NOU 2008: 21

Nettbankbasert betalingsoverføring— Utredning nr. 21 fra Banklovkommisjonen

Til innholdsfortegnelse

Del 2
Ansvarsregulering og risikoaspekter ved bruk av betalingsinstrumenter

2 Finansavtalelovens regler om bankkonto

2.1 Innledning

Lov om finansavtaler og finansoppdrag av 25. juni 1999 nr. 46 (finansavtaleloven) gjelder for avtaler og oppdrag om finansielle tjenester med finansinstitusjoner. Den er basert på forslag fra Banklovkommisjonen som ble gitt i kommisjonens første utredning (NOU 1994: 19 Finansavtaler og finansoppdrag). Justisdepartementet fulgte i all vesentlighet opp forslaget, jf. Ot.prp. nr. 41 (1998-99) Om lov om finansavtaler og finansoppdrag. Finansavtaleloven var et viktig skritt i retning av et sterkere og bedre forbrukervern ved bruk av betalingstjenester. Behovet for forbrukervern var på dette tidspunktet således et viktig tema for Banklovkommisjonen og ble tillagt vesentlig vekt ved utforming av forslag til lovbestemmelsene. Hovedhensynene bak Banklovkommisjonens forslag – som også ble fulgt opp av departementet – var å bidra til, og å skape, en klarere og mer oversiktlig rettstilstand, balanserte kontraktsvilkår for kundene og en effektiv konkurranse.

Banklovkommisjonen er nå gitt i oppdrag å utrede spørsmål i tilknytning til risiko, behov for ansvarsregulering og det eventuelt nærmere innholdet av en ansvarsregulering for tap som oppstår som følge av feilbruk eller misbruk av de ulike betalingstjenester. De betalingstjenestene som benyttes mest i våre dager er giro, betalingskort, telefonbank og nettbank. Dette er tjenester som i all hovedsak er knyttet opp mot en innskuddskonto og er omfattet av finansavtalelovens kapittel 2 om innskudd og betalingsoppdrag, jf. lovens § 9 første ledd og avsnittet nedenfor. For å vurdere lovgivningsbehovet når det gjelder de aktuelle betalingstjenestene, herunder nettbank og telefonbank, har Banklovkommisjonen derfor først og fremst tatt utgangspunkt i reglene som er fastslått i denne loven.

Det er mange potensielle tapssituasjoner som kan oppstå ved en kundes bruk av betalingstjenester. Dette henspeiler seg i første rekke på kundens bruk av kontoen, samt risikoen for feilbelastninger og misbruk fra uvedkommende. Den videre drøftelsen er knyttet opp mot denne inndelingen. Først gjennomgås imidlertid finansavtalelovens regler om avtaleinngåelse mellom kunde og institusjon. Denne avtalen legger til rette for kundens bruk av konto, herunder betalingsoverføring, og er således et forhold som bør beskrives. Det kan videre ikke utelukkes at forhold under avtaleinngåelsen kan lede til økonomisk tap for en kunde, for eksempel som følge av identitetstyveri mv.

Selv om Banklovkommisjonen tar utgangspunkt i finansavtaleloven, er det viktig å merke seg at også andre lovbestemmelser kan være aktuelle. Disse vedrører likevel mer spesifikke områder og er således isteden – så langt de er aktuelle – inntatt under redegjørelsen av de enkelte betalingstjenestene i kapittel 3, 4 og 5.

Som nevnt foran er det først og fremst kapittel 2 om innskudd og betalingsoppdrag i finansavtaleloven som er aktuelt i forhold til betalingstjenestene. I henhold til lovens § 9 første ledd gjelder dette kapitlet for avtaler om innskudd og for bruk av innskuddskonto i finansinstitusjoner. De fleste betalingsoverføringer er knyttet opp mot kundens bankkonto. Dette gjelder imidlertid ikke ubetinget, som for eksempel ved forhåndsbetalte elektroniske kort. Slike oppdrag er ikke omfattet av bestemmelsene i kapitlet, jf. § 11, og er heller ikke tema for den videre utredningen. Forholdet mellom betaler og mottaker ved betalingsoverføringer i finansavtaleloven kapittel 2 VI er for øvrig også utelatt.

I den videre redegjørelsen av henholdsvis avtaleinngåelse, bruk av konto, feilbelastning og andres misbruk, er det tatt utgangspunkt i Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) og Ot.prp. nr. 41 (1998-99) Om lov om finansavtaler og finansoppdrag, så langt innholdet i disse dokumentene er forenlig. Det er således Odelstingsproposisjonen som er brukt som referansepunkt i beskrivelsen av de gjeldende bestemmelsene. Det er for så vidt gjort visse nødvendige oppdateringer og bemerkninger for å tilpasse innholdet til og reflektere utviklingen av de aktuelle betalingsinstrumentene.

2.2 Avtaleinngåelse

For å kunne foreta betalingsoverføringer – enten via giro, betalingskort, nettbank eller telefonbank – må det inngås en avtale mellom institusjonen og kunden. Dette kalles for en kontoavtale. I avtalen fremgår det hvilke regler og vilkår som gjelder for innskudd og betalingsoppdrag, enten i hovedavtalen eller som vedlegg til avtalen. Vilkårene skal holdes tilgjengelig for kundene på ekspedisjonsstedene, jf. § 13 første ledd. Disse vilkårene er som oftest også nå tilgjengelige på institusjonens nettsteder.

Før kunden velger å inngå en kontoavtale med institusjonen, må kunden bestemme seg for hva slags innskuddskonto han eller hun vil benytte seg av. Etter lovens § 15 første ledd er det bestemt at institusjonen skal veilede kunden i dette valget. Dette innebærer at kunden bedre skal settes i stand til å velge riktig kontotype. Hvilke innskuddskonti som institusjonen skal opplyse om, vil først og fremst være avhengig av hvilke behov vedkommende kunde må antas å ha på bakgrunn av de opplysninger institusjonen får fra kunden. Finansavtaleloven § 15 annet ledd bestemmer videre at institusjonen skriftlig skal opplyse om en rekke andre forhold, blant annet regler om hvordan kontoen og betalingsinstrumentet kan brukes og kravene til legitimasjon, jf. bokstav d). Etter bestemmelsens bokstav g) skal det også opplyses om ansvar og risiko ved bruk av kontoen og for andres urettmessige bruk av den. Kravet om skriftlighet gjelder, jf. § 16 første ledd, men avtalen kan inngås i elektronisk form dersom kunden ønsker dette, jf. § 8 første ledd. Slike opplysninger skal – på samme vis som med alminnelig vilkår – også være lett tilgjengelige for alle kunder, jf. § 15 tredje ledd.

Dersom avtalen skal inngås i elektronisk form, stilles det krav om at avtalens innhold i sin helhet er tilgjengelig ved avtaleinngåelsen, jf. lovens § 8 annet ledd bokstav a). På samme måte som ved en ordinær papirbasert avtaleinngåelse, bør kunden ha mulighet til å sette seg inn i alle avtalevilkårene før han eller hun binder seg til avtalen, jf. Ot.prp. nr. 41 (1998-99) side 95. I tillegg må det være benyttet en betryggende metode for å autentifisere inngåelsen av en avtale med det angitte innhold, jf. §8 annet ledd bokstav b). I forarbeidene – Ot.prp. nr. 41 (1998-99) side 26 – er det fastslått at kravet om betryggende metode innebærer at metoden må være egnet til å identifisere avsenderen av meldinger i forbindelse med avtaleinngåelse, å vise at meldingen er sendt i den hensikt å foreta en rettslig disposisjon, samt å sikre bevis i tilfelle en senere konflikt om avtalens eksistens og innhold. Vurderingen av om en metode er betryggende, vil variere ut fra den foreliggende teknologien på det tidspunkt avtalen inngås og ut fra hva som er innholdet i den avtalen som inngås. Departementet antok for eksempel at bruk av PIN-kode eller lignende, vil kunne anses som en betryggende metode for å inngå en avtale om mindre endringer i innskuddsvilkår. På den annen side må det, etter departementets oppfatning, være klart at dersom en låneavtale med en forbruker inngås elektronisk, vil det bare kunne skje gjennom et system med elektronisk signatur eller en annen metode som gir tilsvarende sikkerhet.

Avtalen skal videre inneholde navn og adresse samt fødselsnummer på kontohaveren og enhver som skal disponere kontoen, jf. § 16 første ledd annet punktum. Den skal også inneholde opplysninger som er nevnt i finansavtaleloven § 15 annet ledd bokstav a) til i). Vilkår som ikke er tatt inn i kontoavtalen, er ikke bindende for kontohaveren med mindre institusjonen godtgjør at vilkåret er vedtatt av kontohaveren, jf. § 16 tredje ledd. Det klare utgangspunkt vil uansett være at et vilkår må være tatt inn i selve avtalen for at det skal være bindende for kunden, jf. Ot.prp. nr. 41 (1998-99) side 100.

På bakgrunn av vilkårene som er oppstilt i finansavtaleloven, har næringens bransjeorganisasjoner utarbeidet standardiserte vilkår for innskudd og betalingsoppdrag. 1 Visse standardiserte regler tilknyttet nettbanktransaksjoner er også utarbeidet, men her har de enkelte bankinstitusjonene større variasjoner enn for de alminnelige vilkår for innskudd og tradisjonelle betalingsoppdrag. Dette er nærmere belyst i avsnittene 5.5.2 og 6.3.2 nedenfor.

I finansavtaleloven § 18 er det gitt regler om endring av kontoavtalen. Såframt partene er enige om å endre avtalen, gjelder reglene i §§ 15 og 16 tilsvarende så langt de passer, jf. § 18 første ledd. Institusjonen kan som utgangspunkt ikke ensidig endre avtalevilkår til skade for kontohaveren. Dette gjelder imidlertid ikke for nedsettelse av rentesats og økning av gebyrer for å ha eller bruke kontoen eller betalingsinstrument knyttet til denne, jf. § 18 annet ledd bokstav a) og b). Begrunnelsen var her at institusjonene til enhver tid bør kunne tilpasse sine innlånskostnader til det gjeldende rentenivå, samt at offentligrettslige krav til betalingstjenestens innretning vil kunne representere betydelige kostnadsøkninger som institusjonen ikke har herredømme over, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 118. Videre kan institusjonen endre satsene for overtrekksrente og purregebyr ved urettmessig overtrekk, jf. § 18 tredje ledd.

Ensidig endring av avtalevilkårene krever imidlertid varsel. I finansavtaleloven § 19 første ledd er det bestemt at slik endring tidligst kan settes i verk to uker etter at institusjonen har sendt skriftlig varsel til kontohaveren om endringen. Skriftlighetskravet er også her oppfylt ved bruk av elektroniske medier dersom kunden ønsker dette, jf. lovens § 8 første ledd.

Avtale om belastningsfullmakt er underlagt særskilte regler og er redegjort for i avsnitt 2.3.3 nedenfor, ettersom det hører til kundens bruk av konto.

2.3 Bruk av konto

2.3.1 Generell bruk og oversikt

Innskuddskontoen danner utgangspunktet for ulike typer av tjenester. I henhold til finansavtaleloven § 24 første ledd kan kontohaveren bruke kontoen til innskudd, uttak og betalingsoverføringer i samsvar med kontoavtalen. Rettslig sett har bestemmelsen liten selvstendig mening. For å finne ut hva den enkelte konto kan brukes til, må det søkes i den enkelte kontoavtale. I avtalen kan det for så vidt bestemmes at anvendelsesområdet for en konto skal være snevrere eller bredere enn det som er angitt i første ledd, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 123.

Etter lovens § 24 annet ledd er det gitt visse regler for når lønnskonto, driftskonto og lignende brukskonto kan disponeres av kontohaveren. Hovedregelen etter bestemmelsens første punktum er at disponering av innskudd på slik konto kan foretas når innskuddet er godskrevet kontoen. Ved betalingsoverføring vil det kunne ta en viss tid fra betalingsoppdrag inngis og til betalingsmottakerens konto godskrives. Dette har blant annet sammenheng med at kontroll- og bokføringsrutiner i henholdsvis betalers og mottakers bankinstitusjon kan ta en viss tid. En nærmere gjennomgang av avregningene bankene imellom, er gitt i avsnitt 6.2.4 nedenfor. De alminnelige vilkår skal for så vidt opplyse om høyeste antall virkedager for å gjennomføre betalingsoppdrag, jf. finansavtaleloven § 13 annet ledd.

Etter lovens § 24 annet ledd annet punktum er hovedregelen om tidspunkt for disponering modifisert. Uavhengig av fra hvilket tidspunkt innskuddet godskrives kontoen, kan innskuddet straks heves på institusjonens ekspedisjonssteder. Dette gjelder bare i forhold til betjente ekspedisjonssteder som har mulighet til å kontrollere at beløpet faktisk er satt inn på kontoen, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 123.

Institusjonen skal jevnlig, og minst én gang årlig, skriftlig informere kunden om rente- og gebyrsatser for alternative typer innskuddskontoer som institusjonen tilbyr, jf. finansavtaleloven § 30 første ledd. Institusjonen bestemmer selv tidspunktet for slik utsendelse, men meningen er at det i alle fall ikke skal gå mer enn ett år mellom hver slik utsendelse. Slike opplysninger kan gis ved hjelp av elektronisk kommunikasjon dersom kunden ønsker dette, jf. finansavtaleloven § 8 første ledd. Etter lovens § 30 annet ledd første punktum skal kontoutskrift sendes kontohaveren etter årets utgang. Utskriften representerer et viktig kontrollinstrument både for kontohaveren og institusjonen. For kontohaveren vil kontoutskriften ofte være avgjørende for at denne skal kunne holde seg orientert om inn- og utbetalinger på kontoen. Utskriften gjør det mulig for kontohaveren å holde oversikt over egen økonomi, samt kontrollere at det ikke har forekommet utilsiktede eller urettmessige belastninger. Den gir således mulighet til å oppdage eventuelle feil eller uregelmessigheter og er en forutsetning for at kontohaveren skal kunne være i stand til å melde fra om feil til institusjonen. Reglene om kontoinformasjon ivaretar på denne måten både et opplysningsbehov og representerer en viktig kontrollfunksjon.

For lønnskonto og driftskonto vil ikke målet med at kontohaveren skal kunne holde oversikt over egen økonomi og kunne kontrollere belastningene på kontoen oppfylles dersom kontoutskrift bare blir sendt én gang i året. Etter lovens § 30 annet ledd annet punktum er det derfor bestemt at kontoutskrift for lønnskonto, driftskonto og lignende konto skal sendes hver måned. Denne plikten gjelder imidlertid bare dersom det har vært bevegelse på kontoen.

For nettbanktjenester er dette løst ved at kunden har forholdsvis god oversikt over sine transaksjoner til enhver tid, noe som også må anses hensiktsmessig og nødvendig tatt i betraktning det store og økende antall nettbanktransaksjoner, jf. avsnitt 5.2.1. Dette gjelder som regel uavhengig av om kunden har knyttet nettbanktjenesten opp mot en brukskonto eller lignende.

Hver kontoutskrift skal inneholde saldo, alle bevegelser på kontoen siden forrige utskrift, tidspunkter for renteberegninger for de enkelte bevegelser, gebyrer siden forrige utskrift og samlet fra siste årsskifte, påløpte renter og de rente- og gebyrsatser som gjelder for kontoforholdet, jf. finansavtaleloven § 30 tredje ledd. Bestemmelsen er ikke til hinder for at det gis ytterligere opplysninger på kontoutskriftene om dette skulle være ønskelig. I tillegg til alle bevegelsene skal også valuteringstidspunkt for de enkelte betalingsoverføringer fremgå.

For å lette kontohaverens kontroll med kontoutskriftens riktighet, skal det i tilknytning til de enkelte bevegelser være oppgitt navn på betalingsmottakere og betalere. Bestemmelsen i tredje ledd annet punktum pålegger institusjonen å innta navn på betalingsmottakere så langt som mulig. Dette er også et viktig moment i forhold til kundens mulighet til å holde oversikt og kontroll over belastninger som gjøres på vedkommendes konto.

Dersom kontohaveren har fått uriktige opplysninger om innestående og vedkommende i god tro har belastet kontoen, kan dette føre til at kontohaveren i ren villfarelse belaster kontoen for mer enn disponibelt beløp. Dette gjelder uansett om opplysningene er fremkommet på kontoutskrift, ved kontofon eller fra institusjonen på annen måte, for eksempel ved kontoutskrift over nettbank. I disse tilfellene er det fastslått at institusjonen ikke kan kreve overtrekksrente av kontohaveren før kontohaveren har fått rimelig tid til å rette forholdet, jf. finansavtaleloven § 30 fjerde ledd. I tråd med alminnelige rettsprinsipper kreves det at den gode tro er aktsom. Dersom den feilaktige godskrivingen er av betydelig størrelse og kontohaveren burde forstått at det forelå en feil, vil vilkårene i bestemmelsen ikke være oppfylt, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 141.

2.3.2 Tid og sted for betaling

Finansavtalelovens regler om tid og sted for betaling i § 39 er sentrale i forhold til blant annet kundens mulighet til å tilbakekalle et betalingsoppdrag. Dette er i sin tur et viktig spørsmål i de tilfeller hvor kunden selv oppdager at det er gjort en feil og ønsker å tilbakekalle oppdraget. Dette vil kunne redusere risikoen for at kunden påføres et tap. Dersom kunden har gjort en feil og iverksatt en transaksjon, har det imidlertid formodningen mot seg at kunden vil oppdage dette i tide, for eksempel vil jo en etterfølgende kontoutskrift kunne gjøre kunden oppmerksom på dette, noe som kan komme opptil en måned etter den gjennomførte transaksjonen, jf. avsnitt 2.3.1 foran. Tilbakekall av betalingsoppdrag gjennomgås i avsnitt 2.5 nedenfor. I det følgende gis en kort beskrivelse av reglene om tid og sted for betaling. De regler som knytter seg til betaling i kontanter er utelatt.

Når det gjelder betalingstiden, henger dette først og fremst sammen med når mottakeren ikke lenger skal kunne gjøre gjeldende misligholdssanksjoner på grunn av forsinkelse, det vil si når oppgjøret virker fristavbrytende. Dernest er temaet knyttet til når en betaling er frigjørende. Med dette menes at betaleren er fri sin betalingsforpliktelse, og at mottakeren ikke lenger kan kreve oppfyllelse av betaleren selv om beløpet ikke skulle ha kommet frem til mottakeren.

I finansavtaloven § 39 er følgende bestemmelse fastslått:

« § 39.Tid og sted for betaling

(1) Dersom betaleren har rett til å foreta oppgjør ved overføring til mottakerens konto, anses betalingen for å være skjedd når beløpet er godskrevet mottakerens institusjon. Ved overføring innen samme institusjon anses betaling for å være skjedd når beløpet er godskrevet mottakerens konto. Når oppgjør skal skje ved utbetaling i kontanter, anses betalingen for å ha skjedd når beløpet er stilt til mottakerens disposisjon gjennom bank på mottakerens sted og melding om dette er kommet frem til mottakeren.

(2) Dersom ikke annet er avtalt, anses dessuten en fastsatt betalingsfrist for å være avbrutt

  1. ved betaling fra forbruker når betalerens oppdrag er mottatt av enfinansinstitusjon

  2. når mottakeren mottar og aksepterer sjekk eller annet betalingsmiddel.

(3) Dersom et mottatt betalingsoppdrag ikke skal utføres straks, regnes avbruddet av betalingsfristen fra den avtalte betalingsdagen.

(4) Betalingsfristen avbrytes ikke dersom betalingsoppdraget ikke blir gjennomført og dette skyldes betalerens eget forhold. Institusjonen skal i så fall varsle betaleren om dette uten ugrunnet opphold, med mindre annet er bestemt i eller i medhold av lov.»

Første ledd første punktum gjelder tidspunktet for betaling i tilfeller der betaleren har rett til å foreta oppgjør ved betaling til mottakerens konto. Betaling skal anses å være skjedd når beløpet er godskrevet mottakerens institusjon og er i samsvar med bestemmelsen i R.dir. 2007/64/EF artikkel 64 om kvittering for betalingsoppdrag. Annet punktum inneholder en særlig regel for overføring innen samme institusjon. I slike tilfeller skal betaling anses for å være skjedd når beløpet er godskrevet mottakerens konto.

Når betaleren er en forbruker, følger det av annet ledd bokstav a) at betalingsfristen, dersom ikke annet er avtalt, anses for å være avbrutt når betalerens oppdrag er mottatt av en finansinstitusjon. Begrepet «mottatt» vil normalt være identisk med første innlevering eller registrering hos institusjonen. Ved innlevering av oppdrag over skranke, vil en normalt få kvittering for at oppdraget er mottatt. For papirbaserte girotjenester som ikke leveres i skranke, er det vanligvis tilrettelagt systemer for mottak, for eksempel gjennom girokasser plassert i ekspedisjonens lokaler eller bruk av brevgiro som sendes BBS direkte. Oppdraget er i disse tilfellene mottatt når det er lagt i girokassen eller det er kommet frem til BBS. For nettbanktjenestene vil avbrudd av betalingsfrist for regninger som skal belastes samme dagen, anses å ha skjedd idet kunden har samtykket i transaksjonen og den er sendt til forfallsregisteret. Dette må anses som at oppdraget er innlevert eller registrert hos institusjonen. De spørsmål som melder seg i forhold til tilbakekall er drøftet i avsnitt 2.5 nedenfor.

Etter annet ledd bokstav b) anses en fastsatt betalingsfrist som avbrutt når mottakeren mottar og aksepterer sjekk eller annet betalingsinstrument. Annet betalingsinstrument vil kunne være giro, betalingskort eller annet særskilt hjelpemiddel for overføring av betalingsmidler, jf. finansavtaleloven § 12 bokstav c).

Etter tredje ledd regnes avbruddet av betalingsfristen fra den avtalte betalingsdagen dersom et mottatt betalingsoppdrag ikke skal utføres straks.

Dersom et betalingsoppdrag ikke gjennomføres og årsaken til dette skyldes betalerens eget forhold, avbrytes ikke betalingsfristen, jf. fjerde ledd første punktum. Regelen ble forutsatt å være aktuell dersom det for eksempel ikke er dekning på betalerens konto, eller at betaleren har gitt feil eller ufullstendige opplysninger om hvem som er mottaker. I annet punktum er det bestemt at institusjonen i så fall skal varsle betaleren uten ugrunnet opphold med mindre annet er bestemt i eller i medhold av lov.

2.3.3 Belastningsfullmakt

De fleste finansinstitusjoner tilbyr mer omfattende og sammensatte betalingstjenester enn utføring av enkeltstående betalingsoppdrag. I forhold til slike mer omfattende tjenester kan det sondres mellom avtaler om faste betalingsoppdrag og avtaler om direkte debitering.

En avtale om faste betalingsoppdrag går ut på at institusjonen skal betale én eller flere regninger for kontohaveren, for eksempel strøm- og telefonregninger. Oppdraget kan være løpende eller tidsbegrenset. Faste betalingsoppdrag innebærer et fullmaktsforhold mellom kontohaveren og finansinstitusjonen. Det er i dag ingen lovfestede begrensninger i hva fullmakten kan inneholde eller krav til hva den skal inneholde.

En ordning med direkte debitering gir betalingsmottakeren (kreditor) muligheten til å belaste betalerens (debitors) konto ved forfall. Skal tjenesten være praktisk, bør betaleren og mottakeren ha et fast forretningsforhold der det jevnlig foretas betalingsoverføringer. Fordelen med direkte debitering er at betaleren slipper å kontakte banken for at regningene skal bli betalt ved forfall. Ulempen er at betaleren kan miste oversikten og kontrollen over belastningene på kontoen, noe som øker med mengden av regningene som betales gjennom slik belastningsform. I dag tilbyr bankene i første rekke to former for direkte debitering: Autogiro og Avtalegiro, dog slik at førstnevnte tjeneste ikke lenger tilbys forbrukerkunder.

Slik Autogiro er oppbygd, inngås det først en avtale mellom mottakeren og mottakerens bankforbindelse. Deretter innhenter mottakeren en belastningsfullmakt fra betaleren. Det er mottakeren – eller dennes bankforbindelse – som sender betalers bank informasjon om den fullmakten betaleren har gitt. Fullmakten registreres på betalerens konto. På forfallsdagen belastes så betalerens konto etter initiativ fra betalingsmottakeren eller hans institusjon.

Avtalegiro er bygd opp på en annen måte enn Autogiro. Bruk av Avtalegiro forutsetter at betaleren og betalingsmottakeren har inngått generelle avtaler med sine institusjoner om at betalinger kan skje gjennom denne ordningen. Den konkrete debiteringsordningen mellom partene kommer i stand ved at betaleren, på eget initiativ eller på oppfordring fra mottakeren, gir sin institusjon fullmakt til å etterkomme debiteringskrav fra mottakeren. Institusjonen sender så melding om dette til mottakeren og hans institusjon.

I forarbeidene fremkommer det klart at det er viktig å ha klare lovregler om faste betalingsoppdrag og direkte debitering. Banklovkommisjonen anså på generelt grunnlag flere faremomenter tilknyttet slike belastninger, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 76. Det ble derfor foreslått visse regler for at slike belastninger skulle skje i mer betryggende former. Departementet støttet dette synspunktet, særlig som følge av faren for kreditors mulighet til å foreta belastninger uten debitors samtykke slik at sistnevnte kunne miste oversikten, jf. Ot.prp. nr. 41 (1998-1999) side 32 og 33. Det ble imidlertid foretatt visse endringer i lovteksten som nå er inntatt i finansavtaleloven § 26. Denne fastslår følgende:

« § 26.Avtale om belastningsfullmakt

(1) Denne bestemmelsen gjelder for

  1. avtale mellom kontohaveren og institusjonen om fast betalingsoppdrag der belastning skal kunne skje etter krav fra betalingsmottakeren eller foretas av institusjonen av eget tiltak

  2. avtale mellom kontohaveren og betalingsmottakeren om at kontoen gjentatte ganger skal kunne belastes etter krav fra betalingsmottakeren.

(2) Kontohaveren skal gi institusjonen skriftlig melding om avtale som nevnt i første ledd bokstav b.

(3) Institusjonen skal påse at de belastninger som foretas, ligger innenfor avtalens grenser.

(4) Avtalen skal på en entydig måte identifisere betalingsmottakeren. For hver betalingsmottaker skal avtalen angi en høyeste belastningsgrense og det tidsrommet belastningsgrensen knytter seg til.

(5) Dersom ikke annet er uttrykkelig avtalt, skal institusjonen sørge for at varsel sendes til kontohaveren senest sju virkedager før belastningen finner sted. Varslet skal opplyse om tidspunktet for når belastningen vil finne sted, om betalingsmottakeren og om beløpets størrelse. Varslet kan tas med i kontoutskrift som nevnt i § 30 annet ledd annet punktum.

(6) Kontohaveren kan endre eller tilbakekalle fullmakten ved melding til institusjonen. Institusjonen skal gjennomføre endringen eller tilbakekallet senest første virkedag etter at meldingen er kommet fram.»

Bestemmelsens første ledd presiserer virkeområdet for bestemmelsen. Bestemmelsens første ledd bokstav a) gjelder der kontohaveren og institusjonen inngår avtale om at institusjonen skal gjennomføre et fast betalingsoppdrag. Avtalen kan gå ut på at institusjonen av eget tiltak skal foreta betaling på et bestemt tidspunkt eller at betaling skal skje etter krav fra betalingsmottakeren. Dette vil blant annet omfatte ordinære faste betalingsoppdrag og avtaler om bruk av tjenesten Avtalegiro, jf. Ot.prp. nr. 41 (1998-1999) side 103. Første ledd bokstav b) gjelder der det inngås avtale mellom kontohaveren og betalingsmottakeren om at kontoen gjentatte ganger skal kunne belastes etter krav fra betalingsmottakeren. Dette vil blant annet omfatte avtaler innenfor tjenesten Autogiro. Kravet om skriftlighet er ikke til hinder for at melding gis ved hjelp av elektronisk kommunikasjon, jf. finansavtaleloven § 8 første ledd.

