay sums unintentionally or unlawfully transferred to said recipient. See here Section 6.3.6 below and Section 37d second paragraph of the draft.
0.3 Banklovkommisjonens sammensetning
Banklovkommisjonen har ved avgivelsen av denne utredning følgende 21 medlemmer:
Professor dr. juris Erling Selvig, leder (Universitetet i Oslo)
Avdelingsdirektør Olav Breck (Sparebankforeningen i Norge)
Banksjef Ottar Dalsøren (Sparebanken Sogn og Fjordane/ Finansforbundet)
Direktør Sverre Dyrhaug (Finansnæringens Hovedorganisasjon)
Seksjonssjef Kjersti Elvestad (Kredittilsynet)
Økonomisk rådgiver Eystein Gjelsvik (Landsorganisasjonen i Norge)
Advokat Arnhild Dordi Gjønnes (Næringslivets Hovedorganisasjon)
Advokat Øivind Fegth Knutsen (Advokatfirmaet Fegth Knutsen & Co DA)
Administrerende direktør Anne-Lise Løfsgaard (Finansieringsselskapenes forening)
Avdelingsdirektør Øystein Løining (Finansdepartementet)
Direktør Per Melsom, Oslo
Rådgiver Anne Nesheim Egeberg (Forbrukerrådet)
Autorisert regnskapsfører Solveig Nordkvist (Handels- og Servicenæringens Hovedorganisasjon)
Seniorrådgiver Astrid Nyberget (Konkurransetilsynet)
Avdelingsdirektør Erling G. Rikheim (Finansdepartementet)
Direktør Marius Ryel (Norges Bank)
Generalsekretær Rolf A. Skomsvold (Norske Pensjonskassers Forening)
Advokat Kristin Skrede (DnB NOR ASA)
Seniorrådgiver Per Anders Stalheim (Barne- og likestillingsdepartementet)
Sorenskriver Liv Synnøve Taraldsrud (Eiker, Modum og Sigdal tingrett)
Seksjonssjef Bente Øverli (Forbrukerombudet)
Sekretariatet har, ved utarbeidelsen av denne utredningen, bestått av:
Førstekonsulent Jørgen Keiserud, fungerende hovedsekretær (Finansdepartementet)
Bankrådgiver Kari Lærum (Norges Bank)
Seniorrådgiver Lise Ljungmann Haugen, hovedsekretær (permisjon) (Kredittilsynet)