2.4 Feilbelastninger

I finansavtaleloven er det gitt regler om både feilaktig godskriving og feilaktig belastning av konto. De førstnevnte situasjonene er ikke like aktuelle for denne utredningens tema og vurderingsgrunnlag, ettersom det her ikke forekommer et tap for kunden. Dette er således utelatt i den videre fremstillingen. Feilbelastninger av en kundes konto er først og fremst regulert i finansavtaleloven § 32. I lovens § 33 er det videre gitt visse regler om frist for melding av slike feil. Dette omtales til slutt i dette avsnittet.

Etter finansavtaleloven § 32 er følgende bestemt:

« § 32.Feilaktig belastning av konto

(1) Hvis institusjonen ved en feil har belastet en konto, skal den uten ugrunnet opphold godskrive kontoen for et tilsvarende beløp.

(2) Institusjonen plikter uten hensyn til skyld å erstatte rentetap og annet direkte tap som er oppstått ved den feilaktige belastningen.

(3) For indirekte tap svarer institusjonen etter alminnelige erstatningsregler.»

Hvis institusjonen ved en feil har belastet en innskuddskonto, skal den uten ugrunnet opphold godskrive kontoen med et tilsvarende beløp. Dette er inntatt i første ledd. Plikten til å tilbakeføre et tilsvarende beløp uten ugrunnet opphold gjelder uansett om institusjonen selv oppdager den feilaktige belastning, eller først blir klar over forholdet etter henvendelse fra kontohaverens side.

Regelen om feilaktig belastning av konto gjelder i de tilfeller hvor det er en feil fra institusjonen selv som har medført belastningen. Når den feilaktige belastning er initiert av andre enn institusjonen eller dens medhjelpere, gjelder bestemmelsene i finansavtalelovens kapittel 2 V om andres misbruk av konto og betalingsinstrument, se nedenfor avsnitt 2.6.

I motsetning til reglene om feilaktig godskriving av konto, inneholder ikke § 32 noen tidsfrist for når retting av feilen må skje. Departementet bemerket at kravet om tilbakeføring neppe kan anses som noen selvstendig fordring som vil være gjenstand for foreldelse. Den egentlige fordringen vil være kundens krav på utbetaling av innestående beløp på kontoen. Dermed vil regelen om 20 års foreldelse for bankinnskudd i foreldelsesloven § 4 gjelde selv om deler av innskuddet er «tatt ut» av kontoen gjennom en feilaktig belastning.

Bestemmelsen i første ledd om institusjonens plikt til å tilbakeføre beløp som er belastet ved en feil, innebærer at institusjonen i kontoavtale ikke kan innføre regler om at kontohaveren må reklamere innen en viss frist for ikke å forspille retten til å kreve tilbakeføring av beløpet. I tillegg til å tilbakeføre et tilsvarende beløp, er institusjonen etter annet ledd forpliktet til å erstatte rentetap og annet direkte tap som har oppstått ved den feilaktige belastning. Det antas at det i de fleste tilfeller vil være mest praktisk å yte erstatning i form av tilbakevalutering.

Etter tredje ledd svarer institusjonen også for indirekte tap etter alminnelige erstatningsregler. Dette innebærer at erstatningsansvaret vil være avhengig av at belastningen har skjedd ved uaktsomhet eller forsett, at kontohaveren har lidt økonomisk tap og at det foreligger årsakssammenheng mellom institusjonens handling og tap. For konsekvenstap vil det for eksempel måtte kreves at kontohaverens tap var en påregnelig følge av institusjonens handling. Videre vil alminnelige regler om arbeidsgiveransvar, om lempning av ansvar og om læren om anonyme og kumulative feil komme til anvendelse. Banklovkommisjonen går imidlertid ikke nærmere inn på dette.

I finansavtaloven § 33 er institusjonen forpliktet til å melde om uregelmessigheter i forhold til både godskriving og belastning av en kundes konto. Den fastslår følgende:

« § 33.Melding om feil

Oppdager institusjonen at en konto er feilaktig godskrevet eller belastet, skal kontohaveren underrettes uten ugrunnet opphold. Dersom feilen er rettet på en slik måte at det ikke er noen reell mulighet for at kontohaveren kan ha fått uriktige opplysninger om disponibelt beløp på kontoen, er det likevel tilstrekkelig at underretningen gis i forbindelse med en kontoutskrift.»

I forarbeidene ble det fastslått at det er viktig at kontohaveren så snart som mulig får beskjed dersom kontoen blir godskrevet eller belastet ved en feil. Dette har sammenheng med at kontohaveren gjennom kontoutskrifter eller ved forespørsel om saldo kan ha fått oppgitt feil saldo og innrettet seg etter dette. I bestemmelsens første punktum er det derfor fastslått at kontohaveren skal gis melding om forholdet uten ugrunnet opphold. Departementet fant det videre ikke nødvendig at umiddelbar varsling skulle gis dersom det ikke er noen reell mulighet for at kunden kan ha fått uriktige opplysninger om innestående på kontoen. I slike tilfeller ble det ansett som tilstrekkelig at varsling skjer i forbindelse med ordinær kontoutskrift, jf. annet punktum.

Om virkningene av overtrekk når kontohaveren har fått uriktige opplysninger om innestående på konto, vises det til avsnitt 2.3.1 foran om finansavtaleloven § 30 fjerde ledd.

2.5 Tilbakekall av betalingsoppdrag

Av og til vil det kunne være behov for å tilbakekalle eller endre et betalingsoppdrag. Grunnen til dette kan for eksempel være at betaleren er blitt oppmerksom på at betalingsmottakerens navn, kontonummer eller det beløp eller betalingsdato som fremgår av betalingsoppdraget, er uriktig. Det kan også være at betaleren ombestemmer seg, fordi det oppdages at den vare eller tjeneste betaleren ønsket å gjøre opp for er beheftet med mangler og ønsker å utøve tilbakeholdsrett, kreve prisavslag, foreta motregning mv. Betaleren kan også ha ombestemt seg uten at det foreligger noen rimelig foranledning til det.

På den annen side tilsier målet om at betalingsoverføringer skal være effektive, at betalerens adgang til å tilbakekalle og endre ikke er for vid. I samme retning trekker hensynet til at en mottaker som er kjent med betalingsoppdraget, skal kunne stole på at oppdraget blir gjennomført. Med tanke på disse hensynene ble følgende bestemmelse inntatt i finansavtaleloven:

« § 28.Tilbakekall og endring

(1) Tilbakekaller eller endrer betaleren et betalingsoppdrag, skal den institusjonen som forestår betalingsoverføringen, medvirke til dette. For en bestemt type betalingsoppdrag kan det likevel avtales at betaleren ikke skal kunne kreve tilbakekall eller endring.

(2) Et betalingsoppdrag kan ikke tilbakekalles eller endres etter at betaling har skjedd, jf. § 39 første ledd.

(3) For tilbakekall av sjekker gjelder reglene i sjekkloven.»

Første ledd første punktum pålegger institusjonen en plikt til å medvirke til at betalingsoppdrag tilbakekalles eller endres når betaleren krever dette. Institusjonens plikt gjelder uten hensyn til om tilbakekallingen eller endringen i forholdet mellom betaleren og mottakeren er rettmessig eller representerer mislighold. Ved konkurs vil konkursboet ha full adgang til å kreve institusjonens medvirkning til tilbakekall og endring av betalingsoppdrag som før åpningen av boet ble gitt av konkursdebitor. Regelen i lovens § 28 betyr at institusjonen i utgangspunktet har plikt til å medvirke til tilbakekall og endring av betalingsoppdrag før betaling har skjedd. Betaleren har således krav på at institusjonen i rimelig utstrekning gjør det som er mulig for å tilbakekalle eller endre oppdraget. Medvirkningsplikten må blant annet vurderes ut fra hvor komplisert det er å tilbakekalle eller endre, den tid som er til rådighet, hvilke verdier som står på spill mv.

Med «tilbakekall» er det tenkt på de tilfeller hvor hele betalingsoppdraget trekkes tilbake. «Endring» vil foreligge når betalingsoppdraget i utgangspunktet opprettholdes, men betaleren for eksempel ber om endring av betalingsmottakerens navn, adresse eller kontonummer eller av beløpet eller tidspunktet for overføringen. Terminologisk vil et tilbakekall også være en endring, og det er derfor uten betydning å trekke en nærmere grense mellom tilbakekall og endring. Bestemmelsen gjelder også for betalingsoppdrag som ikke skal belastes innskuddskonto, jf. § 11 første ledd.

For enkelte typer betalingstjenester vil det kunne være behov for å avtale at betaleren ikke skal kunne kreve at institusjonene skal medvirke til tilbakekall eller endring. I annet punktum er det i samsvar med dette bestemt at «for en bestemt type betalingstjeneste kan det likevel avtales at betaleren ikke skal kunne kreve tilbakekall eller endring». Ordet «bestemt» er tatt inn for ikke generelt å åpne for klausuler i avtaler om betalingstjenester hvor betalerens rett etter første punktum er avskåret. Når praktiske hensyn sett i sammenheng med betalingstjenestens karakter tilsier at tilbakekall og endring ikke bør kunne kreves, kan slik avtale likevel inngås. Regelen er gjort ufravikelig i både forbruker- og næringsforhold, jf. lovens § 2 første og annet ledd. Departementet bemerket at det på dette området ikke var reelle grunner som skulle tilsi at det skulle være adgang til å avtale vilkår overfor næringsdrivende som stiller disse dårligere enn det som følger av loven, jf. Ot.prp. nr. 41 (1998-99) side 23. En avtale etter annet punktum vil isolert sett ikke hindre at institusjonen likevel medvirker til tilbakekall eller endring av et oppdrag om dette er mulig, men vil innebære at betaleren ikke kan kreve slik medvirkning.

Ved debetoverføringer vil det være tilfeller hvor institusjonen har forpliktet seg overfor mottakeren før betaling anses å ha skjedd. Når institusjonens forpliktelse er gitt i forståelse med betaleren, vil tilbakekall og endring være avskåret, jf. annet ledd. Her kan nevnes betalingskort hvor kortutstederen overfor mottaker har forpliktet seg til å honorere en anvisning og hvor kortholderen (betaleren) gjennom avtale har fraskrevet seg retten til å tilbakekalle og endre betalingsoverføringen. Ved bruk av betalingskort vil spørsmål om tilbakekall og endring normalt være regulert i avtalen mellom kortutstederen og kontohaveren, se ellers kapittel 4 nedenfor. Ved avtale om belastningsfullmakt vil det være lite aktuelt med tilbakekall eller endring av en enkelttransaksjon når overføringen er startet, fordi det vil være vanskelig å reversere transaksjonen, både på grunn av selve teknikken, og de forholdsvis korte tidsintervaller det her er snakk om, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 134. For tilbakekall av selve belastningsfullmakten vises til lovens § 26 siste ledd og avsnitt 2.3.2 foran. Når tilbakekallingen eller endringen av betalingsoverføringen har sin bakgrunn i forhold som betaleren svarer for, vil institusjonen kunne kreve å få dekket kostnadene som tilbakekallingen eller endringen har medført, etter alminnelige regler.

Etter annet ledd første punktum kan et betalingsoppdrag ikke tilbakekalles eller endres etter at betaling anses for å ha skjedd etter § 39 første ledd, se avsnitt 2.3.2 foran. Dette er yttergrensen for institusjonens plikt til å medvirke til tilbakekall og endring. Ved overføring til innskuddskonto vil dette si når mottakers institusjon er blitt forpliktet overfor mottakeren, noe som normalt skjer ved kreditering av mottakerens konto. Ved direkte overføringer med samtidig belastning og godskrivning av henholdsvis betalerens og mottakerens konto, vil tilbakekall være avskåret fra det tidspunkt betalingsordren effektueres. Ved kontant utbetaling av advisert giro, er skjæringstidspunktet for når tilbakekall og endring ikke lenger kan foretas, det tidspunkt beløpet stilles til mottakerens disposisjon på mottakerens sted, og melding om dette er kommet frem til mottakeren.

Hvis det er institusjonen som har begått en feil, for eksempel ved at den ved feilskrift har angitt galt kontonummer eller beløp, vil institusjonen være forpliktet til å rette feilen. For disse tilfeller gjelder ikke § 28, men reglene i §§ 32 og 33, se avsnitt 2.4 foran. Slik retting skal skje uavhengig av om beløpet er godskrevet mottakerens konto. Ved debetoverføring vil betaleren kunne tilbakekalle en betalingsoverføring ved å hindre at anvisningen blir betalt, for eksempel i form av tilbakekall av sjekk eller sperring av konto. Ved kreditoverføring som for eksempel papirbasert bankgiro, vil yttergrensene for betalerens rett til å tilbakekalle falle sammen med skjæringspunktene for når betaling har skjedd etter § 39 første ledd.

I bestemmelsens tredje ledd er det presisert at sjekklovens særregler om tilbakekall fortsatt skal gjelde for sjekker fremfor de alminnelige regler i § 28. Sjekker reguleres av lov av 27. mai 1932 nr. 3 om sjekker. Dette temaet drøftes ikke nærmere, ettersom utredningen her tar utgangspunkt i giro, betalingskort og andre nettbaserte betalingstjenester, se for øvrig avsnitt 1.1 foran.

2.6 Andres misbruk

2.6.1 Innledning

Finansavtalelovens kapittel 2 V inneholder flere bestemmelser som vedrører andres misbruk av bankkonto. Det er lovens § 34 som er hovedregelen om slikt misbruk. Bestemmelsen omfatter de tilfeller hvor kunden hevder at kontoen er blitt urettmessig belastet. Enkelte ganger vil det imidlertid kunne avdekkes at det er institusjonen selv som har begått en feil, typisk teknisk svikt eller lignende. I disse tilfeller gjelder ikke reglene i finansavtalelovens kapittel 2 V, men § 32 om feilaktig belastning av konto. Denne bestemmelsen er det redegjort for i avsnitt 2.5 foran.

Finansavtaleloven § 34 danner et utgangspunkt for misbruk av konto som er knyttet opp mot betalingsoverføringer. Alle former for betalingsoverføringer er videre knyttet opp mot tilgang og disponering av konto, enten det være seg betalingstjenester som giro, betalingskort eller annen nettbasert betalingsoverføring som nettbank og telefonbank. Tapssituasjoner oppstår slik sett i sammenheng med tilgang til en konto. Bestemmelsen i finansavtaleloven § 34 vedrører de tilfeller hvor belastningen er utført i samsvar med et betalingsoppdrag. Spørsmålet er da om belastningen har skjedd av en utenforstående, og om det er institusjonen eller kontohaveren som har risikoen for den urettmessige belastningen.

Det er ikke uvanlig at institusjonen gjør gjeldende at kontohaveren er å bebreide og har muliggjort andres misbruk, mens kontohaveren på sin side påstår at han eller hun ikke – eller i bare liten grad – er å laste. Ved elektronisk initierte betalingsoverføringer hvor PIN-kode brukes som identifikasjon, kan det videre være vanskelig å klarlegge om det er kontohaveren selv som har foretatt betalingsoverføringen eller om den er foretatt av andre. Ved slik brukerlegitimasjon ble det derfor foreslått særskilte regler, se avsnitt 2.6.3 nedenfor. De særskilte reglene vedrører misbruk av betalingskort og er regulert separat i § 35. Banklovkommisjonen fant at bruk av betalingskort reiser en del særegne spørsmål knyttet til ansvars- og risikovurderinger, og at en separat regulering var hensiktsmessig.

Finansavtaleloven § 34 angir de alminnelige regler for andres misbruk av konto, herunder tilknyttede betalingsinstrumenter. Reglene gjelder både for uttak i kontanter og belastninger. Uttak i kontanter kan skje i en banks betjente kasse eller i minibankautomat. Urettmessig belastning av konto kan for eksempel inntreffe ved girooverføring ved forfalsket underskrift eller legitimasjonsbevis. I merknadene til finansavtaleloven § 12 bokstav c) om betalingsinstrumenter, uttalte Banklovkommisjonen at eksempler på betalingsinstrumenter kan være sjekk, giroblanketter, betalingskort med eller uten kode, eventuelt i kombinasjon med terminaler som gir tilgang til betalings- eller kontokortsystemene. Videre fastslo Banklovkommisjonen, i sin utredning nr. 1 på side 110, at

«[d]e tradisjonelle betalingsinstrumenter som er nevnt foran, kjennetegnes ved at de utstedes og kontrolleres av kontoførende institusjoner. Utviklingen går nå i retning av at en i økende grad også tar andre særskilte hjelpemidler i bruk, for eksempel telefon, bedriftsterminaler, eventuelt i kombinasjon med koder e.l. Betalingsinstrumenter representerer et vidt spekter av hjelpemidler som benyttes for å få adgang til betalingsmidler. Slik sett er det ingen prinsipiell forskjell mellom et tradisjonelt betalingsinstrument som giroblankett, og et moderne hjelpemiddel som telefon. Derimot vil ansvar og risikovurderinger kunne bli nokså ulike for instrumenter utstedt og kontrollert av institusjonen, og for hjelpemidler som betaleren selv eller en tredje part er eier av eller ansvarlig for (telefon, terminaler m.v.)».

For andre betalingstjenester enn betalingskort, er derved finansavtaleloven § 34 det rettslige utgangspunkt i forhold til potensielle tapssituasjoner som kan oppstå for kunden. Som sitatet viser, fastslo imidlertid Banklovkommisjonen at ansvars og risikovurderinger vil kunne bli nokså ulike med særlig vekt på hvilken del betaleren selv spiller ved den enkelte betalingsoverføring. Dette forholdet drøftes ikke nærmere i denne delen av utredningen, men er inntatt i avsnitt 6.1.2 under vurderingen av gjeldende ansvarsregulering for misbruk av nettbasert betalingsoverføring.

I tillegg til ansvarsregulering om andres misbruk av konto, er det gitt regler om lemping og tilbakeføring av beløp ved misbruk, som for øvrig også gjelder i forhold til misbruk av betalingskort. Disse reglene er inntatt i finansavtaleloven §§ 36 og 37 og gjennomgås i avsnittene 2.6.4 og 2.6.5 nedenfor.

2.6.2 Hovedregel – finansavtaleloven § 34

Hovedregelen om misbruk av konto mv. er gitt i finansavtaleloven § 34 og bestemmer følgende:

« § 34.Misbruk av konto m.v.

(1) Kontohaveren er ikke ansvarlig for andres urettmessige uttak eller annen belastning med mindre den som har foretatt disposisjonen, har legitimert seg i samsvar med reglene i kontoavtalen, og belastningen har vært mulig som følge av forsett eller grov uaktsomhet fra kontohaveren eller fra noen som etter kontoavtalen har rett til å belaste kontoen.

(2) Ansvaret etter første ledd er begrenset til disponibelt beløp på kontoen på belastningstidspunktet. Er misbruk skjedd ved bruk av elektroniske betalingsinstrumenter innenlands, kan ansvaret heller ikke overskride belastningsgrenser som gjelder for den eller de bruksmåter som er benyttet. Begrensningene i leddet her gjelder ikke dersom kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, har medvirket forsettlig til at vedkommende kunne legitimere seg.

(3) Kontohaveren svarer ikke for andres urettmessige bruk som finner sted etter at institusjonen har fått varsel om forhold som skaper særlig fare for misbruk, som f.eks. at et betalingsinstrument er kommet bort eller at kode eller annen sikkerhetsprosedyre kan ha blitt tilgjengelig for uvedkommende. Kontohaveren er likevel ansvarlig dersom kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, forsettlig har muliggjort bruken.

(4) Uten hensyn til reglene i denne paragrafen er kontohaveren i alle tilfelle ansvarlig for tap som skyldes at kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, har utvist eller medvirket til svik mot institusjonen.

(5) Ansvaret ved misbruk av betalingskort er regulert i § 35.»

Som nevnt innledningsvis i avsnitt 2.1 foran, er store deler av den følgende beskrivelsen av bestemmelsen hentet fra Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag). Banklovkommisjonens forslag ble i stor grad fulgt opp av departementet i Ot.prp. nr. 41 (1998-1999) Om lov om finansavtaler og finansoppdrag.

Etter bestemmelsens første ledd stilles det to vilkår for at kontohaveren selv skal bli ansvarlig for andres uttak eller annen belastning av konto.

For det første må vedkommende som belastet kontoen, ha legitimert seg i samsvar med det som er bestemt i kontoavtalen, jf. finansavtaleloven § 16. Før en kontoavtale kan inngås, skal institusjonen opplyse om regler om hvordan kontoen og betalingsinstrument knyttet til kontoen kan brukes, herunder krav til legitimasjon, jf. lovens § 15 annet ledd bokstav d). Dersom den urettmessige belastning har skjedd uten at vedkommende legitimerer seg slik som fastsatt i kontoavtalen, vil kontohaveren – med det unntak som følger svikbestemmelsen i fjerde ledd – ikke kunne pålegges ansvar. Dette vilkåret følger som en naturlig konsekvens av institusjonens plikt til å påse at utbetaling skjer til rette vedkommende.

For det annet må belastningen ha vært mulig som følge av grov uaktsomhet eller forsett fra kontohaverens side. Lavere grad av uaktsomhet fører ikke til ansvar for kontohaver. Bestemmelsen i § 34 gjelder bare tilfeller hvor andre enn kontoinnehaveren har «legitimert seg i samsvar med reglene i kontoavtalen».

Annet ledd inneholder begrensninger i det ansvaret som følger av første ledd. Etter første punktum er kontohaverens ansvar i uaktsomhetstilfellene begrenset til disponibelt beløp på kontoen på belastningstidspunktet. I forarbeidene ble det antatt at de betalingstjenester som omfattes av bestemmelsen, er organisert slik at det i utgangspunktet ikke vil være mulig å trekke på en konto utover disponibelt beløp. Det ansvarstaket som disponibelt beløp representerer, faller dermed sammen med den øvre grensen for kontohaverens egen rett og mulighet til å trekke på konto.

Etter annet ledd annet punktum kan kontohaverens ansvar når elektroniske betalingsinstrumenter brukes innenlands, i uaktsomhetstilfellene heller ikke overstige periodebeløpet på transaksjonstidspunktet. Med «periodebeløp» menes her beløpsgrenser som for eksempel er fastsatt pr. uke for bruk av betalingsinstrumentet. Med begrepet «elektroniske betalingsinstrumenter» skal forstås instrumenter hvor dataene innsamles elektronisk.

Bestemmelsen i annet punktum vil blant annet gjelde for bedrifts- og hjemmeterminaler, jf. Banklovkommisjonens Utredning nr. 1 side 143 og drøftelsen foran avsnitt 2.6.1 om begrepet «betalingsinstrument». Derimot faller elektroniske overføringer som ikke er knyttet til bruk av elektroniske betalingsinstrumenter utenfor, for eksempel avtale om belastningsfullmakt, jf finansavtaleloven § 26. Banklovkommisjonen uttalte at elektroniske betalingskort på daværende tidspunkt var det mest typiske eksempel på elektroniske betalingsinstrumenter med innlagt periodebeløp.

I samsvar med dette må det legges til grunn at bankinstitusjonenes nettbanktjeneste kommer inn under denne regelen. I forhold til nettbanktjeneste er imidlertid ikke regelen like aktuell som en form for ansvarsbegrensning for kundens del, ettersom vedkommende som har fått tilgang til nettbankkontoen i stor grad kan styre dette selv, se avsnittene 6.1.2 og 6.2.3 nedenfor. Beløpsgrensene for nettbanktjenestene er dessuten forholdsvis høye sammenlignet med for eksempel betalingskortene.

Etter annet ledd tredje punktum gjelder ikke reglene i første og annet punktum dersom kontohaveren eller noen som har rett til å belaste kontoen, har medvirket forsettlig til at vedkommende har kunnet legitimere seg. Det ble lagt til grunn at kontohaveren i disse tilfellene ikke burde nyte godt av begrensningene i første og annet punktum.

Innføringen av tredje ledd var i hovedsak en kodifisering av gjeldende praksis. Bestemmelsen fritar kontohaveren for urettmessig bruk som finner sted etter at banken har fått varsel om at betalingsinstrument eller annen legitimasjon er kommet bort, med mindre kontohaveren eller noen som har rett til å belaste kontoen, forsettlig har muliggjort bruken.

Etter fjerde ledd er kontohaveren i alle tilfeller ansvarlig ved utvist svik mot institusjonen fra kontohaverens side eller fra noen som har rett til å belaste kontoen. Like med svik anses medvirkning til svik. I disse tilfellene gjelder således ingen av de begrensningene som følger av første til tredje ledd.

2.6.3 Særlige regler for betalingskort – finansavtaleloven § 35

For misbruk av betalingskort foreslo Banklovkommisjonen som nevnt foran avsnitt 2.6.2, i sin Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag), visse særskilte regler. Det ble ikke her gjort noe skille mellom debet- og kredittkortene. Reglene gjelder så langt det er benyttet personlig kode eller annen lignende sikkerhetsprosedyre i forbindelse med belastningen av betalingskortet, det vil si en form for brukerlegitimasjon som ikke er personavhengig som for eksempel signatur, stemmeprøve eller fingeravtrykk.

Banklovkommisjonen avga sin utredning 15. desember 1994. Bruken av elektroniske uttaks- og betalingskort hadde økt betydelig på daværende tidspunkt, og kortene var blitt en viktig del av hverdagen på linje med kontanter og datidens sjekker. I denne forbindelse ble forbrukernes rettstilling undersøkt nærmere. Det eksisterte ingen lovgivning som direkte regulerte forholdet mellom kortutsteder og kortholder, og Banklovkommisjonen uttalte, på side 67 i utredningen, at

«det er av viktighet – både av hensyn til kortbrukerne og for å opprettholde tilliten til betalingskortsystemene – at sentrale ansvarsfordelingsspørsmål blir fastsatt i lov. Kommisjonen har derfor foreslått lovregler om ansvar for misbruk av betalingsinstrumenter».

Banklovkommisjonen foreslo en nærmere regulering av misbruk av betalingskort, som nå i det vesentligste er inntatt i finansavtaleloven § 35. Departementet uttalte, i Ot.prp. nr. 41 (1998-1999) side 43, at forslaget fremstår som en balansert helhetsløsning som tar i betraktning de ulike hensynene som gjør seg gjeldende på dette området. Bestemmelsen fastslår en ansvarsbegrensning for kunden ved andres urettmessige bruk av betalingskortet. Etter finansavtaleloven § 35 er følgende bestemt:

« § 35.Misbruk av betalingskort

(1) Kontohaveren svarer med inntil kr 800 for tap som skyldes andres urettmessige bruk av betalingskort når tilhørende personlig kode eller annen lignende sikkerhetsprosedyre er brukt.

(2) Kontohaveren svarer med inntil kr 8.000 for tap som skyldes andres urettmessige bruk av betalingskort dersom

  1. kontohaveren eller noen betalingskortet er overlatt til, ved grov uaktsomhet har muliggjort misbruket, eller

  2. misbruket er muliggjort fordi kontohaveren eller noen betalingskortet er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at betalingskortet er kommet bort eller innen rimelig tid etter at dette burde vært oppdaget.

(3) Er misbruk av elektronisk betalingskort skjedd innenlands, kan ansvaret etter annet ledd ikke overskride de belastningsgrenser som gjelder for den eller de bruksmåter som er benyttet.

(4) Begrensningene i annet og tredje ledd gjelder ikke dersom kontohaveren eller noen kortet er overlatt til, forsettlig har muliggjort bruken av kortet. Begrensningene gjelder heller ikke for tap som er oppstått som følge av at kontohaveren eller noen kortet er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til irregulær bruk av kortet.

(5) § 34 tredje og fjerde ledd gjelder tilsvarende for kontohaverens ansvar etter paragrafen her.

(6) Kongen kan i forskrift bestemme at reglene i paragrafen her skal gjelde helt eller delvis for andre typer betalingsinstrumenter.»

I forhold til bestemmelsen i § 35 uttalte Banklovkommisjonen at kontohaveren etter første ledd skal ha et objektivt ansvar i form av en selvrisiko begrenset oppad til en egenandel som skyldes andres urettmessige bruk av betalingskort. Denne egenandelen ble etter departementets forslag satt til 800 kroner. Kontohaveren må, slik sett – uavhengig av egen skyld – dekke tap opp til egenandelen. Motstykket er imidlertid at kontohaveren, utover egenandelgrensen, overhodet ikke kommer i ansvar, med mindre kontohaveren eller noen betalingskort er overlatt til, ved grov uaktsomhet eller forsett har muliggjort misbruket. Det objektive ansvaret gjelder som nevnt bare for betalingskort som har tilknyttet personlig kode eller annen lignende sikkerhetsprosedyre. Det typiske ved slik identifikasjon er at dersom en utenforstående har kode og kort, vil vedkommende kunne benytte kortet uten å være berettiget til det. Det er hevdet at dette også omfatter såkalt «skimming» av kortet ettersom kortet her i prinsippet benyttes, men bare at det er en kopi av det. Det vises ellers til avsnitt 4.5 nedenfor.

Mens det objektive ansvaret etter første ledd er avgrenset til betalingskort med særlig sikkerhetsprosedyre, gjelder annet ledd for alle betalingskort, det vil si elektronisk eller manuelt benyttet uttaks-, debet- og kredittkort eller lignende kort for uttak eller overføring av betalingsmidler uten at det må inntastes en PIN-kode. Ansvarstaket innebærer en erkjennelse av at betalingskort i mange henseende er mer utsatt for misbruk enn andre betalingsinstrumenter.

Etter bokstav a) er ansvaret begrenset til 8.000 kroner dersom kontohaveren eller noen betalingskort er overlatt til, ved grov uaktsomhet har muliggjort misbruket. For at en handling eller unnlatelse skal kunne kvalifiseres som grov uaktsom, kreves det et markert avvik fra vanlig forsvarlig handlemåte. Avtaler om betalingskort vil som regel inneholde bestemmelser om bruk og oppbevaring av kort og eventuelle tilhørende koder. Det vil i så fall ligge et sett handlings- og adferdsregler til grunn for aktsomhetsvurderingen. Spørsmålet om når uforsiktig oppbevaring av betalingskortet er tilstrekkelig til å bringe korthaveren i ansvar etter annet ledd, må vurderes konkret. Dersom det i tillegg til kortet for eksempel stilles krav om bruk av en PIN-kode, må det foretas en samlet vurdering av oppbevaringen av både kort og kode.

Etter bokstav b) pålegges kontohaveren plikt til å foreta en viss kontroll og reagere snarest mulig når tap av betalingskort er oppdaget eller innen rimelig tid etter at tapet burde vært oppdaget. Her er ansvarsnormen vanlig uaktsomhet. Underretning til institusjonen er nødvendig både for å hindre ytterligere misbruk og for å sikre bevis.

Ansvarsbegrensningene gjelder ikke dersom kontohaveren forsettlig har muliggjort bruken. Ved forsett bærer kontohaveren som hovedregel hele risikoen for den urettmessige belastningen. Departementet var enig i dette unntaket og tilføyde at grensen heller ikke skulle gjelde der korthaveren får kjennskap til at kortet faktisk er misbrukt og likevel ikke underretter institusjonen. I en slik situasjon fremstår det som urimelig at korthaveren skal være beskyttet av beløpsgrensen.

2.6.4 Lempingsregel – finansavtaleloven § 36

Det er videre gitt regler om lemping av kontohaverens ansvar som gjelder både i forhold til finansavtaleloven §§ 34 og 35. Bestemmelsen er inntatt i lovens § 36 og fastslår følgende:

« § 36.Lemping av kontohaverens ansvar

(1) Ansvaret etter §§ 34 og 35 kan lempes dersom måten kontoen kan disponeres på ikke er betryggende, eller dersom betalings- eller kontokortsystemet ikke oppfyller forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner, og den urettmessige belastning eller misbruket har sammenheng med dette. Det kan også tas hensyn til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den urettmessige belastningen eller misbruket kunne skje.

(2) Kontohaverens ansvar kan også nedsettes dersom en leverandør av varer eller tjenester som har mottatt betalingen, forsto eller burde forstå at bruken av betalingsinstrumentet var urettmessig.»

Selv om kontohaveren i utgangspunktet skulle være ansvarlig etter bestemmelsen om misbruk av betalingskort, er det fastslått at ansvaret kan reduseres helt eller delvis. Slik reduksjon kan skje dersom måten kontoen disponeres på ikke er betryggende og den urettmessige belastning har sammenheng med dette forhold. Kontohaverens ansvar kan reduseres eller falle bort helt eller delvis dersom betalings- eller kontokortsystemene ikke oppfyller forsvarlige standarder for identifikasjon-, kontroll- eller varslingsrutinger og den urettmessige belastningen har sammenheng med dette. Det kan for eksempel være tilfelle dersom betalingskort kan brukes uten tilfredsstillende identitetskontroll eller andre forsvarlige sikkerhetsprosedyrer. Det samme er tilfelle om mangelfulle rutiner på institusjonens side har medvirket til at den urettmessige belastningen kunne skje.

Det er også bestemt, i annet punktum, at ansvaret kan nedsettes dersom manglende aktsomhet eller andre forhold på institusjonens side har medvirket til at den urettmessige belastningen eller misbruket kunne skje. Bestemmelsen vil for eksempel kunne ramme utbetaling av kontanter fra konto over skranke uten krav om fremleggelse av legitimasjon. Hvis legitimasjon fremlegges, men institusjonen må forstå at vedkommende som presenterer seg ikke er identisk med den som legitimasjonen gjelder, vil det også kunne være naturlig å lempe kontohaverens eventuelle ansvar.

Etter annet ledd kan ansvaret også reduseres eller falle bort dersom mottakeren forstod eller burde forstå, at bruken var urettmessig. Bestemmelsen legger opp til at institusjonene i avtaler med brukerstedene kan få inn klausuler om at mottakeren i disse tilfellene har ansvaret. I dag blir brukerstedene i liten grad stilt til ansvar for egen uaktsom opptreden. Bestemmelsen vil for eksempel kunne få betydning for butikk som mottar sjekker uten å kontrollere mot bankkort. Det samme gjelder manglende kontroll av betalingskort i manuelt system når det forutsettes kontroll av signatur eller bilde.

Bestemmelsen er en «kan»-regel, slik at vurderingen av om kontohaverens ansvar skal reduseres eller falle bort også vil bero på kontohaverens forhold. Dersom kontohaveren har opptrådt sterkt klanderverdig, vil det kunne være grunn til ikke å redusere kontohaverens ansvar selv om institusjonen er å bebreide.

3.6.5 Reklamasjon og tilbakeføring – finansavtaleloven § 37

Banklovkommisjonen var videre klar over et særlig problem ved urettmessige belastninger av konto: Ofte er beløpet allerede belastet kontoen på det tidspunktet tvisten om ansvarsforholdene mellom kontohaveren og institusjonen oppstår. Prosesskostnader forbundet med tvist om faktiske forhold kan ofte medføre at kontohaveren unnlater å anlegge sak for domstolene selv om denne mener at en belastning av konto er uhjemlet. Ettersom institusjonen på sin side har økonomisk evne til å forskuttere prosesskostnader og vil kunne pulverisere eventuelle tap ved misbruk på brukerkollektivet og betaling for tjenesten, foreslo Banklovkommisjonen å legge prosessbyrden på institusjonen. Banklovkommisjonens forslag ble i det vesentligste fulgt opp i finansavtaleloven § 37, og lyder som følger:

« § 37.Reklamasjon. Tilbakeføring

(1) I den utstrekning kontohaveren ut fra reglene i § 34 eller § 35 bestrider å ha ansvar for en belastning, skal institusjonen tilbakeføre beløpet og erstatte rentetap fra belastningstidspunktet, forutsatt at kontohaveren setter frem krav om tilbakeføring uten ugrunnet opphold etter at denne ble eller burde ha blitt kjent med forholdet. Plikten til tilbakeføring etter første punktum gjelder ikke for egenandel etter § 35 første ledd.

(2) Første ledd gjelder ikke dersom

  1. kontohaveren skriftlig har erkjent ansvar for belastningen, eller

  2. institusjonen innen fire uker fra mottakelse av skriftlig innsigelse fra kontohaveren har anlagt søksmål eller brakt saken inn for en nemnd som nevnt i § 4 første ledd.

(3) Blir saken avvist av en nemnd eller en domstol, løper en ny frist på fire uker, fra den dagen institusjonen ble kjent med avvisningen.»

Etter første ledd må kontohaveren underrette institusjonen uten ugrunnet opphold etter at denne ble eller burde vært kjent med belastningen. Snarlig varsel er viktig både i relasjon til bevissikring og for å hindre ytterligere urettmessig bruk. Når institusjonen er blitt varslet, har denne på sin side plikt til å tilbakeføre beløpet og erstatte rentetap fra belastningstidspunktet. Institusjonen kan imidlertid gjøre fradrag for eventuell egenandel etter lovens § 35 første ledd som kontohaveren hefter for på objektivt grunnlag.

Spørsmålet om bevisbyrde oppstår særlig ved misbruk av betalingskort. Dette gjelder de tilfeller hvor korthaveren hevder at koden er oppbevart forsvarlig, men hvor koden likevel er benyttet ved uttaket. Bestemmelsen som ble foreslått og vedtatt, fastslår ikke en særskilt bevisbyrderegel på dette området. Begrunnelsen for dette er at det i praksis vil være kontohaveren som har best kjennskap til de faktiske forhold, blant annet om hvordan PIN-koden er oppbevart.

Plikten til tilbakeføring gjelder imidlertid ikke dersom kontohaveren erkjenner ansvar for belastningen, jf. annet ledd bokstav a). Et eksempel på dette vil være at betalingskort med tilhørende kode er gjort tilgjengelig for en person innen husstanden som har brukt kortet, og kontohaveren erkjenner ansvar for belastningen. Tilbakeføringsplikten gjelder heller ikke dersom institusjonen innen fire uker etter at den har mottatt skriftlig innsigelse fra kontohaveren, anlegger søksmål eller bringer saken inn for nemnd, jf. bokstav b).

Etter tredje ledd har institusjonen en tilleggsfrist på fire uker dersom saken avvises fra klagenemndsbehandling. Dette gir institusjonen tid til å vurdere om den vil bringe saken inn for domstolsbehandling.

Når det gjelder aktuelle bevisspørsmål som ville kunne oppstå for en nemnd eller domstol, ble det fra departementets side, i Ot.prp. nr. 41 (1998-1999) side 44, understreket at

«... selv uten en lovfestet bevisbyrderegel vil en nemnd eller en domstol ikke kunne legge til grunn at kunden har opptrådt grovt uaktsomt uten at det foreligger særskilte holdepunkter for dette. At PIN-koden er brukt uten at kunden har noen forklaring på hvordan koden er blitt kjent for uvedkommende, kan ikke være tilstrekkelig til å legge til grunn at kunden har opptrådt grovt uaktsomt og på dette grunnlag ilegge ansvar. Koden kan f.eks. ha blitt kjent for uvedkommende ved at misbrukeren, uten at kunden har merket det, har iakttatt kundens inntasting av kode i forbindelse med bruk av kortet.»

Bankklagenemndas praksis knyttet til urettmessig bruk av betalingskort viser at tilfelle hvor PIN-kode er brukt relativt kort tid etter at kortet ble stjålet og kortet ikke var i bruk like før dette, blir kunden som hovedregel holdt ansvarlig. I flertall av saker har det imidlertid vært dissens, og mindretallet har ikke funnet saken tilstrekkelig opplyst til at den bør realitetsbehandles. Det vises blant annet til Bankklagenemndas avgjørelser i BKN-02003, BKN-07131, BKN-08020, BKN-08026 og BKN-08027. Det vises for øvrig til avsnitt 6.3.2 punkt 2) nedenfor hvor lignende avgjørelser er kommentert nærmere.

3 Betalingsoverføring ved giro

3.1 Innledning

Ved bruk av giro gir betaleren sin bank instruks om å overføre et beløp til mottakeren fra egen konto. Banken vil undersøke om de nærmere bestemte betingelsene for å utføre oppdraget er oppfylt og deretter foreta overføringen. Disse betingelsene er noe avvikende alt etter hvilken giroform som velges av kunden. Det må i denne forbindelse skilles mellom girooverføringer som gjøres gjennom et kreditt- eller debetoverføringssystem.

I et kredittoverføringssystem går transaksjonen fra betaleren via formidleren til mottakeren. Det sies gjerne at denne form for betaling innebærer at man «skyver» betalingsmidlene gjennom systemet fra betaleren til mottakeren. Her finner man de vanligste formene for betalingsoverføring, som for eksempel bank- og brevgiro.

I et debetoverføringssystem er det motsatt. Her trekker mottakeren penger fra betaleren via formidleren. Betaleren må her gi mottakeren en tillatelse til å hente penger fra betalerens konto. Det tidligere brukte sjekksystemet er et eksempel på slike overføringsmekanismer. I dag er det særlig AvtaleGiro som brukes for direkte debitering for forbrukerbetalinger.

Betalingsoverføring ved bruk av giro kan på nåværende tidspunkt gjøres på flere måter. Det er her noen hovedskiller.

For det første kan kunden benytte seg av giroblanketter hvor han eller hun selv må utfylle betalingsinformasjonen. I denne gruppen finner man de tradisjonelle giroblankettene hvor kunden selv fyller ut informasjonen og tar den med til en bankfilial (bankgiro), benytter seg av brevgiroordningen eller foretar overføringen via sin nettbank. Slike girooverføringer via nettbank eller andre nettbaserte betalingstjenester er tema i kapittel 5 og utelates derfor i denne sammenheng. Girooverføringer enten direkte gjennom bank eller ved bruk av posten (brevgiro), er nærmere omtalt i avsnitt 3.2.1 nedenfor.

For det andre kan kunden benytte seg av ferdigutfylte giroblanketter, det vil si hvor kreditor har utfylt den nødvendige betalingsinformasjon og kunden bekrefter innbetalingen, enten gjennom signatur eller bekreftelse gjennom brukerlegitimasjon. I denne gruppen finnes giroordninger som papirbaserte ferdigutfylte giroblanketter og elektronisk giro. For de papirbaserte giroblankettene, kan kunden velge mellom å gå i banken, benytte seg av brevgiro eller foreta betalingen via sin nettbank. Elektronisk giro er som oftest direkte knyttet opp til en kundes nettbank, og er i stedet omtalt i avsnitt 5.2.1 nedenfor.

For det tredje er det mulig å foreta girooverføringer gjennom såkalt betalingsfullmakt. I denne gruppen finner man både AvtaleGiro og AutoGiro. Sistnevnte kan kun brukes i bedriftsmarkedet. I det følgende benyttes formuleringen «belastningsgiro» om disse betalingsformene. Belastningsgirering er tema i avsnitt 3.2.3 nedenfor. Slik giro er imidlertid i økende grad knyttet opp til kundens nettbankkonto. Hvordan belastningsgiro forholder seg til de nettbaserte betalingstjenestene, er omtalt i avsnitt 5.2.1 nedenfor.

I avsnitt 3.5 gis det en vurdering av reglene som gjelder for de aktuelle giroformene og det eventuelle lovgivningsbehovet.

3.2 Virkemåten

3.2.1 Bankgiro

Bankgiro er basert på bruk av papirblanketter hvor kunden fyller ut den nødvendige betalingsinformasjon og bekrefter oppdraget ved undertegning. Det må her skilles mellom de situasjoner hvor betaleren velger å oppsøke en bankfilial med en ferdig utfylt giroblankett eller velger å sende giroblanketter i forhåndsadresserte konvolutter. Sistnevnte form for betalingsoppdrag kalles for brevgiro. Girotjenestene har vært tilbudt i lang tid, henholdsvis siden 1946 og 1991. Det er kun grunnleggende betalingsfunksjoner som kan utføres ved bruk av slike giroblanketter, blant annet overføring fra konto til konto, kontant innbetaling til konto og fra konto til kontant utbetaling.

Hvorledes betalingsoverføringen gjennomføres, enten kunden benytter seg av girering direkte i en bankfilial eller via posten, er forholdsvis sammenfallende. Dersom kunden skal benytte seg av overføring via bankgiro, leveres oppdraget direkte til en bank. Betaleren kan betale kontant eller velge å belaste sin bankkonto, så framt kunden har konto i den aktuelle banken. Kontant betaling innebærer som oftest et bankgebyr i tillegg til det påførte betalingsbeløpet. Slike gebyrer varierer fra bank til bank. Selve betalingsoppdraget initieres av at kunden signerer blanketten. Banken som tar imot bankgiroblanketten påtar seg oppdraget med å sende denne videre til Bankenes BetalingsSentral AS (BBS). BBS er den tjenesteleverandør som benyttes mest i forhold til betalingsoverføringer på nåværende tidspunkt, og som derfor benyttes som referansepunkt når betalingsoverføringsprosessen beskrives i den videre fremstillingen. Det nevnes at visse banker også har opprettet en tjeneste som heter «Bank i Butikk». Dette er en tjeneste som er knyttet opp til dagligvareforretninger hvor kunden – ved siden av å betale for varer i butikken – kan foreta uttak, innskudd, betale regninger eller heve giro for utbetaling. Det er således mange av de samme banktjenestene som kunden kan få utført i en bankfilial. Fordelen er imidlertid at butikkene som regel holder oppe lenger og flere dager i uken enn bankene.

Dersom kunden skal benytte seg av brevgiro, må kunden først inngå en avtale med sin bank og signere et kontrollkort. Signaturen leses elektronisk inn i BBS-systemet sammen med kundens navn, adresse og kontonummer. BBS sender deretter kunden et likt antall følgesedler og konvolutter. Ved bruk av brevgirotjenesten signerer kunden alle blankettene, noterer antall blanketter i konvolutten på følgeseddelen, signerer følgeseddelen og leverer konvolutten til sin bank eller sender den per post direkte til BBS. Deretter foretar BBS en elektronisk kontroll av signaturen på følgeseddelen mot den registrerte kontrollsignaturen, utfører eventuell dekningskontroll og registrerer giroblankettene på vanlig måte for avregning. Kunden mottar kvittering i form av en kvitteringsliste som viser de enkelte debiterte beløp og mottakers kontonummer.

3.2.2 Ferdigutfylte blanketter

Girooverføringer ved hjelp av ferdigutfylte blanketter, kan som nevnt innledningsvis utføres på forskjellige måter. Her omtales kun de papirbaserte giroer, mens elektronisk tilknyttede giroer er inntatt i avsnitt 5.2.1 nedenfor.

Ved papirbasert giro mottar kunden giroen i posten eller per e-post, såkalt e-postbasert giroblankett. Betaling av giroen kan for det første skje gjennom bank eller ved brevgiro hvor kunden påfører sin signatur og kontonummer. En annen mulighet er imidlertid at kunden foretar overføring via sin nettbank og er behandlet i avsnitt 5.2.1. Kunden må i begge tilfeller taste inn den informasjonen som kreditor har påført fakturaen.

3.2.3 Belastningsgiro

En tjeneste for automatisk betaling av faste regninger ble lansert i 1995. Fra 2000 ble det foretatt et skille mellom privatpersoner og bedriftskunder, slik at AvtaleGiro kun benyttes av privatpersoner og AutoGiro av bedriftskunder. De overordnede prinsippene er imidlertid de samme. Dette er en ordning med direkte debitering som gir kreditor mulighet til å belaste kundens konto ved forfall. Slik belastningsgirosystemet er bygd opp, inngår kunden og kreditor generelle avtaler med sine institusjoner om at betalinger kan skje gjennom denne ordningen. Den konkrete debiteringsordningen mellom partene kommer i stand ved at betaleren, på eget initiativ eller på oppfordring fra mottakeren, gir sin institusjon fullmakt til å etterkomme debiteringskrav fra mottakeren. Dette vil for så vidt bestå i faste beløpsgrenser og gir uttrykk for definerte gjeldsforhold. Institusjonen sender så melding om dette til mottakeren og hans institusjon.

Ved belastningsgiro betales regningene direkte fra kundens konto på forfallsdato uten at kunden må gjøre noe aktivt. Beløpet blir således trukket fra kundens konto til de avtalte periodene uten at kunden nødvendigvis aksepterer dette, sml. motsetningsvis ordningen med eFaktura i avsnitt 5.2.1 nedenfor. Kunden blir imidlertid varslet om trekket (for eksempel ved brev, e-post eller SMS) og beløpets størrelse før betalingen gjennomføres, og har mulighet til å stoppe en betaling. Kunden har slik sett tilnærmet lik kontroll som ved manuell betaling. På den annen side er det hevdet at kunden lettere kan miste oversikten over belastningene på kontoen, se Ot.prp. nr. 41 (1998-1999) side 30. Forskjellen fra eFaktura, er at belastningsgiroer belaster kontoen dersom kunden ikke stopper belastningen i tide. 

3.3 Feil fra kundens side

3.3.1 Risiko

Et viktig risikoforhold som gjelder tap i forbindelse med betalingsoverføringer ved hjelp av giro, er feil fra kunden selv. Banklovkommisjonen har vurdert dette opp mot de forskjellige gireringsformene som er beskrevet i avsnittene foran.

1) De tenkelige tapssituasjoner som kan oppstå som følge av forhold på kundens side ved bruk av bankgiro, er av begrenset omfang. Det er særlig feilskrift som er aktuelt i denne sammenhengen. Dette kan blant annet bero på at kunden påfører feil beløp eller feil kontonummer, men likevel sender oppdraget til behandling. Slike feil kan tenkes å bli oppdaget, enten av kunden selv eller av institusjonen som mottar oppdraget. Banklovkommi­sjonen har særlig undersøkt sikkerhetsrutinene i forhold til institusjonene og deres videre behandling av betalingsoppdraget. Det kan for eksempel tenkes at det eksisterer et system hvor det foretas en kryssjekk mellom påført kontonummer og mottakers navn og adresse. Ifølge BBS eksisterer det imidlertid ikke et slikt system. I flere av bankenes kontoavtaler er dette også eksplisitt kommet til uttrykk, eksempelvis formulert som at beløpet vil bli overført til oppgitt kontonummer, selv om oppgitt kontonummer tilhører en annen enn den mottaker som er oppgitt med navn og adresse på giroblanketten. I de fleste tilfeller hvor det påføres feil kontonummer, er imidlertid dette et ugyldig kontonummer, slik at belastningen ikke utføres. Det er langt vanligere at beløpsfeil fører til utilsiktede belastninger av kundens konto. BBS har opplyst at påføring av feil beløp totalt sett i gjennomsnitt skjer én gang per dag, det vil si ca. 350 enkelttilfeller i året.

Risikoen for at det oppstår tapssituasjoner som følge av kundens egne feil ved bruk av bankgiro, har imidlertid Banklovkommisjonen vurdert som forholdsvis liten. Selve det papirbaserte formatet og forutsetningen om at kunden selv må håndskrive den nødvendige betalingsinformasjon, gir kunden en større anledning til å undersøke at det er påført riktig betalingsinformasjon enn ved for eksempel nettbank. Slik girering forutsetter heller ikke at kunden må forholde seg til andre forhold av systemteknisk art. Det kreves for det første ikke at kunden legitimerer seg med personlige opplysninger som ved nettbaserte betalingsoverføringer for å kunne påskrive betalingsinformasjonen. For det andre kreves det ikke at kunden påfører noen form for engangskode eller lignende for at betalingsoppdraget kan behandles. Totalt sett fremstår denne girotjenesten derfor ikke som et betalingsoverføringssystem som er eksponert for de helt store risikoaspekter.

Bruk av de tradisjonelle giroblankettene er dessuten nedadgående. Allerede i 2002 ble flere giroer betalt via nettbank enn via brevgiro og for så vidt også telegiro. 2 Privatkunder foretok 154 millioner nettbankbetalinger mot 29 millioner betalinger via brevgiro i 2007. Etter det Banklovkommisjonen har fått opplyst fra BBS, har det heller ikke oppstått tapssituasjoner av større betydning for kundene. Det henger blant annet sammen med rutinene for korrigeringer av betalingsoppdrag, enten det gjelder korrigering av beløpsfeil og/eller kredittkonto: I løpet av kort tid (innen 3 dager) etter at BBS er blitt opplyst om at det har forekommet en feil, sendes det brev til banken med informasjon om korrigeringen hvor det samtidig bes om at banken informerer kunden. Deretter sendes det brev til kunden som har fått godskrevet pengene hvor det bes om fullmakt til å trekke ut pengene. Den dagen korrigeringen skal finne sted, kontakter BBS den aktuelle banken for å få utført en dekningskontroll.

Banklovkommisjonen finner grunn til å nevne at feil også kan forekomme i den forstand at kunden betaler en regning to ganger. Det er sett eksempler på at Posten har sendt ut allerede betalte regninger. Slike tilfeller vil imidlertid bli rettet opp av Posten så snart det blir oppdaget, og kan ikke sies å representere et stort faremoment i denne sammenheng.

2) Aktuelle risikoforhold ved bruk av ferdigutfylte blanketter er av begrenset omfang. Når det gjelder de papirbaserte ferdigutfylte giroblankettene, vil det – ved bruk av bank- og brevgiroblanketter – vanskelig tenkes å forekomme feil som er forårsaket av kunden selv. I disse tilfellene kreves det kun en underskrift fra kundens side i tillegg til angivelse av det kontonummer som skal belastes. Dersom det er oppført galt kreditkontonummer, er dette et forhold som kreditor må ta følgene av. Kunden kan ikke i slike tilfeller pålegges ansvar.

3) De risikoelementer som eksisterer ved bruk av belastningsgiro, må anses å være av ubetydelig karakter. Når det gjelder avtaleinngåelsen om en slik ordning, vises det til finansavtalelovens regler. Det kan vanskelig tenkes at det oppstår tap som følge av kundens egne feil: Kundens delaktighet i de enkelte betalinger er mer eller mindre lik null. Så lenge de generelle avtalene er inngått, er kundens eneste valg å stoppe en belastning. Det kreves med andre ord ingen aktiv opptreden fra kundens side. De feiloverføringer som måtte forekomme, må på samme vis som ved de ferdigutfylte blankettene, være forhold som kreditor står ansvarlig for.

3.3.2 Ansvarsregulering

Tap som følge av kundens egne feil ved bruk av giro, vil i første rekke være aktuelt ved betalingsoverføring via bankgiro. I disse tilfellene er det kunden selv som må fylle inn betalingsinformasjonen, og det er i denne prosessen mulig at kunden gjør feil som fører til en utilsiktet betalingsoverføring. For ferdigutfylte giroblanketter er det lite rom for feil fra kundens side. Her er betalingsinformasjonen allerede utfylt, slik at eventuelle feiloverføringer må anses som et forhold som kreditor må bære risikoen for. Den følgende beskrivelse av aktuell ansvarsregulering i situasjoner hvor kunden har gjort en feil, gjelder således først og fremst i forhold til bankgiro. For belastningsgiro er det gitt egne regler. Disse omtales til slutt i dette avsnittet.

1) Dersom det skulle oppstå tap som følge av kundens feilbruk av bankgiro, er utgangspunktet at kunden står fullt ut ansvarlig. Dette følger først og fremst av bankenes kontoavtaler som nevnt i avsnitt 3.3.1 foran. Dette er også slått fast i praksis, og Banklovkommisjonen viser i den anledning eksempelvis til Bankklagenemndas sak BKN-01075. Her la nemnda til grunn at kunden feilaktig hadde gitt banken i oppdrag å overføre to beløp til samme kontonummer, og at kunden derved måtte stå ansvarlig for den omstridte disposisjonen.

Spørsmålet er imidlertid om kunden, etter gjeldende lovbestemmelser, har anledning til å tilbakekalle beløpet dersom vedkommende i ettertid har oppdaget at det enten er påført feil mottaker eller beløp. Denne muligheten er begrenset og er knyttet opp til det tidspunkt en finansinstitusjonen mottar betalingsoppdraget, jf. finansavtaleloven § 28 annet ledd, jf. lovens § 39 annet ledd bokstav a), se avsnitt 2.3.2 og 2.5 foran. I denne sammenheng må det skilles mellom girobelastning i bank og girobelastning ved bruk av brevgirotjenesten.

I førstnevnte tilfelle vil kundens adgang til å tilbakekalle være avskåret fra bankfunksjonæren har mottatt giroen og verifisert denne ved stempel eller lignende. I forhold til brevgiro, er prosessen annerledes idet kunden sender giroblanketten per post til BBS. Det tradisjonelle utgangspunktet er her at kunden kan tilbakekalle betalingsoppdragene, så lenge kunden har kontaktet BBS om dette før BBS har mottatt følgesedlene, sml. avtaleloven § 7. Dette følger også av standardvilkårene i kontoavtalen. Ifølge BBS er imidlertid rutinene i praksis noe annerledes: Dersom kunden oppdager at det er gjort en feil, kan vedkommende ringe inn til BBS’ kundeservice. Her må kunden identifisere seg gjennom noen kontroll- og verifikasjonsspørsmål. Deretter kan kunden forklare hvilke giroblanketter det gjelder. BBS legger deretter inn en sperre på følgeseddelen, men garanterer ikke at det aktuelle betalingsoppdraget likevel vil kunne bli gjennomført. Det kommer an på hvor langt oppdragene er kommet i BBS’ systemer. Slik sett er ikke kunden sikret tilbakekall av utilsiktede betalingsoppdrag etter at vedkommende har postlagt giroblankettene. Det kan stilles spørsmålstegn ved om dette tilfredsstiller de lovmessige kravene til frist for tilbakekalling, jf. avtaleloven §§ 28 og 39. Systemtekniske forhold i avregningen mellom bankene gjør det imidlertid nødvendig å begrense sluttidspunktet for tilbakekall av betalingsoppdrag, jf. også krav fra Norges Bank som konsesjonsmyndighet etter betalingssystemloven om fastsettelse av tidspunkt for når oppdrag skal anses mottatt i avregningen. Det skal her tilføyes at finansavtaleloven § 28 første ledd åpner for avtale om at tilbakekall ikke skal kunne finne sted for bestemte typer betalingsoppdrag. Rutinene rundt avregningssystemene og tilbakekallsmuligheten i forbindelse med nettbanktransaksjoner drøftes i avsnitt 6.2.4 nedenfor.

En annen mulighet er for så vidt at betaleren melder fra til den utilsiktede mottakeren av pengene, jf. for så vidt avtaleloven § 7. Dette er imidlertid ikke en forutsetning for at mottakeren skal fratas retten til de overførte pengene. I henhold til blant annet avtaleloven §§ 32 og 33 vil mottakeren ikke ha krav på pengene så langt denne innså eller burde innsett at det var penger som ikke rettmessig kan disponeres av vedkommende. Bestemmelsene må imidlertid sees i sammenheng med kontoavtalene til bankene, hvor det er fastsatt at oppdrag på basis av giroblanketter vil utføres selv om kontonummer og mottagers navn ikke er korresponderende. Betydningen av bestemmelsen i avtaleloven må således sies å ha begrenset betydning i forhold til bankgiro. Reglene vil uansett ikke kunne avhjelpe den potensielle tapssituasjonen dersom mottakeren likevel bruker pengene og deretter går personlig konkurs, sml. saken med uriktig overføring av 500.000 kroner gjennom nettbank som er kommentert nærmere i avsnitt 5.4.1 nedenfor.

Videre er det ikke inntatt noen bestemmelser om slike utilsiktede betalingsoverføringer i finansavtaleloven. Det er for så vidt inntatt regler om henholdsvis feilaktig godskriving og belastning av en kundes konto, jf. finansavtaleloven §§ 31 og 32, se avsnitt 2.4 foran. Disse reglene vedrører imidlertid feil fra institusjonens side. I Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 141-142, ble det fastslått at bestemmelsene ikke gjelder dersom det er andre enn banken selv eller dennes medhjelpere som har initiert transaksjonen. I slike tilfeller ble det forutsatt at finansavtalelovens bestemmelser i kapittel 2 V skal gjelde. Her er det imidlertid kun gitt bestemmelser om andres misbruk, jf. finansavtaleloven § 34 flg. For andre betalingsinstrumenter enn betalingskort, er det heller ikke inntatt særlige lovbestemmelser som eventuelt skulle gi kunden et begrenset ansvar, sml. betalingskortreglene i lovens § 35.

2) Selv om risikoen for at kunden gjør feil ved bruk av belastningsgiro er av ubetydelig karakter, er det likevel inntatt regler om slike belastningsfullmakter i finansavtaleloven § 26. Dette vedrører både avtaleinngåelsen og de enkelte belastningene. Begrunnelsen for dette var likevel ikke knyttet til tap som følge av kundens egne feil eller tredjemanns misbruk. Banklovkommisjonen anså på generelt grunnlag flere faremomenter tilknyttet slike belastninger, det ble derfor foreslått visse regler for at slike belastninger skulle skje i mer betryggende former. Det vises for øvrig til avsnitt 2.3.3 foran.

3.3.3 Vurdering

Etter Banklovkommisjonens oppfatning er risikoen for at det oppstår tap som følge av feilbruk av ferdig­utfylte giroblanketter og belastningsgiro, av forholdsvis begrenset karakter. Dette forholdet gjør seg dess mer gjeldende når risikoelementene sees i sammenheng med den gjeldende ansvarsregulering. Som redegjørelsen i avsnittet foran viser, kan det vanskelig tenkes at kunden vil bli holdt ansvarlig dersom det oppstår tap som følge av feilaktige betalingsoverføringer. De eksisterende reglene på området, anser derfor Banklovkommisjonen som tilfredsstillende og nødvendiggjør ikke en ytterligere regulering av slike betalingstjenester.

Når det gjelder bankgiro basert på kundeutfylte blanketter, er det imidlertid flere risikoforhold som gjør seg gjeldende og potensiell feilbruk med påfølgende tap er derfor mer fremtredende. Det rettslige utgangspunktet for tap som oppstår som følge av kundens egne feil, er dessuten at kunden holdes ansvarlig. Dette innebærer at feilskrift og utilsiktede betalingsoverføringer som hovedregel ikke kan kreves rettet eller dekket av institusjonen. Slik sett vil kunden stå fullt ansvarlig for de tap som måtte oppstå som følge av feilskrift på giroblankettene. Spørsmålet er om dette er en rimelig løsning, eller om det, i tråd med forutsetningene i mandatet, bør foreslås en rettslig regulering som kan lempe på slike potensielle tapssituasjoner. Dette redegjøres det for nærmere i avsnitt 3.5 nedenfor.

3.4 Andres misbruk

3.4.1 Risiko

I tillegg til risikoen for at kunden utfører en utilsiktet betalingsoverføring ved bruk av de ulike girotjenestene beskrevet i avsnitt 3.2 foran, har Banklovkommisjonen funnet grunn til å omtale risikoen for at tredjemann misbruker disse tjenestene. Som ved risikobeskrivelsen i forhold til kundens egne feil, er det også her skilt mellom bankgiro, ferdigutfylte giroblanketter og belastningsgiro.

1) De aktuelle misbrukstilfellene i forhold til bruk av bankgiro vil typisk bestå i at signaturen er falsk. Risikoen for at slik forfalskning medfører et tap for kunden forutsetter at bankens systemer ikke fanger opp dette ved hjelp av sine sikkerhetsrutiner. Her må det skilles mellom sikkerhetsrutiner knyttet til tradisjonell bruk av bankgiro, hvor kunden oppsøker en bankfilial, og sikkerhetsforordninger knyttet til bruk av brevgirotjenesten, hvor kunden sender bankgiroen(e) per post direkte til BBS for belastning.

Ved bruk av bankgiro vil misbruket kunne oppstå ved at en person oppgir falsk legitimasjon og påtegner falsk underskrift uten at bankfunksjonæren oppdager dette og iverksetter urettmessig uttak eller belastning. Banklovkommisjonen antar at potensielle tapssituasjoner for slikt misbruk likevel er noe begrenset. Det kreves et forholdsvis vel gjennomført svindelopplegg hvor tredjemann enten forsøker å utgi seg for å være kunden eller har tilegnet seg tilstrekkelige opplysninger til å produsere et falskt legitimasjonsbevis. Risikoen for slike svindelopplegg må videre sees i sammenheng med bankenes rutiner ved girobelastning i skrankene. Banklovkommisjonen har mottatt informasjon fra en rekke banker angående de sikkerhets- og legitimasjonsrutiner som følges ved slike betalingsoverføringer. Dersom vedkommende i skranken kjenner vedkommende som innleverer oppdraget, er som oftest rutinen at det ikke kreves legitimasjonsbevis. En faktor som beløpets størrelse vil imidlertid kunne spille inn, også i forhold til kjente kunder. Hvis kunden ikke er kjent, kreves det vanligvis legitimasjon. Praksis fra bankene viser imidlertid at dette ikke alltid er tilfelle. Banklovkommisjonen er også usikker på sikkerhetsrutinene tilknyttet banktjenesten «Bank i Butikk» som er kort beskrevet i avsnitt 3.2.1 foran. Dette er en forholdsvis ny tjeneste og det er på nåværende tidspunkt vanskelig å si noe om rutiner og praksis i forbindelse med innlevering av betalingsoppdrag til dagligvareforretninger mv.

Krav om legitimasjonskontroll vil uansett ikke alltid være til hjelp dersom det dreier seg om falske legitimasjonspapirer som den bankansatte ikke oppdager. Det finnes flere eksempler på identitetstyverier som medfører produksjon av falske legitimasjonsdokumenter, men Banklovkommisjonen antar at slike svindeltiltak har minsket i takt med den økte bruken av betalingskort og nettbasert betalingsoverføring hvor tilgang kun er betinget av brukerlegitimasjon ved hjelp av kode og annet sikkerhetsverktøy.

Ved bruk av brevgirotjenesten kan det være tilstrekkelig at tredjemann får tak i kundens følgesedler og påfører falsk underskrift. Dersom ikke systemene fanger opp dette ved sin signatur- og kontokontroll (det vil si at signaturen og kontonummeret korresponderer), vil betalingen kunne gjennomføres.

Ifølge BBS er det flere typetilfeller av slikt misbruk. Det er særlig misbruk fra et av medlemmene i kundens husstand eller familie som utpeker seg. 3 Selv om gjerningspersonen er kjent for kunden, er det imidlertid flere forhold som medfører at kunden som oftest ikke får tilbakeført pengene. For det første krever BBS at slik forfalskning politianmeldes av kunden, jf. også avsnitt 3.4.2 nedenfor. I de fleste tilfeller ønsker imidlertid ikke kunden å forfølge saken, ettersom det dreier seg om nærstående personer, og tar tapet selv. For det andre vil det i slike saker være flere kompliserte faktaforhold knyttet til for eksempel fullmaktsforhold, som gjør at saken i første omgang blir avvist av Bankklagenemnda. Så framt det ikke dreier seg om de helt store beløpene, er det uvanlig at kunden velger å ta saken videre til domstolene. Her vil omkostningene ofte kunne bli store, og en forfølgelse av saken vil slik sett kunne koste mer enn hva de(n) urettmessige belastningen(e) har beløpt seg til. Statistikk fra domstolene viser også at slike saker sjelden blir fremmet.

Forfalskning av selve følgesedlene kan også forekomme, men BBS er forsikret mot slik svindel og risikoen for at kunden påføres et tap i slike situasjoner er derfor liten.

Misbruk kan også forekomme ved at tredjemann bryter seg inn i kundens bolig og tilegner seg brevgiroblankettene for deretter å påføre falsk underskrift. BBS har også informert om at innbrudd i Postens egne postkasser, enten ved å bryte opp postkassen eller «lirke» ut brev med følgeseddel og giroblanketter, er et ikke uvanlig fenomen som har medført at det er foretatt urettmessige belastninger ved hjelp av brevgiroblanketter. Ettersom det normalt kun stilles krav om at kunden noterer ned antallet giroblanketter på følgeseddelen som skal belastes og signerer, er det her mulig å bytte ut kundens giroblankett med en annen. Av hensyn til brukervennlighet av tjenesten er det ikke stilt krav om at det på følgeseddelen noteres hvilke fakturaer det gjelder, noe som kunne forhindret slikt misbruk.

2) Tredjemanns misbruk knyttet til bruk av ferdigutfylte giroblanketter, må anses å utgjøre en begrenset risikofaktor for at det oppstår tap på kundens hånd. Det er etter Banklovkommisjonen oppfatning likevel hensiktsmessig å gi en kort fremstilling av risikoforhold og ansvarsregulering som knytter seg til dette temaet.

Ferdigutfylte giroblanketter utstedes som oftest av etablerte foretak eller institusjoner. Sannsynligheten for at tredjemenn klarer å produsere slike fakturaer og at kunden iverksetter en betaling – til et fiktivt selskap – må anses som svært liten. Slike giroblanketter vil jo være knyttet opp mot et gjeldsforhold mellom kunden og kreditor, som kunden til dels må antas å ha grei oversikt over. Fakturaen vil i alle tilfelle være uberettiget. Det kan likevel tenkes tilfeller hvor tredjemann urettmessig får tilgang til et foretaks regnskapssystem og endrer betalingsinformasjonen. I slike situasjoner er det uansett klart at kunden ikke kan holdes ansvarlig, og at dette er et misbruksforhold som påhviler kreditor.

Tredjemenn kan imidlertid utferdige falske ferdigutfylte giroblanketter som for eksempel angivelig skal gå til «en god sak» eller er del av en fiktiv innsamlingsaksjon. Slikt svindelforsøk har skjedd i praksis, men blir som oftest raskt oppdaget og formidlet videre til kundene. Tapspotensialet må derfor også her anses som begrenset.

3) Ettersom belastningsgiro er betinget at av kunden inngår en avtale med kreditor med de respektive institusjoner som mellomledd, jf. avsnitt 3.2.3 foran, kan det vanskelig tenkes å oppstå misbrukstilfeller. Det er flere forhold som må være klarlagt før avtale om belastningsfullmakt er gyldig, og det må antas at kunden i denne prosessen blir skjermet mot eventuelle misbruksforsøk fra tredjemenn, for eksempel ved at det er en fiktiv kreditor.

3.4.2 Ansvarsregulering

1) Tap som følge av andres misbruk knyttet til bruk av bankgiro, kan som redegjørelsen i avsnittet foran viser, oppstå i flere tilfeller. Hovedregelen etter finansavtaleloven § 34 er at kunden ikke står ansvarlig for andres misbruk av sin konto. Dette må også sees i sammenheng med avtalerettslige regler, se særlig avtaleloven §§ 33 og 36. Falsk underskrift vil eksempelvis klart falle under avtalerettslige prinsipper om ugyldige viljeserklæringer. Kunden vil imidlertid kunne bli erstatningsansvarlig dersom han eller hun ved uaktsom opptreden har medvirket til misbruket. Det stilles etter finansavtaleloven krav om grov uaktsomhet eller forsett. Lavere grad av uaktsomhet fører således ikke til ansvar for kunden. Det vises til avsnitt 2.6.2 foran. Det nevnes ellers at institusjonen har ansvar for å rette opp feilbelastninger som er utført av institusjonen selv, jf. finansavtaleloven § 32 og avsnitt 2.4 foran.

Det skilles også her mellom bankgiro belastet direkte i bankfilial og bankgiro som sendes per post til BBS (brevgiro). For bankgiro som innleveres og belastes i bankfilial, er det som redegjørelsen foran avsnitt 3.4.1 viser, rimelig å anta at misbrukstilfellene er av begrenset omfang. Dersom tredjemann klarer å tilegne seg kundens legitimasjonskort og/eller opplysninger som gjør at et falskt legitimasjonsbevis kan produseres, er regelen uansett klar: Kunden er ikke erstatningsansvarlig, jf. finansavtaleloven § 34. Det kan videre vanskelig tenkes at kunden i slike tilfeller skal anses å ha opptrådt grovt uaktsomt. Det vil som oftest dreie seg om innbrudd i kundens bolig eller postkasse som ikke kunden kan lastes for. Det må imidlertid tas forbehold for de tilfeller hvor kunden ikke setter frem krav om tilbakeføring uten ugrunnet opphold etter at kunden ble, eller burde ha blitt, kjent med forholdet, jf. finansavtaleloven § 37 første ledd første punktum, se også avsnitt 2.6.5 foran.

For bankgiro som innleveres gjennom brevgirotjenesten, vil det samme gjelde dersom det dreier seg om innbrudd i bolig eller postkasse og urettmessig bruk av stjålne brevgiroblanketter. BBS har tegnet forsikring mot slikt misbruk og kunden holdes i disse tilfeller derfor skadesløs, så framt saken politianmeldes av kunden selv. Hvor det dreier seg om urettmessig belastning som er forårsaket av noen i kundens husstand eller lignende, er utgangspunktet også det samme. Som vist i avsnitt 3.4.1 foran, er imidlertid tapsrisikoen her større, ettersom de fleste kvier seg for å politianmelde noen som er nærstående. Det kan videre oppstå tilfeller hvor faktum er uklart med henhold til for eksempel avgitte fullmakter som kunden hevder ikke å stå inne for.

2) Som vist foran avsnitt 3.4.1 har Banklovkommisjonen ansett potensielle tapsforhold ved misbruk i forbindelse med bruk av ferdigutfylt giroblankett og belastningsfullmakt som forholdsvis begrenset. Dette er særlig begrunnet i selve prosesseringsmåten av slike giroer og at tredjemann må få tilgang til systemer som er sikret i større og mer profesjonell grad enn systemet for belastning av vanlig bankgiroer. Banklovkommisjonen har derfor ikke funnet grunn til å gå nærmere inn på ansvarsspørsmålet for disse formene for girobelastninger, ettersom kunden som oftest ikke vil lide et økonomisk tap.

3.4.3 Vurdering

Etter gjeldende lovgivning er kunden bare erstatningsansvarlig for oppståtte tap som følge av misbruk av betalingstjenesten dersom gjerningspersonen har legitimert seg i samsvar med kontoavtalen og kunden har muliggjort dette ved grov uaktsom eller forsettlig handlemåte, jf. finansavtaleloven § 34 første ledd, se også avsnitt 2.6.2. Visse begrensninger følger også av annet og tredje ledd. Spørsmålet er imidlertid om denne reguleringen er tilfredsstillende eller om det bør vurderes å innføre nærmere regler som for eksempel en tapsbegrensning ved oppstått tap på kundens hånd, jf. betalingskortreglene i finansavtaleloven § 35. Dette er drøftet i avsnitt 3.5 nedenfor.

3.5 Lovgivningsbehovet

Foran er det redegjort for betalingsoverføringer ved hjelp av ulike girotjenester. Dette omfatter bankgiro, ferdigutfylte giroblanketter og belastningsgiro som AutoGiro og AvtaleGiro. For hver av giroformene er det for det første gitt en beskrivelse av tjenestenes virkemåte. For det andre er det redegjort for aktuelle risikoforhold som er tilknyttet betalingsoverføring ved bruk av slike giroformer. For det tredje er det gitt en oversikt over gjeldende ansvarsregulering ved oppståtte tapssituasjoner, enten som følge av feilbruk eller misbruk. Som Banklovkommisjonens gjennomgang og vurdering av ferdigutfylte blanketter og AvtaleGiro viser, kan det ikke sies å være et særlig behov for noen nærmere regulering av disse gireringsformene. Det vises her til avsnitt 3.3.3 og 3.4.2 punkt 2) foran. I det følgende tas det dermed utgangspunkt i giro som leveres direkte i bank (bankgiro) og giro som sendes per post (brevgiro) hvor kunden selv må påføre den nødvendige betalingsinformasjon.

4.5.1 Kundens egne feil

1) Når det gjelder økonomisk tap som har oppstått ved bruk av bankgiro som følge av kundens egne feil, er det flere momenter som tilsier at det er kunden som bør stå ansvarlig. Det er først og fremst feilskrift som kan forårsake feiloverføringer i slike tilfeller. I den forbindelse er det visse forhold som må vektlegges og som for så vidt også gjelder for brevgiro. Dette gjelder for det første det faktum at kunden må håndskrive nødvendig betalingsinformasjon. Dette må antas å innebære at kunden opplever en større kontroll med hva som nedskrives og undersøker dette på en mer omstendelig måte. For det andre må ikke kunden forholde seg til andre faktorer av systemteknisk art, slik som passord, engangskoder, annen brukerlegitimasjon og sikkerhetsverktøy. For det tredje er bruk av de tradisjonelle giroblankettene avtagende. Opplysninger fra BBS viser også at slike tapssituasjoner er av begrenset omfang.

Ved bruk av bankgiro må kunden dessuten vise legitimasjon og påføre sin underskrift for at oppdraget skal kunne sendes til belastning. Dette forholdet må også antas å medføre at kunden blir mer varsom og oppmerksom på betalingsinformasjonen. Selve hendelsesforløpet ved denne giroformen, det vil si å oppsøke en bankfilial, sette seg ned hos en bankfunksjonær og vise legitimasjon og underskrive på betalingsoppdraget, bygger opp om dette.

2) Ved bruk av brevgirotjenesten må kunden også selv påføre nødvendig betalingsinformasjon og underskrift. Giroblankettene kan deretter sendes inn til BBS for belastning. Tidsaspektet, det vil si fra kunden nedtegner nødvendig betalingsinformasjon og sender blankettene per post, er et viktig forhold av betydning her. Kunden må antas å få flere anledninger til å dobbeltsjekke at riktig betalingsinformasjon er påtegnet.

Reglene om tilbakekall, jf. avsnitt 2.5 foran, kan heller ikke sies å være utilstrekkelig for bank- og brevgiro. For brevgiro er tilbakekallsmuligheten i visse tilfeller noe begrenset, men dette må anses som en konsekvens av dette systemet, jf. avsnitt 3.3.2 foran. Banklovkommisjonen kan heller ikke se at reglene om avtaleinngåelse, oversikt over konto mv. i finansavtaleloven, kan anses utilstrekkelig eller mangelfulle i forhold til tap som er oppstått som følge av kundens egne feil. Etter Banklovkommisjonens oppfatning taler disse forhold for at tap som følge av feiloverføringer ved bruk av bank- eller brevgiro bør påhvile den enkelt kunde. Som nevnt i avsnitt 3.3.3 har Banklovkommisjonen videre vurdert de potensielle tapssituasjonene ved bruk av ferdigutfylte blanketter og belastningsgiro som svært liten. Banklovkommisjonen har derfor lagt til grunn at det heller ikke for disse giroformene er nødvendig med en nærmere lovregulering.

3.5.2 Andres misbruk

1) For giro som innleveres i en bankfilial, vil misbrukssituasjonene som oftest være av en slik karakter at det vanskelig kan tenkes at kunden har opptrådt grovt uaktsomt. Det krever enten tilegnelse av kundens legitimasjonskort eller tilstrekkelig informasjon til å lage et falskt legitimasjonskort, samt påtegning av falsk underskrift. Risikoen for tapssituasjoner i slike tilfeller må derfor for det første anses som forholdsvis begrenset. For det andre vil gjeldende ansvarsregulering i finansavtaleloven § 34 i de fleste tilfeller medføre at kunden holdes skadesløs. Her må det for så vidt tas forbehold for de tilfeller hvor kunden svikaktig har medvirket til den urettmessige belastningen, jf. finansavtaleloven § 34 fjerde ledd. Slike tilfeller er for så vidt sjeldne. Ifølge statistikk fra BBS har det kun forekommet tre oppdagete svindelhendelser siden 2003.

2) For brevgirotjenesten er det skilt mellom de tilfeller hvor misbruk skjer av utenforstående eller av medlemmer i kundens husstand. I de førstnevnte tilfellene kan det vanskelig tenkes typetilfeller hvor kunden kan sies å ha opptrådt grovt uaktsomt. Det kan nok forekomme tilfeller hvor kunden ikke har oppbevart følgesedlene på en sikkerhetsmessig måte. Dette har imidlertid liten betydning så lenge betalingsoverføringene er forutsatt av at kunden undertegner følgesedlene. Dersom det først er påtegnet falsk underskrift, kan det ikke sies at kunden har opptrådt grovt uaktsomt. Også her må det imidlertid tas forbehold for de tilfeller hvor kunden forsettlig har medvirket til den urettmessige belastningen, jf. finansavtaleloven § 34 fjerde ledd.

I de tilfeller hvor noen av kundens nærstående har fått tak i følgesedlene og påført falsk underskrift, kan det også vanskelig sies å foreligge grov uaktsomhet. Dette må antas å gjelde selv om risikoen for at slikt misbruk kan forekomme er større enn vanlig. Banklovkommisjonen finner i denne forbindelse grunn til å vise til Bankklagenemndas sak BKN-97050. Her hadde en fostersønn til kunden urettmessig belastet kundens konto ved hjelp av falske fullmakter. I vurderingen av om kunden hadde opptrådt grovt uaktsomt, ble det ikke lagt vekt på at kunden burde varslet om fostersønnens tidligere tyveri fra hennes safe og misbruk med kort i en annen bank. For å unngå at tapet blir liggende på institusjonens hånd, har BBS imidlertid opplyst om at alle forhold politianmeldes uavhengig av tredjemanns tilknytning til kunden. Som nevnt i avsnitt 3.4.1 foran, vil kunden i de fleste tilfeller velge å ikke forfølge saken, slik at tapet til syvende sist vil kunne bli liggende hos kunden. Dette forholdet gir, etter Banklovkommisjonens mening, imidlertid ikke et tilstrekkelig grunnlag til å foreslå en nærmere ansvarsregulering med sikte på å begrense slike potensielle tapssituasjoner.

De nåværende reglene i finansavtaleloven etterlater, etter Banklovkommisjonens oppfatning, heller ikke her et behov for en nærmere regulering. I denne sammenheng nevnes at finansavtalelovens regler om oversikt over konto, jf. avsnitt 2.3.1, gir kunden en grei kontroll over sine betalingsoverføringer. Banklovkommisjonen nevner videre at reglene om misbruk i lovens § 34 også ble vurdert og foreslått på et tidspunkt hvor bankgiro mv. var en av de viktigste formene for betalingsoverføring, slik at risikospørsmål og egnet regulering for slik overføring må anses som forholdsvis bra tilpasset for disse. Banklovkommisjonen har slik sett vurdert reglene for de ulike girotjenestene som tilfredsstillende, og ser heller ikke her et behov for en nærmere lovregulering på dette området.

I det følgende er således betalingsoverføringer ved bruk av giro utelatt, og Banklovkommisjonen har ikke funnet grunn til å foreslå ytterligere regulering av slike betalingstjenester. Banklovkommisjonen finner imidlertid grunn til å nevne at girobetalinger som gjøres over et nettbasert system, drøftes nærmere i kapittel 5 nedenfor. Dette gjelder vanlige overføringer til privatpersoner, overføring ved hjelp av ferdigutfylte blanketter, ofte i form av eFaktura, og belastningsfullmakter. Når det gjelder de to sistnevnte formene for overføring nevner Banklovkommisjonen allerede her at risikobildet for slike belastningsformer i stor grad er samsvarende med det som er redegjort for i dette kapitlet.

4 Betalingsoverføring ved bruk av debet- og kredittkort

4.1 Innledning

Betalingsoverføringer knyttet til kontantuttak og handel (kjøp av varer og tjenester), gjennomføres på nåværende tidspunkt i stor grad ved bruk av betalingskort, både kreditt- og debetkort. Ifølge tall fra Norges Bank, var det ved utgangen av 2007 utstedet ca. 9,3 millioner betalingskort i Norge. 4 3 millioner av disse er rene kredittkort. 4,8 millioner er såkalte kombinerte kort som inneholder både en debet- og kredittkorttjeneste. 5 Hver innbygger i Norge betalte gjennomsnittlig 207 ganger med kort i 2007. 6 Dette innebærer et totalt transaksjonsvolum for bruk av betalingskort på ca. 967 millioner. 7 Det er 13 prosent mer enn i 2006, og innbyggerne bruker betalingskort ved en større del av handlene enn tidligere. Kortbaserte betalingstjenester er en uensartet gruppe tjenester som i utgangspunktet ikke har mer til felles enn at man gjør bruk av et plastkort. Kortene benyttes både til elektroniske og papirbaserte systemer. For de førstnevnte elektroniske systemene gjennomføres belastningen som oftest ved inntasting av PIN-kode, mens for de papirbaserte systemene forutsetter belastningen at kunden undertegner manuelt. Plastkortet fungerer som en «nøkkel» til et bredt spekter av betalings- og kredittjenester.

Ser man på oppgjørsformen mellom kunden eller korthaver og kortselskap (utsteder), kan man dele betalingskortene inn i forskjellige hovedgrupper. For det første kan kunden benytte seg av debetkort . Disse kortene er knyttet til en innskuddskonto, og representerer en av de vanligste formene for betalingskort undertiden. Kortet benyttes her til å disponere over det som til enhver tid er disponibelt på kontoen. Eksempler på debetkort i Norge er først og fremst bankenes betalingskort. Banker i Norge har et samordnet kortsystem. Dette innebærer at alle kort som er utstedt av bank og som omfattes av det felles regelverk, kan benyttes i alle betalingsterminaler og/eller minibanker som inngår i samordningen. Dette kortsystemet kalles for «BankAxept». Per 2005 fantes det om lag 100 000 rene BankAxept-kort. 8 I tillegg kan kunden benytte seg av VISA-kort, som i utgangspunktet er et internasjonalt debetkortsystem. Det er imidlertid opp til utsteder av disse kortene, det vil si de fleste norske bankinstitusjoner, om det også skal være mulig å benytte det som et kredittkort, jf. avsnittet foran. Norske banker utsteder ofte betalingskort som kombinerer funksjonene til BankAxept og VISA. Den internasjonale tilknytningen, medfører at kunden med slike kort kan foreta betalinger og uttak også i utlandet.

For det andre er det mulig å benytte seg av kredittkort . Disse kortene inndeles vanligvis i to kategorier. Ved den ene typen kredittkort får kortholderen innvilget en kontokreditt i henhold til en kontokredittavtale som det trekkes på. 9 Kreditten vil være begrenset til et beløp som er avtalt på forhånd, og utnyttet kreditt nedbetales avdragsvis etter en avtalt betalingsplan. Vanlige bankkort kan være tilknyttet slike kontokredittordninger, slik at kortet knyttes til en konto i banken som utsteder kortet. Det eksisterer imidlertid også særskilte kontokredittkort. Eksempler på sistnevnte kredittkort er blant annet VISA, Mastercard, Crescokort, Norwegian-kortet, Kash® Visa-kort, Re:member-kort og Centum Finans-kort. Den andre varianten av kredittkort er faktureringskort . Kunden benytter i disse tilfeller kortet ved kjøp av varer og tjenester og utestående mellom kunde, kortselskap og salgssted gjøres opp i etterhånd. Kontohaveren får med jevne mellomrom (30-40 dager) en samlefaktura over kjøp foretatt på kortet og kunden benytter betalingstjenester som for eksempel brevgiro eller nettbank, for å gjøre opp sitt utestående med kortselskapet. I andre tilfeller gjør kontohaveren opp sin gjeld til kortselskapet gjennom avtale om direkte belastning av kontohavers konto i bank. Ved bruk av faktureringskort får kontohaveren en betalingsutsettelse (kreditt). Eksempler på faktureringskort er American Express og Diners Club, selv om disse også ofte benyttes som vanlige kontokredittkort.

For det tredje kan kunden benytte seg av såkalte forhåndsbetalte kort . Her er kjøpekraften lagret i selve kortet og er ikke knyttet til en bakenforliggende konto. Kjøpekraften er nominert i penger, og klippes ned etter hvert som kortet brukes. En skiller her mellom åpne og lukkede systemer. I et lukket system vil en vanligvis bare ha én tilbyder for varer og tjenester, for eksempel kantinekort i større bedrifter eller lignende. I et åpent system vil en ha flere tilbydere, for eksempel ulike transportselskaper osv. En kan også skille mellom ladbare og ikke ladbare kort. En kan tenke seg at ladbare kort kan «etterfylles» med kjøpekraft for eksempel fra en konto. Smartkort er et eksempel på et slikt forhåndsbetalt kort, som for så vidt kan benyttes som ID-kort, adgangskort, gavekort mv. I tillegg til dette kan smartkort også benyttes som vanlige debet- og kredittkort.

Sammenliknet med andre land blir en stor del av korttransaksjonene i Norge utført med debetkort. Det nasjonale debetkortsystemet BankAxept dominerer. Internasjonale betalingskortsystem som VISA og MasterCard har tatt en økende del av markedet de siste årene. Det er ellers fortsatt et stort avvik i bruken mellom debetkort og kredittkort. 10 I det følgende tas det utgangspunkt i disse debet- og kredittkortene.

4.2 Virkemåten

4.2.1 Generelt

Både debet- og kredittkort har tradisjonelt sett hatt to informasjonselementer som har bestått av informasjon på det fysiske kortet og informasjon i magnetstripen. Innholdet av informasjonen i magnetstripen bygger på internasjonale standarder og skal sørge for sikker gjennomføring av betalingstransaksjoner. De norske bankene utsteder for øvrig nå betalingskort med såkalt smartkort- eller EMV-standard. EMV er en teknisk standard for gjennomføring av betalingstransaksjoner i betalingsterminal og minibank, og regulerer kommunikasjonen mellom kortet og terminal, samt de bakenforliggende avregningssystemer. Slike smartkort er utstyrt med en liten databrikke eller chip. Kortene kalles derfor ofte chipkort. Innføringen av slike kort i det norske betalingskortmarkedet er først og fremst begrunnet i ønske om bedre sikkerhet rundt korttransaksjonene. Den økte sikkerheten gjenspeiles særlig i muligheten for PIN- og autorisasjonskontroll også i såkalte «offline»-situasjoner og at det kan legges inn flere individuelle parametre, for eksempel beløpsgrenser. Selv om EMV-standarden innføres på alle betalingskort, herunder debetkortene, vil BankAxept fortsatt fungere parallelt. Med tiden vil imidlertid all informasjon fra magnetstripene bli lagt over på chip, herunder BankAxept-systemet. Kort med chip har naturligvis mye å si i forhold til risikoen for misbruk av betalingskortene, se også avsnitt 4.5 nedenfor.

Flere betalingskort fungerer både som et debet- og kredittkort, slik at kunden fra gang til gang kan velge hvordan belastningen skal gjøres. Dette beskrives nærmere i avsnitt 4.2.2 nedenfor. Det er heller ikke de store forskjellene mellom hvilke steder de forskjellige korttypene kan brukes. Selve belastningsprosessen er imidlertid annerledes og Banklovkommisjonen har derfor funnet det hensiktsmessig å dele opp den følgende fremstillingen av betalingskortenes virkemåte etter bruk av debetkort, jf. avsnitt 4.2.2, og bruk av kredittkort, jf. avsnitt 4.2.3. Den ulike belastnings- og avregningsprosessen vil særlig ha betydning i forhold til risikoen for feilbruk av betalingskortet. I redegjørelsen av risikoen for kundens egne feil er derfor skillet mellom debet- og kredittkort beholdt, se henholdsvis avsnitt 4.3.1 og 4.3.2.

4.2.2 Debetkort

Som nevnt i avsnitt 4.1 foran, er debetkortene knyttet til kundens innskuddskonto. Det vil si at kortene bare kan benyttes som betalingsinstrument så lenge kunden har midler på kontoen. Debetkortene er de vanligste formene for betalingskort i Norge. Det norske kortsystemet er bygget opp som et «online»-system hvor tilhørende kort er merket med «BankAxept»-logoen. Dette innebærer at det i utgangspunktet kun godtas «online»-transaksjoner med PIN-verifikasjon. Belastningen blir da umiddelbart reservert på kundens konto. Det nevnes at slikt oppgjør også gjelder for VISA Electron. I visse tilfeller blir det imidlertid iverksatt reserveløsninger og det er særlig aktuelt ved bruk av salgsterminaler som er beskrevet i avsnittet nedenfor.

Med visse debetkort er det imidlertid også lagt til rette for «offline»-transaksjoner. Slike kort er således tilrettelagt for både en debet- og en kredittfunksjon. Dette er ikke uvanlig for kort utstedt av norske banker. Disse debetkortene er som oftest utstyrt med logo fra VISA eller MasterCard. Det vil imidlertid foregå en elektronisk kommunikasjon mellom salgsterminalen og en driftssentral som er knyttet opp mot kundens bank. Dette er først og fremst en sikkerhet i forhold til kortets kreditt og gyldighet. Det kan således anses som en «online»-autorisasjon med kreditt. Ved selve gjennomføringen av kjøpet, må kunden signere på en kvittering som tjenesteyteren beholder. Selve transaksjonen blir ikke reflektert på kundens konto før opptil flere dager senere. I deler av utelivsbransjen og taxinæringen er dette en vanlig form for oppgjørsmåte. Det kan være begrunnet i at det er mer kostbart med en salgsterminal som støtter BankAxept, men også fordi næringens regnskapssystemer er tilrettelagt for kredittransaksjoner.

Debetkortene har mange bruksområder. For det første kan det benyttes i minibank hvor kunden kan ta ut kontanter. Kunden må da innsette betalingskortet i automaten, taste en firesifret PIN-kode, velge uttaksbeløp og bekrefte utbetalingen. For uttak i minibank med debetkort blir beløpet umiddelbart reservert på kortholders konto. Selve transaksjonen til belastning av kortholder bli generert senere. Denne går via en avregningssentral som sørger for at den automateiende banken blir kreditert det beløp som er tatt ut fra kortholders bank. Gebyrene varierer alt etter hva slags kort og minibank kunden benytter seg av. Banklovkommisjonen finner ikke grunn til å gå nærmere inn på dette. Flere banker har også innført gebyrfrie uttak i utenlandske minibanker. Enkelte minibanker kan også tilby andre tjenester. Dette er for øvrig ikke samordnede tjenester slik at de ikke nødvendigvis er åpne for kortholdere i andre banker enn automatens eier.

For det andre kan debetkort brukes i forretninger eller lignende som har salgsstedsterminaler , såkalt Electronic Funds Transfer at Point of Sale (EFTPOS). Dette kan henspeile seg både på terminaler som står fast og er direkte koblet opp mot et nettverk og såkalte mobile terminaler som kommuniserer via GPRS-nettverket. Betalingsterminaler på brukersteder er knyttet opp mot en driftssentral. Driftsentralen har avtale med brukerstedets bankforbindelse (transaksjonsbank) om å autorisere og samle inn transaksjoner. Dette er på nåværende tidspunkt et utbredt fenomen. Slik kortbetaling innebærer at kunden gjør opp for seg på salgsstedet, enten det dreier seg om kjøp av varer eller tjenester. EFTPOS varekjøp fører til at beløpet umiddelbart reserveres på kortholders konto. Selve transaksjonen til belastning av kortholder blir generert senere, på samme vis som ved uttak i minibank. Denne går via en avregningssentral som sørger for at det blir generert kredittransaksjoner til brukerstedet.

Som vist foran, er det norske debetkortsystemet i utgangspunktet et system hvor det er «online» kontakt mellom kortet og driftsentralen. Det er imidlertid ikke uvanlig at det ikke oppnås kontakt mellom terminal på brukersted og bank eller datasentral som mottar transaksjoner. Dette gjelder særlig for de mobile salgsterminalene. Da iverksettes en reserveløsning. I reserveløsningen må kortholder legitimere seg og signere en kvittering der deler av kontonummeret og transaksjonsbeløp er fylt ut. Brukerstedet er forpliktet til å sjekke kortholders legitimasjon. Transaksjonsbanken skal besørge at transaksjoner dannet på grunnlag av reserveløsningen, blir overført til kontobank. Reserveløsning kan for så vidt ikke benyttes for beløp over 1.500 kroner ved elektronisk reserveløsning og er kun gyldig inntil seks timer. Dette følger av BankAxept-reglene som brukerstedet må akseptere for å kunne benytte seg av terminalen. Det er således ikke tenkt som en langvarig beredskapsløsning eller som en kredittfunksjon for kortholderen. For høyere beløp enn 1.500 kroner må brukerstedet ringe inn til BBS for en såkalt dekningskontroll og motta en autorisasjonskode som skal brukes for slike belastninger. Kundens medvirkning er for så vidt ikke avvikende i slike tilfeller, det vil si at det kun kreves legitimering og påtegning av underskrift på den utskrevne kvitteringen. Kvitteringen må sendes til BBS for manuell belastning av kortholders konto.

Ved bruk av salgsstedsterminaler må kortholder i visse situasjoner inntaste eller nedskrive totalbeløpet selv, typisk i forbindelse med et restaurant- eller baropphold. For slike transaksjoner er det mer og mer vanlig at kortholder inntaster PIN-kode, det vil si at debetkort med «BankAxept»-logoen kan benyttes. Manuell nedskrivning av totalbeløp kan også forekomme ved visse debetkort. Som vist foran krever dette imidlertid at debetkortet er utstyrt med VISA- eller MasterCard-logo.

I de fleste forretninger eller lignende med betalingsterminal, særlig dagligvareforretningene, er det også lagt til rette for kontantforsyning via cash-back og cash-out. Dette vil si at man ber forretningen om å debitere kontoen for et høyere beløp enn varekjøpet og får differansen i kontanter. Betalingskort som brukes i salgsstedsterminaler, innebærer at forretningen inntaster et beløp som skal gjenspeile kostnaden for varen eller tjenesten, eventuelt med et tillegg som kunden ønsker å ta ut i kontanter.

I 2005 utviklet bankene i fellesskap en ny norskbasert debiteringstjeneste til bruk ved handel over Internett, såkalt «BankAxess». Dette innebærer at kjøperen foretar betalingen direkte fra egen konto uten å gi fra seg kortopplysninger. Kunden legitimerer seg og godkjenner betalingen ved bruk av BankID, se punkt 5.2.1 punkt 2) nedenfor for mer om dette identifikasjonssystemet. Etter hvert vil BankAxess også kunne brukes i forbindelse med andre former for netthandel, for eksempel via mobiltelefon og digital-TV. Handel over Internett kan imidlertid også gjøres med betalingskort, særlig med kredittkortene, se avsnitt 4.2.3 nedenfor. Dette er ikke mulig med de norske debetkortene, det vil si kort merket med «BankAxept» og er en av grunnene til at debiteringstjenesten «BankAxess» er utviklet.

4.2.3 Kredittkort

Som nevnt i avsnitt 4.2.1 foran, er bruksområdene for debet- og kredittkort forholdsvis sammenfallende. Det som skiller kortene fra hverandre er særlig oppgjørssystemet, det vil si tidsaspektet på transaksjonene og gebyrer som ilegges for bruken. Avhengig av hva slags betalings- eller uttakspunkter som kortholder benytter seg av, kan transaksjonene som oftest enten gjennomføres ved hjelp av PIN-kode eller ved å signere kvittering for det aktuelle transaksjonsbeløpet. Belastningene som utføres på denne måten, regnes ikke opp mot kortholders private konto, men mot en opprettet konto med en kredittgrense som er avtalt med kortutsteder. Transaksjonene er således ikke knyttet opp til penger som kortholder besitter, men til penger som kortholder låner og periodevis betaler tilbake. Som vanlig vil kortholder en gang i måneden motta en oversikt over de transaksjoner som er gjort og det totale beløpet som skal innbetales til kredittkortselskapet. Til flere kredittkort er det knyttet flere fordeler. Dette kan være gunstige reise- og avbestillingsforsikringer, rentefri kreditt i et visst tidsrom eller poeng eller lignende som på et gitt tidspunkt vil gi kortholder rabattert pris på tjeneste eller vare.

Ved uttak i minibank må kortholder gå frem på samme måte som ved bruk av debetkort. Beløpet som er disponibelt for uttak regnes opp mot kredittkortets kredittgrense for den aktuelle perioden. Uttaket er imidlertid normalt gjenstand for et gebyr som ofte vil tilsvare en prosentvis andel av det samlede uttaket. 11

Kredittkortene kan brukes i salgsstedsterminaler og har et større bruksområde enn de norske debetkortene. Betalingskort merket med «BankAxept»-logoen kan bare brukes på salgsterminaler som støtter et «online»-system, noe som ikke er en betingelse for bruk av kredittkortene. Som vist i avsnitt 4.2.2 foran, er det imidlertid ikke uvanlig at de norske debetkortene også er utstyrt med eksempelvis VISA-logoen, slik at disse også kan brukes i betalingsterminaler som ikke nødvendigvis er «online».

Kredittkortholderen kan videre benytte sitt betalingskort ved handel over Internett. Som vist i avsnitt 4.2.2 foran, kan ikke dette gjøres med de norske bankkortene. Imidlertid er et stort antall av betalingskortene som er utstedt av norske banker knyttet opp til internasjonale kortselskaper som VISA eller Mastercard slik at de norske kundene likevel har hatt mulighet til å handle over nettet. 12 Det norske kontonummeret kan uansett ikke brukes for belastning på Internett ved kjøp av varer eller informasjon, ettersom det går via et annet kortsystem. Ved slik elektronisk handel må kunden inntaste navnet på kortholder (fremgår som oftest av kortet), kortnummeret som vanligvis står på forsiden av det fysiske kortet, utløpsdato for kortet, samt inntaste en autorisasjonskode på tre siffer. Sistnevnte er en såkalt sikkerhetsverdi som skal kontrolleres for å verifisere at kortet er ekte. Denne koden kalles enten for CVC (Card Verification Code), men er også kjent som CVC2 eller CVV2 avhengig av kortutsteders system. Banklovkommisjonen nevner at VISA har lansert en ny og mer sikker tjeneste for handel over Internett, såkalt «Verified by Visa». Løsningen sørger for at partene, kortholder og nettbutikk, blir autentisert overfor den andre parten. Flere av bankinstitusjonene som utsteder VISA-kort i Norge tilbyr denne tjenesten. I tillegg til å oppgi kortnummer og utløpsdato, må brukeren identifisere seg med en selvvalgt kode eller kode mottatt fra kortutsteder.

4.3 Risiko for kundens egne feil

4.3.1 Debetkort

Bruk av debetkort er som vist foran, knyttet direkte opp mot uttak av kontanter eller kjøp av varer og/eller tjenester. Dette innebærer at kundens medvirkning til at transaksjonen gjennomføres er av begrenset karakter, slik at risikoen for feiloverføringer eller lignende og potensielle tapssituasjoner er lav.

Ved bruk av minibank, må kunden inntaste kode og velge ønsket beløp før uttaket gjennomføres. Dersom kunden taster feil kode, mottar han eller hun en feilmelding, og transaksjonen vil ikke bli gjennomført. Det kan for så vidt forekomme tilfeller hvor kunden velger feil beløp. Dette medfører imidlertid kun at kunden tar imot et lavere eller høyere beløp enn ønsket. Kontantene skyves ut samtidig, slik at risikoen for at kunden kun tar med opprinnelig ønsket beløp og etterlater det overskytende, må anses som svært liten. Ved såkalt cash-back og cash-out i dagligvareforretninger, jf. avsnitt 4.2.2 foran, er det imidlertid en risiko for at kunden ikke oppdager at mottatt beløp ikke samsvarer med den faktiske belastningen av kontoen.

Ved kjøp av varer og tjenester, må det skilles mellom de tilfeller hvor det på forhånd er fastslått et totalbeløp og de tilfeller hvor kunden må taste inn slikt beløp selv for å deretter å taste inn PIN-koden.

De førstnevnte situasjonene vedrører særlig bruk av salgsterminaler, hvor transaksjonen er knyttet opp til et fastsatt forhåndsbestemt gjeldsforhold mellom utsalgsstedet og kunden, typisk vareprisen. Dette innebærer at kundens medvirkning består i å godkjenne gjeldsforholdet ved inntasting av PIN-kode. Sannsynlige feilkilder i slike situasjoner vil typisk være at kunden taster inn feil PIN-kode. Konsekvensen av slik feilinntasting er imidlertid at kunden mottar en feilmelding og at transaksjonen ikke gjennomføres. Dersom det må iverksettes en reserveløsning og kortholder må påføre sin underskrift, kan det imidlertid vanskelig tenkes å oppstå situasjoner hvor kjøpet ikke blir gjennomført. En annen mulighet er dessuten at brukerstedet taster inn for høyt beløp og kunden feilaktig godkjenner dette ved PIN-verifikasjon.

I de situasjoner hvor kunden må taste inn totalbeløp selv, er risikoen for at det oppstår tapssituasjoner som følge av kundens feil, større. Dette er først og fremst aktuelt ved bruk av salgsterminaler, gjerne i tilknytning til en eller annen form for serviceyting. Her er ikke totalbeløpet fastslått på forhånd og feiltasting av tilsiktet beløp på terminalen, kan medføre at kortholders konto blir belastet i et større omfang enn det kunden ønsker. Dette kan i visse tilfeller forsterkes av den situasjon kunden befinner seg, for eksempel ved at det er mørkt barlokale og kunden er beruset.

4.3.2 Kredittkort

Kredittkortene har som vist i avsnitt 4.2.3 foran forholdsvis likt bruksområde som debetkortene. Visse forskjeller er det imidlertid, blant annet muligheten til å handle over Internett. Risikoaspekter knyttet til slik handel kommenteres til slutt i dette avsnittet. Så lenge kredittkortet benyttes ved hjelp av PIN-kode, vil risikobildet være tilsvarende som angitt i avsnitt 4.3.1 foran. For slike kredittkorttransaksjoner vises det derfor til denne beskrivelsen.

Når det gjelder bruk av kredittkort på salgsstedsterminaler, er slike transaksjoner, som nevnt i beskrivelsen av kredittkortenes virkemåte i avsnitt 4.2.3 foran, ikke betinget av at terminalen støtter et «online»-system. Slik sett er det lagt opp til at kortholderen kan underskrive på kvitteringen på det aktuelle beløpet, uten at dette er å anse som en reserveløsning som ved debetkortene. Her må det også skilles mellom de situasjoner hvor kortholder kun trenger å verifisere kjøpsbeløpet ved hjelp av sin underskrift og de situasjoner hvor ekstrabeløp og totalbeløp må påtegnes før vedkommende underskriver på transaksjonen.

I de førstnevnte situasjonene kan det vanskelig tenkes å oppstå tapssituasjoner. Imidlertid kan det forekomme tilfeller hvor kredittkortholderen underskriver på et for høyt beløp i forhold til det som var avtalt eller uttrykkelig fremkom av prisen på varen eller tjenesten. Dette er imidlertid en risiko som elimineres i stor grad av gjeldende betingelser for bruk av kortet. Dette er gjennomgått i avsnitt 4.4 nedenfor.

Når det gjelder de situasjoner hvor kortholderen selv må påtegne totalbeløpet, kan det på samme vis som ved bruk av debetkortene, forekomme feil. Dette vil særlig kunne manifestere seg i feilaktig nedskriving av totalbeløp, for eksempel en null for mye. Det må antas at det er lettere å gjøre feil ved manuell påtegning enn inntasting på en betalingsterminal som ved debetkortene. Håndskrevne tall kan dessuten lettere misoppfattes av brukerstedet slik at feil beløp innrapporteres til belastning av kortholders kredittkonto. Muligheten for å oppdage slike feil er også vanskeligere ved bruk av kredittkort, ettersom transaksjonen ved de regulære kredittkortene ikke vises like raskt som ved debetkortene. En oversikt over transaksjonene kan komme en stund etter at transaksjonen ble gjort, slik at kortholderen, ved mindre beløpsavvik, kan bli usikker på om det er en riktig belastning eller ikke.

Ved bruk av kredittkort over Internett, nevnes det at kunden må medvirke på et høyere nivå enn ved bruk av betalingsterminaler. Kunden må i slike tilfeller, som nevnt i avsnitt 4.2.3 foran, taste inn en del informasjon, og det kan ikke utelukkes at det forekommer feil i slike tilfeller, for eksempel feil angivelse av kortnummer osv. Resultatet ved slik feiltasting er likevel at belastningen ikke utføres. Sannsynligheten for at slik feiltasting – sett i sammenheng med krav om inntasting av det fysiske kortets CVC-kode – skal medføre at kunden belaster kortet til en annen kunde, må også anses som ikke-eksisterende. Dette ville uansett ikke medført noe økonomisk tap for kunden, og er heller et aktuelt spørsmål i forhold til risiko for andres misbruk, se avsnitt 4.5 nedenfor.

4.4 Ansvarsregulering ved kundens egne feil

Risikoen for at det skal forekomme tapssituasjoner som følge av kundens egne feil ved bruk av betalingskort, er som vist i avsnitt 4.3 foran, av begrenset karakter. I de tilfeller hvor kunden selv må påføre (ved inntasting eller håndskrift) totalbeløpet, kan imidlertid dette medføre større tap for kunden. I det følgende er det ikke foretatt et skille mellom debet- og kredittkortene. Dette er særlig begrunnet i at avtalevilkårene for de to korttypene langt på vei er samsvarende og at aktuelle bestemmelser i finansavtaleloven ikke skiller mellom debet- og kredittkort. Visse forskjeller er det imidlertid og er kommentert nedenfor.

1) I avtalevilkårene for bruk av betalingskort, er feilbelastninger i forbindelse med kjøp av varer og tjenester regulert nærmere. Dette omhandler i første rekke betalingskort generelt, det vil si vanlige bankkort som BankAxept, samt andre kredittkort. I den utstrekning kontohaveren bestrider å ha ansvar for en belastning ved bruk av betalingskort, skal banken tilbakeføre beløpet og erstatte rentetapet fra belastningstidspunktet. Dette er først og fremst aktuelt ved misbrukstilfellene, ettersom loven krever at kontohaveren ikke har erkjent ansvar for belastningen, se finansavtaleloven § 37 og avsnitt 2.6.5 foran.

I avtalevilkårene er det imidlertid forutsatt at slik tilbakeføring også skal skje i andre situasjoner, det vil si hvor kunden har godkjent belastningen, men hevder at det ble gjort ved en feiltakelse. I noen avtalevilkår er dette antitetisk formulert som at tilbakeføringsplikten ikke gjelder feilregistreringer på brukerstedet som kontohaver selv burde ha oppdaget ved bruk av kortet i forbindelse med betalingen for varen eller tjenesten. I de fleste tilfeller vil det nok være klart at kontohaveren burde oppdaget dette, for eksempel ved at det ble påført en ekstra null ved inntasting eller nedskriving av totalbeløp på en restaurant, men det kan ikke utelukkes tilfeller hvor kunden likevel må sies å ha opptrådt med tilstrekkelig aktsomhet. Dette må for øvrig sees i sammenheng med at avtalevilkårene bestemmer at salgsnotaer skal oppbevares for senere eventuell kontroll mot transaksjonsoversikten, enten via postsending eller som kontooversikt via nettbaserte betalingstjenester. I avtalevilkårene er det bestemt at reklamasjoner om slike forhold må rettes mot brukerstedet. Det er dessuten stor sannsynlighet for at brukerstedet vil ta reklamasjonen til følge, av hensyn til for eksempel risiko for dårlig omdømme eller publisitet i media mv. Dette vil imidlertid ikke gjelde i like stor grad i forhold til kortbruk i utenlandske salgs- eller servicesteder, særlig ikke dersom det gjelder varer og tjenester av tvilsom art, for eksempel strippeklubb eller lignende. Dersom kontohaveren reklamerer til brukerstedet, kan vedkommende uansett velge å fremme reklamasjon mot institusjonen, jf. kredittkjøpsloven § 8. Dette er også eksplisitt kommet til uttrykk i standardvilkårene for kredittkort.

Når det gjelder kredittkort, er det fastslått særlige reklamasjonsregler. Ved eventuell feilbelastning av transaksjoner må kortholder reklamere overfor banken omgående og ikke senere enn fastsatte frister (normalt 30 dager) etter at transaksjonsinformasjonen er gjort tilgjengelig. I noen av avtalevilkårene er det videre fastslått at selv om reklamasjonsfristen er overskredet, vil banken forsøke å få feilen rettet opp, men påtar seg ikke noe ansvar i denne forbindelse.

Reglene i kontoavtalen innebærer således en viss mulighet for kontohaver til å få eventuelle feilbelastninger gjenopprettet. En nærmere vurdering av behovet for lovregulering for slike feilbelastninger er gitt i avsnitt 4.6 nedenfor.

2) Bortsett fra de nevnte reglene i kredittkjøpsloven om reklamasjon er ikke tap som har oppstått som følge av feilbruk regulert nærmere i lovgivningen. Det forhold at risikoen for oppståtte tapssituasjoner er av begrenset karakter, må i dette henseende antas å være en av grunnene for dette. I Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) ble det også bare foreslått regler om feilaktig godskriving og belastning av en kundes konto, jf. finansavtaleloven §§ 31 og 32. Disse vedrører kun feil fra institusjonens side. På side 141-142 i utredningen, ble det, som nevnt i avsnitt 2.4 foran, presisert at bestemmelsene ikke gjelder dersom det er andre enn banken selv eller dennes medhjelpere som har initiert transaksjonen. Etter gjeldende lovregler er derfor utgangspunktet at ansvar for tap som følge av feil fra kundens side pålegges kunden selv.

4.5 Andres misbruk

Den mest nærliggende og potensielle tapssituasjonen ved bruk av betalingskort, er andres misbruk. Betalingskort og belastning av konto forutsetter normalt sett kun en form for brukerlegitimasjon. For debetkortene vil dette enten skje ved inntasting av PIN-kode eller signering på kvittering dersom det ikke oppnås kommunikasjon mellom en salgsterminal og driftssentralen. For kredittkortene gjøres dette enten ved inntasting av PIN-kode eller ved signering på kvittering. Kredittkortene kan også benyttes på Internett og brukerlegitimasjonen gjøres da ved at det gis ulike opplysninger som fremkommer av det fysiske kortet. Det kan slik sett forekomme misbruk ved urettmessig tilegnelse av betalingskortet og/eller nødvendig brukerlegitimasjon for å gjennomføre transaksjonen. 13 I 2007 ble det registrert 9 688 sviktaktige transaksjoner med betalingskort. Dette er forholdsvis lavt i internasjonal sammenheng og utgjør rundt 0,3 promille av den samlede omsetningen med betalingskort. 14

Andres misbruk av betalingskort kan forekomme på forskjellige vis. Tredjemann kan for det første tilegne seg det fysiske kortet, men ikke kode. I slike tilfeller kan vedkommende belaste kortet i salgsterminaler hvor det ikke kreves inntasting av PIN-kode, noe som er særlig aktuelt for kredittkortenes del. Dette fordrer for øvrig at brukerstedet ikke krever å se legitimasjon eller at tredjemann har forfalsket nødvendig legitimasjon. Etter standardvilkårene for bruk av kredittkort, trengs legitimasjon bare å fremvises på anmodning.

For det andre kan tredjemann tilegne seg både det fysiske kortet og PIN-kode. Slik sett kan vedkommende benytte seg av kortet som om det var hans eget, og foreta belastninger i både salgsterminaler med PIN-kode og kontantuttak i minibank, det være seg debet- eller kredittkort. Når det gjelder debetkortene, har disse som oftest et lavere disponibelt beløp enn kredittkortene, slik at tapsomfanget kan bli betraktelig større ved slikt misbruk for en kredittkortholder enn en debetkortholder.

For det tredje kan misbruk være foranlediget av «skimming», det vil si kopiering av det fysiske kortet og magnetstripen. Slikt misbruk har ofte blitt gjennomført ved at tredjemann setter opp fiktive minibanker, enten selvstendige eller som et påbygg til etablerte minibanker, og registrerer kortinformasjonen når kunden setter dette inn. «Skimming» kan også forekomme ved at en utro tjener ved for eksempel en restaurant, særlig i utlandet, tar med seg kortet for belastning og kopierer kortet før det leveres tilbake. Den siste tiden har det også vært eksempler på databaseinnbrudd hos kortleverandørene. De norske bankene utsteder imidlertid nå kort med chip for å redusere slik svindel. Det er vanskeligere å kopiere informasjon i chip enn i magnetstripe, og løsningen er ansett som sikrere. Ved utgangen av 2007 hadde nærmere 30 prosent av bankkortene, det vil si kort med «BankAxept»-logo, chip. 15 I løpet av 2011 skal alle bankterminaler være oppgraderte i forhold til betalingskort med slik chip.

Banklovkommisjonen har ikke funnet grunn til å gå i nærmere detalj om de ovennevnte typetilfellene av andres misbruk av betalingskort. Sikkerhetsrutiner i forhold til verifikasjon av PIN, kryptografiske kontroller mv., er således utelatt. Dette henger særlig sammen med det regelsett som er utformet i forhold til andres misbruk av betalingskort, jf. finansavtaleloven §§ 35 flg. Disse reglene gir en balansert og hensiktsmessig tapsbegrensning for kundens del og er gjennomgått i avsnitt 2.6.3 foran. Se for så vidt avsnitt 4.6 nedenfor om drøftelsen av lovgivningsbehovet.

4.6 Lovgivningsbehovet

1) I avsnitt 4.3 og 4.4 er det gitt en beskrivelse av risiko for og ansvarsregulering ved tap som oppstår som følge av kundens egne feil. Som nevnt må imidlertid risikoen for slike feil anses å være av forholdsvis begrenset karakter. Slik Banklovkommisjonen har vurdert det, er det bare i de tilfeller hvor kunden selv må taste inn totalbeløp at det kan forekomme reelle tapssituasjoner. I henhold til avtalevilkårene for betalingskortet, er det imidlertid mulig å reklamere på slike feilbelastninger. Så lenge det er klart at kunden ikke hadde noen grunn til å oppdage det aktuelle forholdet, er det lagt opp til en tilbakeføringsmulighet. Dersom kunden burde oppdaget feilen, er imidlertid ikke dette like klart. Som nevnt i avsnitt 4.4 foran – forutsatt at det dreier seg om en transaksjon som innlysende er utilsiktet – vil imidlertid brukerstedet som oftest sørge for at feilen korrigeres og at tapet elimineres av hensyn til eget omdømme osv. Selv om reklamasjonsfristene er overskredet, er det videre vanlig at banken forsøker å korrigere feilen. Dette fremgår av noen av bankenes avtalevilkår for betalingskort, se også avsnitt 4.4 foran.

Etter Banklovkommisjonens oppfatning er det ikke grunn til å foreslå en nærmere regulering av tapssituasjonene som oppstår på grunn av kundens feilbruk. De vilkårene som foreligger, antas å være rimelige og innebærer en balansert løsning i forhold til krav til korthaverens aktpågivenhet ved bruk av betalingskort, samt muligheten til å få korrigert feilbelastninger i særskilte tilfeller. Så vidt Banklovkommisjonen er kjent med, har disse reglene fungert godt i forhold til betalingskortene og en ser ikke behov for å foreslå noen endringer her. Banklovkommisjonen finner videre grunn til å nevne at finansavtalelovens regler om oversikt over konto mv., gir kunden en grei kontroll med at transaksjoner har foregått på riktig vis. Denne kontrollen forsterkes dersom kortet er knyttet opp til en nettbankkonto hvor kunden til enhver tid kan undersøke sine utførte betalingsoverføringer. Finansavtalelovens regler om avtaleinngåelse av kontoavtaler, som ofte vil være knyttet opp til kundens betalingskort, må også anses tilfredsstillende og gir lite rom for at kunden i denne prosessen gjør en feil som kan medføre et økonomisk tap, se avsnitt 2.2 foran.

2) Risikoen for tap som følge av andres misbruk av betalingskort er større enn kundens feilbruk. Sikkerheten rundt betalingskortene er imidlertid blitt forbedret, og forbedres stadig blant annet som følge av det nye systemet med chip. Det er dessuten fastslått særlige lovbestemmelser vedrørende slikt misbruk, se avsnitt 2.6.3 foran. Etter Banklovkommisjonens oppfatning representerer disse reglene en tilfredsstillende løsning for andres misbruk. De totale kostnadene for misbrukstilfellene er pulverisert i systemet og medfører at kundens egenandel er begrenset på en hensiktsmessig måte.

Banklovkommisjonen er således av den oppfatning at det heller ikke er nødvendig å foreslå noen endringer i reglene om andres misbruk av betalingskort.

5 Nettbasert betalingsoverføring

5.1 Innledning

I Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag), ble det blant annet gitt en oversikt over et stort antall betalingstjenester og behovet for en nærmere lovregulering i forholdet mellom kunden og institusjonen ved bruk av instrumenter for betalingsoverføring. I merknadene til finansavtaleloven § 12 bokstav c) om betalingsinstrumenter, uttalte Banklovkommisjonen, på side 109 i utredningen, at eksempler på betalingsinstrumenter kan være sjekk, giroblanketter, betalingskort med eller uten kode, eventuelt i kombinasjon med terminaler som gir tilgang til betalings- eller kontokortsystemene. Videre at

«[d]e tradisjonelle betalingsinstrumenter som er nevnt foran, kjennetegnes ved at de utstedes og kontrolleres av kontoførende institusjoner. Utviklingen går nå i retning av at en i økende grad også tar andre særskilte hjelpemidler i bruk, f.eks. telefon, bedriftsterminaler, eventuelt i kombinasjon med koder e.l.

Betalingsinstrumenter representerer et vidt spekter av hjelpemidler som benyttes for å få adgang til betalingsmidler. Slik sett er det ingen prinsipiell forskjell mellom et tradisjonelt betalingsinstrument som giroblankett, og et moderne hjelpemiddel som telefon. Derimot vil ansvar og risikovurderinger kunne bli nokså ulike for instrumenter utstedt og kontrollert av institusjonen, og for hjelpemidler som betaleren selv eller en tredje part er eier av eller ansvarlig for (telefon, terminaler m.v). Dette gjelder særlig i forhold til fremsending av betalingsoppdrag og spørsmål om når og på hvilken måte betalingsoppdrag er kommet frem til institusjonen, jf. spesielle motiver til § 2-31 annet ledd [nå § 39].»

I forhold til de moderne nettbaserte hjelpemidlene, som telefon, var det slik sett spørsmål rundt tid og sted for betaling ved bruk av slike systemer som var hovedtemaet. Risiko- og ansvarsspørsmål i forhold til potensielle tapssituasjoner var ikke sett på som et like nærliggende tema. En grunn til dette var at betalingsoverføringer gjennom elektroniske systemer, bortsett fra betalingskort som det ble foreslått særlige regler for, ikke forutsatte en form for brukerlegitimasjon. På 1990-tallet anså man typiske eksempler på tjenester som effektueres gjennom elektroniske systemer som direkte belastning i form av AutoGiro, direkte remittering (særlig brukt ved masseutbetalinger som lønn og lignende), minibankuttak og EFTPOS transaksjoner. For en nærmere beskrivelse av disse ulike tjenestene vises det til Banklovkommisjonens Utredning nr. 1 side 70 følgende og kapittel 3 og 4 foran.

Betalingsoverføringer skjer imidlertid på nåværende tidspunkt, i tillegg til betalingskort, i stor grad ved hjelp av bankenes nettbanktjeneste og andre nettbaserte overføringsmekanismer, som for eksempel telefonbank. Dette er tjenester eller produkter som er utformet blant annet av hensyn til brukervennlighet og samfunnets økende krav til effektivitet i behandlingen av betalingsoppdrag. Det er således viktig å merke seg at nettbank og telefonbank ikke er et alternativ ved siden av de eksisterende bankinstitusjonene, men tjenester som institusjonene har utformet til eksisterende og potensielle kunder. Slike nettbaserte tjenester er imidlertid ikke bare knyttet opp mot betalingsoverføring. Ved siden av denne betalingsoverføringstjenesten tilbys det for eksempel flere tilleggstjenester som kunden kan inngå særskilt avtale om. Slik sett kan nettbanktjenesten anses som en overordnet «portal» som tilrettelegger for flere tilleggstjenester, eksempelvis handel med verdipapirer, betaling til utlandet mv. Noen banker har lagt dette opp slik at en nettbankavtale fungerer som en hovedavtale som åpner for å inngå underliggende avtaler om én eller flere av tjenester som tilbys over Internett. I dette ligger også at nettbanktjenesten vil variere fra bank til bank både med henblikk på struktur og vilkår for bruk. 16 Dette innebærer også variasjoner i hvilke sikkerhetsprosedyrer som må følges av kunden. Avveiningen mellom brukervennlighet og sikkerhet er slik sett forskjellig fra bank til bank og et viktig element i forhold til ansvarsplassering av eventuelle tap. Sider av dette temaet drøftes i avsnitt 5.3 om generelle risikoaspekter nedenfor. Banklovkommisjonen bemerker at spørsmål knyttet til de øvrige tjenester som følger med nettbanktjenesten ikke er tema i denne utredningen, jf. forutsetningene i mandatet. Den videre redegjørelsen er således begrenset til spørsmål knyttet til betalingsoverføring via nettbaserte betalingstjenester. Muligheten til å foreta kjøp over Internett, for eksempel ved hjelp av BankAxess er derfor et sideordnet tema. Det er kontodisponeringen som er det essensielle, selv om det er viktig å merke seg at lignende risiko- og tapssituasjoner kan oppstå i andre sammenhenger.

Det som gjelder generelt for alle slike nettbaserte tjenester, er at brukeren må legitimere seg i henhold til en nærmere bestemt sikkerhetsprosedyre. Man har her å gjøre med en form for brukerlegitimasjon i motsetning til vanlige bankkontoregler som gjelder ved overføring via eksempelvis bankgiro. Ved en slik prosedyre stilles det ikke nødvendigvis krav om underskrift eller annen form for manuell legitimasjon for de enkelte betalingsoppdragene. Tilgangen er i stedet knyttet opp mot personlige legitimasjonselementer som fødselsnummer, kontonummer, PIN-koder, passord og engangskoder. Selve informasjonen om betalingstransaksjonen overføres på et elektronisk medium som for eksempel telefonlinje, nettverkslinje eller annet lagringsmiddel, og ved selve overføringen vil for øvrig spørsmål om tid og sted for betalingen være relevante temaer. De ansvars- og risikovurderinger som Banklovkommisjonen gjorde i tilknytning til betalingskortene i sin Utredning nr. 1, bør imidlertid utbygges til også å omfatte ansvar og risiko rundt selve bruken av slike andre nettbaserte betalingstjenester.

Betalingsoverføring ved bruk av tradisjonell giro og betalingskort er redegjort for i henholdsvis kapittel 3 og 4 foran. Her er aktuelle risikospørsmål gjennomgått med en etterfølgende beskrivelse av den gjeldende ansvarsregulering for potensielle tapssituasjoner. Banklovkommisjonen har ikke sett et behov for nærmere lovregulering av slike betalingstjenester, jf. særlig avsnittene 3.5 og 4.6 foran.

Før Banklovkommisjonen gir en redegjørelse for risikobildet ved bruk av nettbaserte betalingstjenester, med utgangspunkt i nettbanktjenesten, og gjeldende ansvarsregulering ved eventuelle tapssituasjoner, gis det en oversikt over selve bruken av de nettbaserte betalingstjenestene og dens utvikling innenfor betalingsformidling, se avsnitt 5.2 flg. Det nevnes i denne sammenheng at visse tjenester som er tilbudt innenfor telefonbank, ikke er å anse som en betalingstjeneste. For å danne et helhetlig bilde av denne banktjenesten, er det likevel gitt en beskrivelse av samtlige tjenester på dette området. Avgrensninger mot tjenester som ikke er å anse som betalingsoverføring gjøres derfor løpende i avsnitt 5.2.2 om bruk av telefonbank.

5.2 Virkemåten

5.2.1 Bruk av nettbank

Internett ble startet rundt 1970 og Norge fikk sin første tilknytning allerede i 1973. Fra midten av 80-tallet begynte Internett å få betydning som kommunikasjonskanal for studenter og forskere i den vestlige verden. Det var imidlertid først på 1990-tallet at Internett fremsto som interessant for en bredere gruppe av befolkningen, og dermed også for kommersielle aktører. Siden 1993 har nettet vokst raskt på internasjonal basis. Tall fra 2005 viser at Norge ligger helt i europatoppen både når det gjelder handel, bruk av finansielle tjenester og tilegnelse av informasjon og nyheter på Internett. Av landets hustander i 2005 hadde 64 prosent internettilkobling, og to tredjedeler av disse er bredbånd. 17 Det er imidlertid langt flere som bruker Internett, og i alderen 15-29 år er andelen av brukere på 97 prosent. 18

Parallelt med utbredelsen av personlige datamaskiner og internettilkobling i den private sektor, så bankene både en mulighet og et behov for å utvikle pc-baserte systemer hvor privatkunder blant annet selv kan initiere betalingsoppdrag og få tilgang til saldoinformasjon og foreta annen kommunikasjon med banken. I 1996 var dette noe som kun var i prøvefasen, og det var land som Frankrike og USA som hadde kommet lengst i denne utviklingen. I dag er nettbank eller hjemmebank, et vanlig fenomen i de norske hjem. Det er som nevnt i avsnitt 1.3 foran ca. 2,8 millioner nettbankkunder i Norge. Det er antatt at 2 millioner personer i Norge bruker nettbanktjenesten hver uke. 19 I 2007 ble det gjennomført totalt ca. 319 millioner nettbanktransaksjoner. Av disse ble ca. 154 millioner transaksjoner utført av privatpersoner. Det er videre ventet at utbredelsen av slike systemer vil øke i tiden fremover. Tilfanget av nye nettbankkunder har økt jevnlig de siste årene. I 2007 var det en økning i antall nettbankkunder på 300.000. Det å bruke nettbank er nå like vanlig som å bruke e-post og Internett for å innhente informasjon. 20

Rutinene for hvordan man blir nettbankkunde og kan bruke nettbanktjenesten, vil naturligvis variere mye fra bank til bank. Banklovkommisjonen har i dette henseende tatt utgangspunkt i flere av de etablerte norske og nordiske nettbankene, og forsøkt på best mulig vis å gi et enhetlig bilde av fremgangsmåten for å bli nettbankkunde.

1) Avtale og tilgang. For å ta i bruk nettbanktjenesten må kunden inngå avtale med banken om dette. Dette kan normalt både skje ved fremmøte i banken eller ved bruk av bankens hjemmesider. Noen banker har ikke vanlige ekspedisjonssteder, slik at eneste måten er å etablere kundeforholdet via bankens hjemmesider. Det er særlig selve bestillingen av nettbanktjenesten som er forskjellig mellom de nevnte bankinstitusjonene, selv om den videre prosessen også vil variere fra bank til bank ut fra den enkeltes vurdering av hvordan de aktuelle sikkerhetskrav bør overholdes på best mulig måte. De konkrete beskrivelsene i det følgende er derfor ikke å anse som sammenfallende for samtlige bankinstitusjoner med nettbanktjeneste.

For å etablere kundeforhold i de rene nettbaserte bankene (uten bankfilialer), må man først registrere en rekke personopplysninger på hjemmesiden til banken, blant annet fødselsnummer og øvrig kontaktinformasjon. Kunden blir gjerne bedt om å akseptere kontoavtalen inklusive vilkår for elektronisk regningsbetaling på nettet. Dette skjer ved at vedkommende huker av i en rubrikk som anses som en bekreftelse på at avtalen er lest og akseptert. Det stilles således ikke krav om underskrift for inngåelse av slike kontoavtaler, jf. for så vidt finansavtaleloven § 8 annet ledd og avsnitt 2.2 foran.

For å kunne benytte seg av nettbanktjenesten til en bank som har bankfilialer, er fremgangsmåten noe annerledes. Dersom vedkommende ikke allerede er kunde i banken, må vedkommende søke om dette, enten via bankens nettside eller ved å gå til en av bankens filialer. Ved personlig oppmøte må kunden oppgi nødvendige opplysninger og signere avtaledokumenter med kontoavtalen som hoveddokument. Nettbankavtalen kan også inngås i denne sammenheng. Det er videre mulig å bli kunde i banken ved hjelp av bankens nettside, selv om den videre prosessen avviker fra de rene nettbaserte bankene. Vedkommende må taste inn nødvendig informasjon og samtidig bestille nettbanktjenesten. Bankinstitusjonens kundesenter ringer så vedkommende opp for å få oppgitt nødvendig informasjon, for eksempel hvor avtaledokumentene skal sendes. Disse må kundene sende tilbake i underskrevet stand per post.

Deretter sender som oftest banken, enten den kun er nettbasert eller ikke, midlertidig PIN-kode og verktøy for generering av engangskoder per post i to forskjellige sendinger. Midlertidig PIN-kode sendes direkte til kundens bostedsadresse, men kan også sendes per SMS. For engangskodeverktøyet benyttes det imidlertid rekommandert brev til folkeregistrert adresse som vedkommende må hente på postkontoret. Her følges en prosedyre som er fastsatt i en avtale mellom banken og Posten, en såkalt PUM-avtale (Personlig Utlevering Mottakingsbevis). Dette innebærer at Posten har ansvar for å sørge for at vedkommende legitimerer seg og kopierer opplysninger om legitimasjon og fødselsnummer, slik at avsender får denne PUM-dokumentasjonen. Det er likevel viktig å merke seg at utsending av engangskodeverktøy blir sendt i vanlig postsending direkte til kundens bostedsadresse dersom denne er utgått (typisk ved kodekort) eller kunden har mistet det.

2) Innlogging. Innloggingsprosedyren i banken via dens nettbanktjeneste kan variere fra bank til bank. Dette gjelder både hvordan engangskoden genereres og rekkefølgen på inntastingen av den nødvendige innloggingsinformasjonen. I noen banker er det lagt opp til at det først inntastes fødselsnummer og personlig kode. Deretter må kunden ta i bruk utstyr for supplerende sikkerhetsprosedyre, typisk inntasting av en engangskode. Denne engangskoden kan enten leses ut fra for eksempel en kodekalkulator («digipass» eller lignende), et kodekort eller ved at engangskoden sendes til kundens oppgitte mobiltelefonnummer. De verktøyene som brukes for å generere disse kodene, varierer naturligvis noe og vil derfor ha betydning for sikkerheten knyttet til bruk av slike koder. I noen banker kreves det i tillegg at det lastes ned et sertifikat for å kunne logge seg inn i banken. Sertifikatet låses til den aktuelle datamaskinen som benyttes. Dersom vedkommende også vil bruke annen datamaskin for å få tilgang til sin nettbankkonto, må dette lastes ned på den aktuelle maskinen, for eksempel jobb-pc. Varigheten av sertifikatene varierer, men med maksimum gyldighetstid på ett år. Deretter må kunden laste ned nytt sertifikat.

Bankene tar i stadig større grad i bruk BankID som påloggingsmekanisme. BankID er en personlig og elektronisk legitimasjon for sikker identifisering og signering på nett. Den er basert på en samordnet infrastruktur som er utviklet av banknæringen, i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen. Over 1,5 millioner nettbankkunder benytter seg nå av dette elektroniske identitetssystemet. Flere av de største bankinstitusjonene går også over til BankID i løpet av høsten 2008. BankID legger dessuten til rette for å melde adresseforandring, kjøpe bil eller bolig og levere byggesøknad hos kommunen på Internett. 21 Det er spådd at flertallet av Norges 2,8 millioner nettbankkunder vil bruke BankID som sin elektroniske ID og signatur innen utgangen av 2008. 22 En elektronisk signatur med BankID vil være like bindende som en håndskrevet signatur på papir.

Kundene kan søke om BankID gjennom nettbanken eller ved personlig fremmøte på vanlig måte, det vil si inntasting av fødselsnummer, PIN-kode og engangskode. I praksis foregår dette ved at kunden aksepterer vilkårene for bruk av BankID. 23 Deretter må kunden velge et personlig passord som skal fungere som hans eller hennes BankID. Dette passordet skal som oftest bestå av tall og/eller bokstaver og erstatter den tidligere PIN-koden. Her er det som nevnt foran bankindividuelle forskjeller. Deretter foretas det en sjekk av om kundens datamaskin kan benytte BankID. Det stilles i denne sammenheng krav til både operativsystem, nettleser og java-program. Dette henger sammen med institusjonens ønske om å forsikre seg om at kundens tilgang til banken er tilstrekkelig sikker. BBS har verifisert en rekke kombinasjoner av disse uten at Banklovkommisjonen har funnet grunn til å gå nærmere inn på dette. Neste gang kunden logger seg inn i nettbanken ved bruk av BankID, vil det komme en sikkerhetsadvarsel fra BBS. Denne vil dukke opp hver gang med mindre kunden huker av for «Klarér alltid innhold fra Bankenes Betalingssentral AS». Ved bruk av BankID som innlogging vil kunden få opplyst om sist gang han eller hun var innlogget i banken og representerer et ytterligere kontrolltiltak i forhold til misbruksfaren for nettbanktjenesten.

3) Bruk av nettbank. Når kunden er logget på nettbanktjenesten, kan vedkommende i stor grad disponere og få oversikt over sin konto som tidligere ofte var betinget av personlig oppmøte i bankfilial. Det mest aktuelle er antagelig regningsbetaling. Dette er en form for girobetaling, og Banklovkommisjonen har derfor – for oversiktens del – funnet grunn til å videreføre skillet i kapittel 3 med giro, ferdigutfylte blanketter og belastningsgiro, se også punkt 4) nedenfor. Ved siden av regningsbetaling har kunden også mulighet til å overføre mellom egne konti (dersom kunden har opprettet flere i den aktuelle banken). I flere banker er det videre lagt opp til at kunden kan søke om lån, investere i fond eller aksjer, samt tegne ulike forsikringer. Disse tilleggstjenestene går ikke Banklovkommisjonen nærmere inn på, jf. også avsnitt 5.1 foran. Med tiden legges det opp til at kunden kan benytte BankID for elektronisk signering av avtaler inngått på nettet, for eksempel låneavtaler.

4) Regningsbetaling. Ved overføring til privatpersoner er det som oftest kunden selv som må skrive inn alle nødvendige opplysninger, og fyller på elektronisk vis inn en giroblankett. Dette henspeiler seg først og fremst på kreditkontonummer, beløp og betalingsdag.

Regningsopplysninger kan videre være ferdigutfylt av mottaker. Slike ferdigutfylte blanketter kan komme i papirbasert format, som beskrevet i avsnitt 3.2.2 foran. På nåværende tidspunkt er imidlertid et stort antall av disse blankettene knyttet direkte opp mot kundens nettbank. Dette er en form for elektronisk faktura eller elektronisk giroordning og er benevnt som «eFaktura». 24 Denne tjenesten er således basert på at betalingsinstruksjonene gis i maskinlesbar form, enten direkte via terminal eller ved maskin- til maskinforbindelse. For å kunne benytte seg av denne tjenesten, må kunden inngå en avtale med tilbyder av slik faktura og akseptere at tilbyder eller kreditor sender fakturaer elektronisk til kundens nettbank. Det er således betalingsmottakeren eller kreditor som initierer de enkelte betalingene. Selve belastningene forutsetter imidlertid at kunden gjør noe aktivt, nemlig aksepterer at fakturaen legges i forfallsregisteret eller lignende. En eFakturaavtale knyttes til kundens fødselsnummer og ikke konto. Dette muliggjør valg av bank og konto for belastning hver gang. Tjenesten er slik sett bankuavhengig, og det er opp til kunden hvilken nettbankkonto som skal belastes for hver gang.

AvtaleGiro kan også sees på som en ferdigutfylt giroblankett som i mange tilfeller er direkte knyttet opp til nettbank. Det nærmere innholdet av slike belastningsfullmakter er behandlet separat i avsnitt 3.2.3 foran.

5.2.2 Bruk av telefonbank

Kommunikasjon med bankforbindelse via telefon, kan enten gjøres ved personlig samtale mellom kunden og bankansatt eller ved at kunden taster inn nødvendige innloggingsopplysninger på telefonen (automatisk telefonbank) og deretter velger tjenester som er tilrettelagt ved hjelp av telefonens talltastatur.

1) Personlig betjening eller kundeservice gir kunden mulighet til å melde fra om mistet eller stjålet betalingskort, saldoinformasjon eller overføring mellom egne konti. Informasjon om saldo og overføring mellom egne konti krever at kunden identifiserer seg med person- eller kontonummer og oppgir et selvvalgt passord. Ettersom det ikke er mulig å foreta betalingsoverføring ved slik personlig betjening, er ikke dette å anse som en betalingstjeneste og er unntatt fra Banklovkommisjonens forslag om nytt regelverk for nettbasert betalingsoverføring.

2) Automatisk telefonbank er en banktjeneste som legger til rette for mange av de samme banktjenestene. Fra midten av 1990-tallet ble slike telefonbanker imidlertid videreutviklet til også å omfatte initiering av betalingsoppdrag. Under den automatiske telefonbanktjenesten ligger det således flere verktøy tilgjengelig for kunden, det være seg å få lest opp kontoutskrift (kontofon) eller foreta betalingsoverføringer (telegiro). For å kunne benytte seg av en automatisk telefonbank, må kunden først aktivere tjenesten og få tilsendt en tilgangskode fra banken (vanligvis tre sifre). Det er ved beskrivelsen av disse tjenestene tatt utgangspunkt i flere norske og nordiske banker, og på best mulig vis gitt en samlet fremstilling av de ulike tjenestene.

Med kontofon kan kunden kun undersøke saldo og overføre penger mellom egne konti. På samme vis som ved personlig betjening, er dermed ikke dette å anse som en betalingstjeneste og er unntatt i den videre utredningen. En annen lignende tjeneste som for så vidt er knyttet opp til mobiltelefoner er såkalt sms-bank. Denne tjenesten er på nåværende tidspunkt ikke tilbudt av samtlige bankinstitusjoner som opererer i Norge. Innholdet i denne tjenesten varierer også. Noen banker har en ordning hvor kunden via sms kan bli varslet hver gang det innbetales lønn eller hver gang saldoen er over eller under et visst beløp. Andre banker har en ordning hvor det også kan overføres penger mellom egne konti. Ved bruk av sms-bank må kunden også få tilsendt en tilgangskode. På samme vis som ved kontofon, utelates imidlertid denne banktjenesten i den videre utredning.

Med telegiro kan kunden utføre enkle tjenester som regningsbetaling, administrere AvtaleGiro og få tilgang til forfallsregisteret for regningene. Dette er slik sett en betalingstjeneste som er omfattet av Banklovkommisjonens videre utredning om risiko og ansvarsregulering ved bruk av nettbasert betalingsoverføring. Telegiro kan benyttes av kundene fra deres mobiltelefon eller vanlig hustelefon. I løpet av 2007 ble det foretatt ca. 14 millioner transaksjoner ved hjelp av telegiro. 25

3) Mobilbanker en forholdsvis ny form for betalingstjeneste. Det må imidlertid antas at dette er en tjeneste som vil tas i bruk i stort omfang i tiden som kommer, særlig som følge av at mobiltelefon nærmest er allemannseie. 26 Betalingsoverføring via mobilbank, forutsetter imidlertid at kunden har en mobiltelefon med nettleser. Mange av mobiltelefonene som er – og kommer – på markedet vil normalt sett ha en internettoppkoblingsfunksjon. Den fungerer slik sett som en liten bærbar datamaskin, hvor mobiltelefondisplayet erstatter dataskjermen. Bruk av mobilbank forutsetter derfor at kunden har opprettet en nettbankkonto og kan sies å være en forenklet versjon av nettbanktjenesten.

For noen mobilbanker er det imidlertid bare mulig å overføre penger mellom egne konti og få kontoopplysninger. I slike mobilbanker, er ikke sikkerhetsrutinene like strenge som ved de mer avanserte mobilbanktjenestene, og det kreves ofte bare at kunden taster inn sitt kontonummer og servicekode for å få tilgang til sin bankkonto, sml. forholdet ved personlig betjening som beskrevet foran.

Ved bruk av mobilbank hvor kunden kan betale regninger, overføre mellom egne konti, få tilgang til eFaktura, sjekke forfallsregisteret mv., er imidlertid sikkerhetsrutinene strengere. Som ved nettbank, må kunden gå frem på samme måte og taste inn brukerID (for eksempel kontonummer eller fødselsnummer), passord og engangskode. Det er videre lagt opp til at BankID kan benyttes fra en mobiltelefon.

4) Det er ellers antatt at mobiltelefoner også vil bli brukt til småbetalinger i fremtiden. Både VISA og MasterCard har utviklet et system for kontaktløse betalinger. Banklovkommisjonen nevner at dette er en tjeneste som ikke er direkte knyttet opp mot kundens konto og må således holdes atskilt fra utredningens hovedtema. 27 Den omfattes videre av e-pengeforetaksloven av 13. desember 2002 nr. 74 og ikke av finansavtalelovens bestemmelser. For oversiktens skyld er det imidlertid hensiktsmessig å gi en kort beskrivelse av denne tjenesten. Tjenesten fungerer slik at en brikke blir plassert i et betalingskort eller i en mobiltelefon. Kunden betaler ved at brikken kommuniserer med en betalingsterminal når den holdes nær nok uten at det stilles krav om inntasting av personlig kode. 28 I Norges Banks årsrapport om betalingssystem for 2007 er det antatt at sikkerheten rundt slike betalingssystemer er en utfordring for bankene. 29

5.3 Generelle risikoaspekter

Betalingsoverføring representerer en grunnleggende funksjon i all økonomisk aktivitet. Sikker og lett tilgang til effektive betalingssystemer er nødvendige forutsetninger for den enkelte brukers økonomiske aktivitet, og av avgjørende betydning for at et moderne samfunn skal fungere. Selv om institusjonene har felles beredskapsplaner, sikkerhetsstandarder og kontrollrutiner, og disse er gjenstand for kontinuerlig evaluering og ajourføring, vil det i ethvert betalingssystem eksistere risiko­elementer i form av interne og eksterne feil og angrep.

Selv om nettbankene utvikler nye og mer velutrustede innloggingssystemer, som for eksempel BankID til nettbank, antar Banklovkommisjonen at det vanskelig vil være mulig å helgardere seg mot slike angrep. 30 Et annet forhold er at systemene kan bli sårbare dersom de i stor grad blir avhengig av en tjeneste som BankID. Dersom driftsmessige problemer skulle sette BankID ut av drift og brukeren ikke får tilgang til sin bankkonto, vil dette få konsekvenser for et stort antall brukere og samfunnet for øvrig. 31 Det samme vil for så vidt gjelde dersom oppkoblingen mot Internett brytes som følge av forhold utenfor kundens kontroll.

I avsnitt 5.2 foran er det gitt en overordnet beskrivelse av virkemåten til de ulike former for nettbasert overføring, med unntak av betalingskort. Overføring av penger ved bruk av et nettbasert betalingsoverføringssystem kan sies å representere et brukervennlig system: Kunden er ikke avhengig av å besøke en bankfilial og kan foreta overføringer fra hjemmet, jobben, under ferieopphold mv. Et nettbasert betalingsoverføringssystem kan imidlertid også sies å representere et komplisert og risikofylt kundesystem. Det henspeiler seg særlig på kundens feilbruk og andres misbruk av kundens bankkonto. Slike betalingsoverføringssystem legger i stor grad opp til en høyere grad av selvstendig brukeradferd enn andre betalingstjenester, som i sin tur kan legge til rette for flere feilbruks- og misbrukstilfeller.

Graden av risiko ved bruk av nettbasert betalingsoverføring henger slik sett i stor grad sammen med avveiningen mellom ønske om å gjøre produktet så brukervennlig som mulig og nødvendige sikkerhetsmekanismer for å hindre feil og misbruk. Som nevnt i avsnitt 1.3, er det imidlertid aldri brukervennlig å oppgi nødvendige sikkerhetsmekanismer for å hindre feil og misbruk. Visse sikkerhetstiltak må ligge i bunn. For «stor» brukervennlighet vil kunne øke sannsynligheten for flere feiltransaksjoner. For eksempel kan det nevnes at mange nettbanktjenester er lagt opp slik at kreditkontonummer og betalingsmottakers navn på tidligere transaksjoner lagres i nettbankens mottakerregister. Dersom kunden skal utføre flere overføringer til denne mottakeren, kan han eller hun enkelt søke etter vedkommende i et register som kun er tilgjengelig for kunden. Det kan her tenkes at kunden ved første overføring tastet inn feil (men likevel gyldig) kontonummer uten at dette ble oppdaget, slik at flere overføringer går til feil person. Ordningen med mottakerregisteret er svært brukervennlig, men dersom det ikke oppdateres jevnlig av kunden med nye, korrekte mottakeropplysninger vil bruken kunne medføre feiltransaksjoner. Det kan videre tenkes at betalingsopplysningene er riktige, men foreldet i den forstand at mottaker har endret kontonummer. Det følger for så vidt av tiltak nr. 13 fra banknæringen selv at bankene bør legge til rette for at kunden kan gjennomføre periodisk oppdatering av mottakerregisteret. Dette er så langt Banklovkommisjonen er kjent med gjennomført for alle nettbanktjenestene. Det at det ble inntatt som et tiltak, viser at det er et aktuelt problem også sett fra næringens side. Det vises for øvrig til avsnitt 1.3 foran. Slike potensielle feiloverføringstilfeller er imidlertid ikke like aktuelt for de tilfeller hvor mottakeren har endret sitt kontonummer, ettersom det vil skje en omadressering hos BBS, slik at beløpet overføres til det nye kontonummeret i stedet.

Temaet risiko ved bruk av nettbasert betalingsoverføring, henspeiler seg i hovedsak på de potensielle tapssituasjoner som kan forekomme ved kundens bruk av sin bankkonto(i) gjennom oppkobling til Internett eller telefonnettverk. Det er flere omstendigheter som kan føre til tap, og det er viktig å merke seg at disse omstendighetene er av dynamisk karakter. Selv om bankene iverksetter tiltak med flere sikkerhetsrutiner og kontrollordninger, vil det som nevnt være vanskelig å totalsikre seg mot alle risikoelementer som er tilknyttet slikt kontohold. Det er særlig kundens egne feil og tredjemanns misbruk som er fremtredende i denne sammenhengen. Svikt i systemet er en potensiell feilkilde, men ikke forutsatt utredet i denne omgang. 32

Feilbruk og misbruk representerer aktuelle tapssituasjoner, men er ikke nødvendigvis selvstendige og separate risikoforhold. De må i flere tilfeller sees i sammenheng, jf. særlig avsnitt 6.1.3 nedenfor. Det er gitt en redegjørelse for risikoen for kundens egne feil i avsnitt 5.4 nedenfor. Risikoen for tredjemanns misbruk er det redegjort for i avsnitt 5.6. Redegjørelsen er først og fremst knyttet opp til bruk av nettbank. Risikoelementene ved slik bruk vil i stor grad være tilsvarende for bruk av telefonbank. Banklovkommisjonen har likevel funnet det hensiktsmessig å si noe særskilt om telefonbank avslutningsvis i avsnittet om risikoaspekter, både i forhold til egne feil og andres misbruk, se henholdsvis avsnitt 5.4.2 og 5.6.2.

Det nevnes også at de risikoelementer som skal gjennomgås, vil kunne være relevant i forhold til en vurdering av ansvarsplassering av det økonomiske tapet som kan oppstå. Her kan det tenkes flere forhold som må tas i betraktning, blant annet nivået av sikkerhet i nettbanksystemet for at feil fra kunden kan oppdages og kundens egen aktpågivenhet. Brukeratferd må sees i sammenheng med tapssituasjoner som kan oppstå som følge av enten feilbruk eller misbruk, og er således et viktig element i drøftelsen av hvordan ansvarsplasseringen bør fremstå. Det vises særlig til avsnitt 6.3 flg. nedenfor om hovedprinsippene i Banklovkommisjonens lovforslag.

5.4 Risiko for kundens egne feil

5.4.1 Nettbank

Tap som er forårsaket av forhold på kundens side, kan ha sitt utspring i forskjellige forhold. De tradisjonelle typetilfellene er feiltastingstilfellene, det vil si inntasting av feil kontonummer og/eller feil beløp, hvor kunden ikke oppdager feilen før betalingsoppdraget utføres. Ved siden av feil knyttet opp til kontonummer, kan det dessuten kunne tenkes andre inntastingsfeil som kan lede til økonomisk tap for kunden. For eksempel at kunden taster feil dato for belastning av oppdraget, slik at kreditor ikke mottar betalingen innen en eventuell betalingsfrist og ilegger kunden et purregebyr og/eller inkassogebyr. Utover disse typetilfellene er det andre avvik og feil fra kundens side som kan forekomme. Disse må imidlertid sees i sammenheng med potensielt misbruk fra tredjemenn, for eksempel ved at kunden har oppbevart nødvendig brukerlegitimasjon på feil måte, og er i stedet inntatt i avsnitt 5.6 om risikoen for andres misbruk.

Utilsiktede betalingsoverføringer er først og fremst aktuelt i forhold til vanlig girobetaling. Med eFaktura er ikke dette en like nærliggende risikofaktor, ettersom kunden legger til grunn at betalingsmottakeren har sendt over riktig betalingsinformasjon og iverksetter betalingen ved å akseptere denne i nettbanken. Som nevnt i avsnitt 3.3.1, jf. også avsnitt 3.5 foran, vurderte Banklovkommisjonen det slik at det vanskelig kunne tenkes å oppstå tapssituasjoner for kunden som følge av feilbruk. Grunnlaget for denne vurderingen må anses å være forsterket i forhold til elektronisk faktura hvor handlingsrommet for å kunne gjøre feil er enda mindre. Banklovkommisjonen antar at risikobildet for belastningsgiro er forholdsvis likt og at tapssituasjoner også sjelden vil oppstå her. I det følgende er det dermed risikobildet for de tradisjonelle girooverføringene som vurderes nærmere. Det er i disse situasjonene at feilaktig utførte betalingsoverføringer er en nærliggende risikofaktor.

Avvik i form av feil bruk av tjenesten kan medføre fare for store økonomiske tap, og har et høyere risikoinnhold enn ved eksempelvis betalingskort. Selv om det for de store betalingsoverføringene kan være særskilte sikkerhetsrutiner som må følges, er beløpsrammene for betalingsoverføringer som oftest større for nettbank enn for betalingskort. 33 I praksis har dette også vist seg å være en reell risikofaktor. I Bankklagenemndas saker BKN-07015 og BKN-07016 hadde en kunde tastet feil ved overføring av 500.000 kroner, og nemnda kom til at pengene ikke kunne kreves erstattet av banken. Etter at banknæringen innførte nye kontrollrutiner, se punkt 1.3 foran, er det imidlertid forholdsvis usannsynlig at lignende tilfeller vil oppstå igjen, da det her – fra bankens side – var hevdet at kunden hadde tastet et nummer for mye som ikke var blitt oppdaget av nettbanksystemet. Denne saken er nå for så vidt forlikt mellom partene, og kunden fikk tilbakeført det omtvistede beløpet. Banken erkjente imidlertid ikke ansvar og forliket har slik sett begrenset rettskildemessig verdi.

Tastefeil som overses av kunden i den videre behandlingen av betalingsoppdraget vil med sikkerhet alltid kunne forekomme på grunn av det meget store antallet nettbanktransaksjoner. 34 Et annet spørsmål er hvorvidt risikoen for slike feil manifesterer seg i et økonomisk tap for kunden. For det første skal det visstnok være svært vanskelig å «treffe» et reelt kontonummer ved feiltasting.

For det andre er det hovedsakelig overføringer til privatpersoner eller mindre foretak som kan lede til slike tap. Ved regningsbetaling til større foretak stiller som oftest kreditor krav om at kunden også taster inn et KID-nummer. Dette nummeret er knyttet opp mot kundens gjeldsforhold til foretaket. Det er imidlertid ikke en forutsetning at kunden taster inn riktig kontonummer. Slik sett kan det forekomme feiloverføringer i disse tilfellene. Likevel er ikke risikoen for at slike transaksjoner medfører tap for kunden særlig stor, ca. 10 prosent sannsynlighet er prognosen fra næringen. For at en betalingsoverføring med påført KID-nummer skal kunne gå igjennom, er det en forutsetning at oppført mottaker kan motta transaksjoner med KID-nummer. Dette vil si at alle privatpersoner er unntatt, samt visse foretak. 35 Kunden vil i disse tilfellene få en feilmelding og transaksjonen gjennomføres ikke. Dersom kunden skulle taste kontonummer til en mottaker som kan motta KID-transaksjoner, må det dessuten legges til grunn at det ikke vil være vanskelig å kreve pengene tilbake igjen. Her må det for øvrig gjøres unntak mot kredittkortselskapene hvor feilaktig innbetaling kan godskrives en kredittkortkundes saldo. Det må uansett kunne legges til grunn at det kun er et begrenset antall overføringer som kan lede til økonomisk tap dersom kunden gjør en feil ved inntasting av betalingsinformasjon. Utslaget for den enkelte kan imidlertid være meget alvorlig dersom det først gjøres en feil som ikke blir oppdaget før betalingsoppdraget iverksettes.

For det tredje vil slike saker bare komme på spissen så sant innehaver av kontoen som pengene kommer inn på faktisk bruker pengene og ikke vil eller kan tilbakebetale beløpet. Dette vil som oftest være tilfelle dersom det dreier seg om privatpersoner. I tilfeller ved feiloverføringer til større foretak vil nok tilbakebetaling kunne skje i langt større grad.

For det fjerde vil kunden og bankinstitusjonen kunne komme til enighet angående det aktuelle tapet. Det nevnes i denne sammenheng at saken vedrørende overføring av 500.000 kroner ble forlikt mellom partene.

Det bør for øvrig også her nevnes at kunden feilaktig kan bli tilsendt en regning flere ganger, enten i papirformat eller som eFaktura. Selv om dette normalt sett vil bli rettet opp i, enten av Posten eller kreditor, er det en risiko for at kunden ikke får pengene tilbakebetalt.

Feiloverføringer er dessuten forsøkt eliminert gjennom flere tiltak. Banknæringen nedsatte, som nevnt i avsnitt 1.3 foran, en arbeidsgruppe som skulle se på tiltak for å øke tryggheten for at brukeren ikke utfører utilsiktede betalingsoverføringer. For å øke kundenes trygghet, ble det blant annet stilt krav om at det skulle gis feilmelding dersom det ble tastet inn for mange sifre, klart skille mellom kroner og øre, krav om at kunden aktivt tar stilling til informasjonen i kontrollbildet før vedkommende kan gå videre og betalingen blir iverksatt. Videre ble det foreslått at nettbankene som standard har en beløpsgrense per transaksjon og/eller for transaksjonsbeløp innen en periode. Dette er på nåværende tidspunkt gjennomført for samtlige nettbanktjenester.

De nevnte sikringstiltakene må også sees i sammenheng med avsnitt 5.6 nedenfor om misbruk fra tredjemann. Tiltakene som er foreslått, tilrettelegger for en prosess som krever mer bevisst brukerinteraksjon og som gjør det vanskeligere for svindlere å overta. Her kommer for øvrig avveiningen sikkerhet versus brukervennlighet inn. Dette temaet har imidlertid ikke Banklovkommisjonen funnet hensiktsmessig å drøfte nærmere i denne utredningen, men sikkerhetsprosedyrer er vektlagt i den nærmere utformingen av regelverket, jf. særlig avsnitt 6.3.2 nedenfor om vurderingen av om kunden har opptrådt grovt uaktsomt eller ikke.

Det bør også nevnes at det er tenkelig at bankenes nettbanktjenester vil kunne utbygges for å gjøre det sikrere for kunden. Banklovkommisjonen har funnet grunn til å nevne at et kontrollsystem hvor navn sjekkes opp mot kontonummer kan være aktuelt, jf. for så vidt noe av den diskusjonen som var oppe i forbindelse med forslaget om såkalt kontonummerportabilitet, uten at Banklovkommisjonen finner grunn til å gå nærmere inn på dette. Et slikt system vil kunne redusere risikoen for utilsiktede transaksjoner. Ordningen kunne vært lagt opp på den måten at betalingsmottakers bankinstitusjon kryssjekker navn og kontonummer. Det nevnes i denne sammenheng at bankene gir mottaker av pengene beskjed om hvem de kom fra, jf. for så vidt finansavtaleloven § 30 tredje ledd annet punktum og avsnitt 2.3.1 foran. Slik sett må det legges til grunn at bankene har en viss kommunikasjon seg imellom, og at dette eventuelt kunne utbygges til en kontroll av det nærmere innhold av betalingsoverføringen. Dette vil imidlertid kunne skape problemer i forhold til eventuelle betalingsfrister, men også i forhold til taushetsregler og personvern uten at Banklovkommisjonen finner grunn til å gå nærmere inn på dette. Dersom kunden for eksempel har tastet riktig kontonummer, men uriktig navn, vil ikke den tilsiktede transaksjonen bli oppfylt innen fastsatt frist. En slik ordning vil også kunne reise særskilte problemer og avgrensningsspørsmål bankene imellom. Det nevnes også at risikoen for at det gjøres feiloverføringer bare reduseres i en slik ordning. Risikoen for at kunden likevel går frem på en måte som medfører at det foretas en feil betalingsoverføring, vil alltid kunne ligge der, så lenge det er kunden selv som iverksetter betalingsoverføringen.

Uavhengig av de tiltakene som er iverksatt av næringen eller som kan tenkes iverksatt, er Banklovkommisjonen derfor av den oppfatning at det uansett foreligger en reell mulighet for tapssituasjoner som er foranlediget av forhold på kundens side, noe som i sin tur kan utgjøre store utslag på dennes økonomi. Betalingsoverføringer som gjennomføres av kunden selv gjennom nettbaserte betalingstjenester, innebærer at kunden må forholde seg til flere viktige elementer på egenhånd uten hjelp fra bankfunksjonærer eller lignende. I denne forbindelse vil det med sikkerhet oppstå et stort antall feil fra kundens side, som for eksempel inntasting av feil kontonummer eller beløp uten at dette oppdages før betalingsoppdraget iverksettes. Ved slike feil, kan det ikke utelukkes at kunden faktisk treffer et gyldig kontonummer, at mottaker urettmessig bruker pengene og at institusjonen ikke er villig til å inngå et forlik om den omtvistede disposisjonen. Etter Banklovkommisjonens mening må det være tilstrekkelig at det faktisk foreligger en risiko for tap ved egne feil, om enn liten ut fra dagens sikringstiltak, til at man vurderer tiltak som tar sikte på å redusere konsekvensene for den enkelte av slike tap. Den videre behovsvurderingen av om det bør innføres et særskilt regelsett for de nettbaserte betalingstjenestene, er gitt i avsnitt 6.1.3 nedenfor.

5.4.2 Telefonbank

I forhold til telefonbank og oppståtte tapssituasjoner som er foranlediget av forhold på kundens side, er det ikke like nødvendig å skille mellom telegiro og mobilbank. Det er særlig feiloverføringer som er aktuelle i denne sammenheng, og det vil i stor grad bero på kundens håndtering av telefonen, enten det dreier seg om en mobiltelefon eller vanlig hustelefon. Det bør for øvrig sies at hustelefon og mobiltelefon har langt mindre taster enn datamaskiner. Muligheten for å taste feil er slik sett større for disse telefonapparatene.

Ved overføringer ved hjelp av telegiro (enten ved bruk av mobiltelefon eller hustelefon), er betalingsoppdrag imidlertid gjenstand for en bekreftelse på auditiv opplesning av hva kunden har tastet. Ved mobilbank er det en visuell bekreftelse som må gjøres. Det legges til grunn at det er enklere for kunden å forsikre seg om at det er inntastet riktig informasjon som følge av auditiv bekreftelse over telefon enn visuell bekreftelse på et forholdsvis lite skjermbilde. Slik sett er det nærliggende å anta at det er en større risiko for feiloverføringer ved bruk av mobilbank, særlig som følge av sammenhengen mellom inntasting via små taster og visuell bekreftelse på et forholdsvis lite format. Når det gjelder sikkerheten i forbindelse med selve innloggingen på mobilbank, nevnes det for øvrig at denne er bedret som følge av innføringen av BankID, jf. avsnitt 5.2.2 foran.

5.5 Ansvarsregulering ved kundens egne feil

5.5.1 Innledning

Drøftelsen i avsnitt 5.4 foran, viser at det eksisterer risikofaktorer av varierende karakter og omfang ved bruk av nettbaserte betalingstjenester. Slike risikofaktorer kan imidlertid til dels bøtes på ved nærmere bestemte ansvarsregler mellom kunde og institusjon som regulerer de tapssituasjoner som måtte oppstå ved bruk av slike overføringsmekanismer. I det følgende redegjøres det for nåværende ansvarsregulering mellom kunde og institusjon dersom det skulle oppstå tap som er foranlediget av kundens feilbruk av en nettbasert betalingsbetalingstjeneste. Det er tatt utgangspunkt i kontoavtalen mellom kunden og institusjonen, se avsnitt 5.5.2 nedenfor.

Når det gjelder aktuell lovgivning i forhold til en ansvarsregulering mellom kunde og institusjon ved bruk av nettbaserte betalingstjenester, må det først og fremst sees hen til finansavtaleloven. Aktuelle bestemmelser i denne loven er gjennomgått i kapittel 2 foran, slik at drøftelsen i avsnitt 5.5.3 nedenfor i stor grad er knyttet opp mot dette kapitlet. Visse bestemmelser i ehandelsloven og betalingssystemloven er imidlertid også av interesse, se avsnitt 5.5.4 og 5.5.5. I avsnitt 5.7 og 5.8 er andre aktuelle rettsregler og rettsprinsipper gjennomgått.

5.5.2 Kontoavtalen

Kontoavtalen mellom kunden og institusjonen er i stor grad et kompromiss mellom representanter for institusjonene på den ene siden og representanter for forbrukerne på den andre siden. Etter at Banklovkommisjonen avga sin Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) som ledet til finansavtaleloven, er det imidlertid fastsatt en rekke lovmessige minimumskrav som er inntatt i de nåværende kontoavtalene. Disponering av nettbankkonto er ofte undergitt særlige avtalevilkår som er underordnet hoveddokumentet om kontohold. Benevnelsen «kontoavtalen» skal i det følgende anses å omfatte alle avtalevilkår som har betydning for bruk av nettbanktjenesten, enten de fremgår av de særlige eller av de generelle vilkårene.

Banklovkommisjonens gjennomgang av flere kontoavtaler, etterlater det inntrykk at avtalene ikke går noe lenger enn de lovfastsatte kravene, selv om avtalenes ordlyd kan være mer konkret enn lovbestemmelsene. Det nevnes at kontoavtalene om nettbetaling omfatter betalingstjenester ved bruk av et elektronisk kontaktpunkt. Slik sett er både nettbank- og telefonbanktjenesten omfattet av avtalene, noe som for så vidt er eksplisitt fastslått i flere av kontoavtalene.

Kontoavtalen inneholder først og fremst regler om kontoopprettelse, kontoinformasjon og kontroll. Det er videre gitt særlige regler om girooverføringer og betaling til og fra utlandet. Feilaktig godskrivning og belastning, samt regler om ansvar ved andres misbruk er også regulert i avtalen.

Ansvarsforholdet mellom kunde og institusjon ved oppstått tap som følge av kundens feilbruk, er imidlertid kun regulert i begrenset omfang i kontoavtalene. For de regulære girooverføringer som utføres ved hjelp av nettbaserte betalingstjenester, er det i flere av kontoavtalene for det første bestemt at beløpet overføres til oppgitt kontonummer. For det andre er det bestemt at dette også gjelder i de tilfeller oppgitt kontonummer tilhører en annen enn den mottaker som er oppgitt med navn og adresse på den nettbaserte giroblanketten. Dette er formulert som at kunden har ansvar for tap som skyldes feil registrering.

I noen kontoavtaler er det videre bestemt at institusjonen ikke er ansvarlig for tap som skyldes «ukorrekt bruk» av kunden. Som eksempel er nevnt fullmaktsoverskridelser, men det er nærliggende å anta at «ukorrekt bruk» også vil omfatte annen feilbruk av kunden. Dette må antas å kunne omfatte feiltasting av beløp eller kontonummer, uten at kunden oppdager dette før betalingsoppdraget iverksettes. Dette dekkes for så vidt av reglene angående girooverføringer som nevnt i avsnittet foran. Slike bestemmelser må videre antas å ha en side mot misbruk fra andre, og er således utdypet nærmere i avsnitt 5.7 nedenfor under temaet ansvarsregulering ved andres misbruk.

Dersom det oppstår en feil som kunden selv oppdager, er det imidlertid interessant å se på kundens mulighet til å tilbakekalle betalingsoppdraget. Kunden vil da kunne forhindre at beløpet overføres til en uvedkommende som ikke vil, eller kan, tilbakebetale beløpet. Dette er regulert både i de generelle vilkårene og de særlige vilkår som gjelder for nettbanktjenesten.

De generelle vilkårene må antas å gjelde så langt de er anvendelige for betalingsoppdrag utført gjennom nettbanktjenesten. Her er det bestemt at banken skal medvirke til kundens ønske om å tilbakekalle oppdraget, jf. for så vidt finansavtaleloven § 28 og avsnitt 2.5 foran. Det er imidlertid bestemt at betalingsoppdraget ikke kan tilbakekalles etter at det er sendt til bankenes avregningssentral for avregning bankene imellom. Betalingsoppdraget kan heller ikke tilbakekalles dersom banken etter en anmodning fra kontohaver har, eller kan anses å ha, bekreftet overfor mottaker at betalingen vil bli gjennomført.

Disse reglene må imidlertid sees i sammenheng med de særlige reglene som gjelder for bruk av nettbanktjenesten. I forhold til tilbakekall av betalingsoppdrag, er det her bestemt at dersom kontohaver ikke ønsker at banken skal gjennomføre et betalingsoppdrag, kan kontohaver til og med dagen før avtalt betalingsdag, stanse oppdraget ved bruk av funksjoner i nettbanktjenesten eller ved henvendelse til banken. Det er således ikke knyttet opp mot tidspunktet avregningssentralen mottar betalingsoppdraget. Imidlertid vil avtalt betalingsdag normalt være den dagen beløpet blir avregnet og godskrevet i mottakerens bank. Dette følger av nettbankavtalens standardvilkår om bankers behandling av oppdraget og må således anses å være i overensstemmelse med finansavtalelovens regler om frist for tilbakekall, jf. finansavtaleloven §§ 28 og 39, sml. også avtaleloven § 7 om tilbakekall av tilbud.

Dersom betalingsdagen ikke er en virkedag, skjer imidlertid belastningen førstkommende virkedag. Det bør uansett legges til grunn at kunden må melde fra om tilbakekallingen dagen før avtalt betalingsdag, selv om dette ikke er en virkedag.

5.5.3 Bestemmelser i finansavtaleloven

Finansavtaleloven § 1 gjelder for avtaler og oppdrag om finansielle tjenester med finansinstitusjoner. Slike institusjoner er nærmere definert i finansieringsvirksomhetsloven av 10. juni 1988 nr. 40 §§ 1-2 og 1-3 og omfatter blant annet banker. På nåværende tidspunkt er det kun etablerte banker som tilbyr betalingstjenester gjennom nettbaserte kommunikasjonspunkter, som Internett og telefoni. Med implementering av betalingstjenestedirektivet, er det imidlertid lagt opp til at andre foretak kan tilby slike tjenester, typisk finansieringsforetak.

I kapittel 2 er det foretatt en gjennomgang av flere bestemmelser i finansavtaleloven. I dette avsnittet gis det en oppsummering av denne gjennomgangen så langt den kan antas å ha betydning i forhold til spørsmålet om ansvarsplassering ved tap oppstått som følge av kundens egne feil i sin bruk av tjenesten. Etter finansavtaleloven § 24 første ledd er det bestemt at kontohaveren kan bruke kontoen til innskudd, uttak og betalingsoverføringer i samsvar med kontoavtalen, se også avsnitt 2.3.1 foran. En gjennomgang av kontoavtalens regler er gjennomgått i avsnitt 5.5.2 foran.

Når det gjelder tid og sted for betaling og kundens mulighet til å tilbakekalle et oppdrag dersom denne oppdager at det har skjedd en feil ved betalingsoverføringen, typisk feil mottaker eller beløp, er disse reglene nedfelt i finansavtaleloven §§ 28 og 39. Reglene er redegjort for i avsnittene 2.3.2 og 2.5 foran. Videre er det i avsnitt 5.5.2 foran redegjort for hvorledes dette er regulert etter kontoavtalens regler. Der ble det konkludert med at kunden ikke har mulighet til å tilbakekalle betalingsoppdraget så lenge dette har nådd avregningssentralen. Etter finansavtaleloven § 39 er imidlertid utgangspunktet at beløpet er godskrevet mottakerens institusjon. I nettbanksammenheng vil dette, som nevnt i avsnitt 5.5.2 foran, bety at betalingsoppdraget er sendt fra kundens bankinstitusjon til avregningssentralen for avregning av beløpet til mottakerens institusjon.

Finansavtalelovens regler om feilbelastninger av konto er heller ikke aktuell i forhold til feilbruk av kunden. Som nevnt i avsnitt 2.4. foran, gjelder denne bestemmelsen i de tilfeller hvor det er en feil fra institusjonen selv som har forårsaket belastningen. Dersom det er kunden selv som har tastet feil kontonummer eller beløp og ikke oppdaget dette før oppdraget er iverksatt, er ikke denne bestemmelsen anvendelig.

Videre har Banklovkommisjonen funnet grunn til å nevne finansavtalelovens regler om lemping, jf. lovens § 36. Her er det bestemt at kontohavers ansvar kan lempes med hensyn til blant annet manglende aktsomhet eller andre forhold på institusjonens side. Videre dersom betalingssystemet ikke oppfyller forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner. En feil fra kundens side kan i visse situasjoner hevdes å burde bli oppdaget av bankens sikkerhetsordninger. Bestemmelsen gjelder imidlertid kun for andres misbruk, og eventuell lemping av ansvar må knyttes opp til slike misbrukssituasjoner. Spørsmålet om tilfredsstillende sikkerhetsrutiner og ansvar for dette, drøftes for så vidt, i tråd med mandatets forutsetninger, i avsnitt 6.2.2 nedenfor.

Banklovkommisjonen har ellers ikke funnet grunn til å gå nærmere inn på de øvrige reglene i finansavtaleloven i dette avsnittet, men viser i stedet til gjennomgangen av aktuelle bestemmelser i loven i kapittel 2 foran.

5.5.4 Bestemmelser i ehandelsloven

Andre lovbestemmelser av betydning i forholdet mellom kunde og institusjon ved bruk av nettbaserte betalingstjenester, er blant annet gitt i lov av 23. mai 2003 nr. 35 om visse sider av elektronisk handel og andre informasjonssamfunnstjenester (ehandelsloven). Ehandelsloven gjelder for elektronisk handel og andre informasjonssamfunnstjenester og offentlige myndigheters regulering av, og kontroll med, slike tjenester, jf. lovens § 1 første ledd. En informasjonssamfunnstjeneste er definert som «enhver tjeneste som vanligvis ytes mot vederlag og som formidles elektronisk, over avstand og etter individuell anmodning fra en tjenestemottaker», jf. annet ledd bokstav a). I henhold til forarbeidene til bestemmelsen, Ot.prp. nr. 31 (2002-2003) på side 56, vil nettbanktjenester omfattes. Følgende er uttalt:

«En tjeneste er ikke formidlet elektronisk dersom innholdet er materielt selv om det innebærer bruk av elektroniske innretninger, for eksempel penge- eller billettautomater (pengesedler og togbilletter). Dette betyr bl.a. at å ta ut penger i en minibank ikke er en informasjonssamfunnstjeneste, men overføring av penger ved bruk av Internettbank vil være en slik tjeneste.»

Ehandelsloven § 11 om opplysningsplikt før elektronisk bestilling, har fastsatt bestemmelser som direkte vedrører inntastingsfeil. I henhold til bestemmelsens første ledd bokstav d), skal tjenesteyteren, før elektronisk bestilling, på en klar, forståelig og utvetydig måte gi tjenestemottakeren opplysning om «de tekniske midlene til å finne og rette inntastingsfeil før bestilling er foretatt». I forarbeidene til bestemmelsen, Ot.prp. nr. 31 (2002-2003) side 63, er det uttalt at:

«Når avtaleinngåelsen teknisk er tilrettelagt slik at mottakeren kan finne og rette feil vil mottakeren føle seg tryggere i avtalesituasjonen. Videre motvirker dette at feil oppstår og at noen blir forpliktet uten å måtte ønske dette».

Etter tredje ledd er det videre bestemt at tjenesteyteren «skal tilrettelegge den elektroniske avtaleinngåelsen slik at inntastingsfeil på en enkel måte kan oppdages og rettes før avtalen inngås». På side 63 i proposisjonen er det sagt at denne bestemmelsen er et supplement til bokstav d) og skal gjøre

«avtaleinngåelsen enklere og mer betryggende for tjenestemottakeren. Det antas at bestemmelsen kan oppfylles ved å gi tjenestemottakeren en oversikt over hva som er bestilt og hvilke opplysninger som er gitt før endelig ordre sendes til tjenesteyteren».

I forhold til de eksisterende nettbanktjenestene i markedet er situasjonen at tjenestemottakeren har tilgang til en slik oversikt. Dersom kunden legger inn et betalingsoppdrag, vil det automatisk komme opp et nytt vindu hvor kunden må bekrefte den allerede inntastede informasjon før betalingen kan bli behandlet i bankens system for betalingsoverføring. Dette var også en av anbefalingene fra Bankenes Standardiseringskontor for å øke kundenes trygghet i bruk av sine nettbankløsninger, se avsnitt 1.3 foran.

I forhold til den type feil som drøftes i denne omgang, nemlig kundens egne feil i form av særlig feiltasting uten at dette oppdages før betalingsoppdraget iverksettes, må det derfor legges til at nettbanktjenestene tilfredsstiller kravene etter ehandelsloven. Lovens § 15 om erstatnings- og straffeansvar for tjenesteytere er derfor ikke aktuelt for bankinstitusjonene som tilbyr nettbanktjenester. Utover kundefeilene kan det imidlertid ikke utelukkes at ehandelslovens regler om erstatningsansvar vil kunne komme til anvendelse. Banklovkommisjonen går imidlertid ikke nærmere inn på dette spørsmålet.

5.5.5 Bestemmelser i betalingssystemloven

Betalingssystemloven av 17. desember 1999 nr. 95 kan også være av betydning i denne sammenheng. I brev fra Justisdepartementet til Finansdepartementet av 31. oktober 2006 om sikkerhet ved bruk av nettbank, hvor det blant annet ble gitt en vurdering av spørsmålet om en mulig ansvarsbegrensning for nettbankkunder dersom det oppstår tap som følge av feil fra kundens side, uttalte departementet, på side 2, følgende:

«Vi vil anta at institusjonen etter omstendighetene for eksempel kan bli ansvarlig dersom den tilbyr et betalingssystem som ikke tilfredsstiller grunnleggende krav til sikkerhet mv. Vi viser i den forbindelse til betalingssystemloven § 3-1, som slår fast at «systemer for betalingstjenester [skal] innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas».»

Betalingssystemloven kommer blant annet til anvendelse på systemer for betalingstjenester som er basert på standardvilkår for overføring av penger fra eller mellom kundekonti i banker og finansieringsforetak når overføringene bygger på bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon utstedt til en ubestemt krets, jf. lovens § 1-1 annet ledd og kapittel 3. Loven har imidlertid ingen nærmere regulering av ansvarsforholdet mellom kunde og institusjon dersom kunden gjør en feil som leder til et økonomisk tap. I lovens § 3-1 er det for så vidt fastslått at systemer for betalingstjenester skal «innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utføring av betalingstjenester ivaretas». I dette ligger antageligvis at institusjonen etter omstendighetene kan bli ansvarlig dersom den tilbyr et betalingssystem som ikke tilfredsstiller grunnleggende krav til sikkerhet mv. Bestemmelsen kan også ha betydning i forhold til tredjemanns misbruk, men denne vinklingen er utelatt i denne sammenheng.

Feil som er gjort av kunden selv ved overføring i nettbank, kan for det første ha sitt utspring i at betalingssystemet ikke tilfredsstiller grunnleggende krav til sikkerhet. I et slikt tilfelle kan det være aktuelt å ilegge institusjonen ansvar dersom det oppstår feilbruk som systemet burde oppdaget og rettet. I henhold til lovens § 3-1 er det, som sitatet foran viser, slått fast at systemer for betalingstjenester skal innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas.

Banklovkommisjonen har i sin Utredning nr. 3 (NOU 1996: 24 Betalingssystemer m.v.) uttalt at gode kontrollrutiner er viktige for å oppnå «sikker betalingsoverføring» og for at systemet skal oppnå nødvendig tillit blant brukerne. Kontrollrutinene må være innrettet for å hindre og avsløre feil, misbruk og manipulering i systemene. Slike feilkilder er bare delvis regulert i finansavtaleloven. Dette vedrører først og fremst feil fra institusjonens side og misbruk fra tredjemenn, se finansavtaleloven kapittel 2 IV og V. Finansinstitusjonene generelt, og bankene spesielt, har inngått avtaler hvor det er fastlagt alminnelige systemkrav som dekker flere av de sentrale elementer i formålsbeskrivelsen. Det er også lagt opp til at Kredittilsynet kan gi nærmere regler om standardisering av avtaler, vilkår, tekniske forhold mv. for systemer for betalingstjenester, jf. betalingssystemloven § 3-3 første ledd annet punktum. Denne regelen ble inntatt for å sikre at alle elementene i formålsbestemmelsen dekkes på en tilfredsstillende måte. Med hjemmel i blant annet denne bestemmelsen har Kredittilsynet fastsatt en forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) av 21. mai 2003 nr. 630. Forskriften gjelder for en rekke norske finansinstitusjoner, jf. forskriften § 1. I forskriftens § 5 om sikkerhet er det bestemt at foretak som omfattes av forskriften skal

«utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. § 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk».

Videre er det bestemt at foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift, jf. forskriften § 7. De ovennevnte reglene, både i lov og forskrift viser at det stilles strenge krav til foretak som tilbyr systemer for betalingstjenester. Ved feil forårsaket av kunden selv kan det derfor statueres et erstatningsansvar for foretaket, dersom det ikke er etablert tilfredsstillende kontrollrutiner som kan oppdage slike feilkilder. Det foreligger likevel begrenset norsk rettspraksis på dette området og det er vanskelig å kunne si noe sikkert om utfallet av den enkelte sak. De nåværende tiltakene som er iverksatt av næringen, jf. avsnitt 1.3 foran, vil langt på vei hindre at det oppstår slike tilfeller og vil kunne påberopes av institusjonene i spørsmål om ansvarsplassering dersom det har oppstått et tap som følge av kundens feiltasting eller lignende. Et eventuelt ansvar vil nødvendigvis være gjenstand for flere vurderingstemaer og momenter. Det er også sannsynlig at et ansvarsgrunnlag i tillegg må forankres i hensyn som begrunner det ulovfestede objektive ansvaret, se avsnitt 5.5.7 nedenfor.

5.5.6 Øvrige bestemmelser

Banklovkommisjonen finner også grunn til å nevne avtaleloven § 32 om feilskrift ved viljeserklæringer. Bestemmelsen legger opp til at feiltakelser fra den som avgir viljeserklæringen, ikke er bundet av dets innhold dersom mottager «indsaa eller burde indse, at der forelaa en feiltagelse», jf. bestemmelsens første ledd i.f. Det kan her stilles spørsmål ved om bestemmelsen oppstiller krav til institusjoners aktpågivenhet med henhold til å oppdage eventuelle utilsiktede betalingsoppdrag fra kundens side. På den annen side må dette forhold knyttes opp mot de krav som er stilt til institusjonene i kraft av ehandelsloven, som er gjennomgått foran avsnitt 5.5.4. Etter Banklovkommisjonens oppfatning er det mye som taler for at institusjonene, ut fra de sikkerhets- og kontrolltiltak som er iverksatt i forbindelse med betalingsoverføringer, som hovedregel ikke kan sies å være i ond tro ved utilsiktet avvik i en kundes initiering av et betalingsoppdrag.

5.5.7 Alminnelige erstatningsregler

Det neste spørsmålet blir om banken kan holdes ansvarlig etter alminnelige erstatningsregler.

Det er forskjellige former for ansvarsregler som her kan tenkes å komme til anvendelse.

1) Først bør det sies at nettbanktjenesten har et preg av å være en genusvare uten at Banklovkommisjonen finner grunn til å gå nærmere inn på en slik drøftelse. For genuskjøp har det lenge vært hevdet å foreligge et kontrollansvar i forbindelse med kontraktsbrudd fra tjenesteyters side. Videre er det samme lagt til grunn i juridisk teori om betalingsformidling. I Olav Torvund, Betalingsformidling, 1993, på side 324, er følgende uttalt om ansvarsgrunnlaget for betalingsformidleren:

«I en type [betalings]tjeneste hvor man er avhengig av komplisert teknikk og sikre rutiner, og hvor tjenesteyter kontrollerer systemet, synes kontrollansvar å fremstå som en hensiktsmessig løsning. Det fokuseres mer på at den som har kontroll over systemene og rutinene har ansvaret for at disse er gode nok, enn på om noen har opptrådt uaktsomt. Risiko blir mer fremtredende enn skyld. Den vurdering som kontrollansvaret legger opp til, er mer realistisk enn et skyldansvar med omvendt bevisbyrde og strenge krav til bevis.»

Dersom dette legges til grunn, blir det neste spørsmålet hvilke omstendigheter som skal kunne frita for ansvar i forbindelse med feiltasting fra kundens side. Det er antatt at banken vil være ansvarlig for svikt i rutiner og annen teknisk svikt mv. Med andre ord vil det kunne statueres ansvar dersom banken ikke har gjort det som var mulig å gjøre for å unngå feilen. Dette er et vanskelig vurderingsspørsmål og vil bero på en rekke faktorer. Det kan hevdes at bankinstitusjonene bør foreta en forsvarlig brukertesting. Med dette menes at det er utviklet et tilfredsstillende brukergrensesnitt, det vil si at det finnes mekanismer som kontrollerer inntasting og gir feilmeldinger og advarsler dersom ikke alt ser ut til å stemme i relasjonen mellom menneske og maskin. Sentrale krav til brukergrensesnitt vil typisk gjelde:

  1. Grensesnittet skal understøtte brukeren i å utføre oppgaven.

  2. Grensesnittet skal vise tilstanden til systemet, slik at brukeren til enhver tid har oversikt over situasjonen.

  3. Kommandoer fra brukeren, som tastetrykk og inntasting, skal reduseres til et minimum og foregå mest mulig effektivt.

  4. Systemet skal detektere alle feil som er mulig å oppfange.

  5. Systemet skal redusere konsekvensen av feil. 36

Slikt brukergrensesnitt er i stor grad lagt til grunn for nettbanktjenesten, jf. også tiltakene fra næringen. Det kan imidlertid stilles spørsmål ved om inntastingsfeil er forhold som er så nærliggende ved kundens bruk av systemet at dette skal anses som en feil som på et eller annet vis bør kunne plukkes opp av systemet. For eksempel kan feil datoangivelse for belastning av oppdraget tastes inn feil. Dette kan medføre økonomisk tap for kunden, jf. avsnitt 5.4.1 foran. Her kan det tenkes at visse nettbanktjenester har forskjellige kontrollmekanismer for å oppdage utilsiktede datoangivelser, for eksempel at inntasting av årstall ett år frem i tid medfører at det kommer en melding om at betalingsoppdraget ikke skal belastes før om ett år.

Banklovkommisjonen har imidlertid ikke funnet grunn til å konkludere om kontrollansvaret vil kunne legges til grunn i de tilfeller hvor tap har oppstått som følge av feil fra kundens side. Oppfatningen synes å være at man befinner seg på et usikkert rettsområde hvor en særlig lovregulering uansett bør vurderes. En gjennomgang av øvrige aktuelle erstatningsregler er likevel hensiktsmessig for å danne seg et helhetlig bilde av rettstilstanden.

Dersom man kommer til at banken ikke kan holdes ansvarlig etter kontrollansvarsregelen, nevnes at et nærliggende spørsmål vil være om kundens ansvar skal lempes, sml. kjøpsloven § 70 annet ledd.

2) Spørsmålet er videre om tap som følge av kundens feilbruk skal bæres av institusjonen etter reglene om objektivt erstatningsansvar. Utgangspunktet er at når et selskap driver virksomhet med særlige risikoaspekter, bør selskapet dekke følgene av eventuelle tap som kan oppstå som følge av denne virksomheten. Nettbanktjenesten er et teknisk komplisert system som innebærer en risiko for at det oppstår kundefeil og økonomisk tap for denne.

I brevet fra Justisdepartementet av 31. oktober 2006 om sikkerhet ved bruk av nettbank, se avsnitt 5.5.5 foran, fastslo departementet, på side 2, at ansvar for kundens egne feil som følge av at betalingssystemet ikke tilfredsstiller grunnleggende krav til sikkerhet mv. også delvis vil

«kunne forankres ut fra de hensyn som begrunner det ulovfestede objektive ansvaret. Videre kan nok ansvar i en del tilfeller begrunnes i at institusjonen har etablert prosedyrer eller rutiner som er egnet til å misforstås av kunden. Et eksempel på det siste er Bankklagenemndas avgjørelse BKN-05087, hvor kunden hadde betalt et fakturabeløp to ganger (til et firma som senere var gått konkurs). Kunden hadde misforstått instruksjonen i telefonbanken, og belastet både sparekontoen og brukskontoen for beløpet. Bankklagenemnda kom til at banken burde dekke halve tapet, og uttalte blant annet følgende som begrunnelse for dette:

«Bankklagenemnda har gjennomgått rutinebeskrivelsen, som viser hvilke instrukser klager fikk over telefonen, og hvilke valg hun foretok. Etter nemndas oppfatning kan instruksen ikke sies å være selvforklarende på det avgjørende punkt. (...) Banken opplyser at den for en tid tilbake foretok en endring av systemet. Dette ledet til en endring av rutinen i forhold til den som tidligere gjaldt, nemlig at kunden alltid måtte taste det kontonummeret som skulle belastes. (...) Den uklarhet som er oppstått, og som er bakgrunnen for klagers handlemåte i det aktuelle tilfellet, må etter dette langt på vei sies å være skapt av banken.»

Et synspunkt som også kan statuere et objektivt ansvar for en virksomhet, i dette tilfelle for institusjoner som tilbyr nettbanktjenester, er interesseavveiningssynspunktet. Det går ut på at virksomheter som for omverden representerer en risiko eller fare, og som gir driftsherren økonomisk gevinst, selv bør bære de skadene den volder, idet disse kan inngå som en omkostning ved produksjonen. I NOU 1980: 29 Produktansvaret, blir et objektivt ansvar blant annet begrunnet på denne måten (s. 83):

«De skader som produktet måtte volde, bør anses som en normal produktkostnad som bør belastes produktet, og ikke den som tilfeldig rammes av en skade. Denne risiko blir en kostnad som må tas i betraktning ved produktets markedsføring, og den kan normalt dekkes ved forsikring og er såleis kalkulerbar».

Videre blir det ofte fremhevet at en regel om objektivt ansvar medfører at risikoen for at det oppstår et økonomisk tap legges hos den som normalt har den beste økonomiske bæreevne. I USA hevdes det ofte at en av erstatningsrettens viktigste oppgaver er å plassere risikoen hvor tapet best kan bæres («the deep pocket justification»). Dette tilsier at ansvaret i stor utstrekning legges på produsentene. Erstatningsplikten blir da en driftsomkostning som i siste omgang må bæres av virksomhetens kunder. Dette leder således frem til en pulverisering av tapet.

Muligheten til å pulverisere tapet som en omkostning i sin videre drift er således et viktig moment, se også Rt. 1992 s. 64 hvor det ble uttalt at tapet «for de få brukere som rammes katastrofalt, bør dekkes av produsenten som kan kalkulere dette som en omkostning». Overført på nettbanktjenestene, må det i denne sammenheng sies, at et eventuelt ansvar for institusjonen ved oppstått tap må bedømmes i hvert konkrete tilfelle. I tillegg vil risikoelementene ved bruk av nettbank stadig forandre seg. I den sammenheng kan det vises til produktansvarsloven av 23. desember 1988 nr. 104 § 2-1. Her er det bestemt at produsenten

«plikter å erstatte skade som hans produkt volder og som skyldes at det ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente (heretter kalt sikkerhetsmangel). Ved vurderingen av den sikkerhet som kan ventes, tas hensyn til alle forhold som har sammenheng med produktet, dets presentasjon, markedsføring og påreknelige bruk».

Det er uansett ikke like selvsagt at institusjonen skal bære hele tapet ved kundens inntastingsfeil, dersom kunden ut fra en vurdering, ikke kan sies å ha opptrådt aktsomt og varsomt nok i den videre prosesseringen av betalingsoverføringen, for eksempel ved at betalingsoverføringen er bekreftet i et nytt vindu, sml. Bankklagenemndas uttalelse i BKN-07106, samt forarbeidene til ehandelsloven § 11 nevnt i avsnitt 5.5.4 foran. Her blir spørsmålet om bankens ansvar skal nedsettes eller falle bort som følge av skadelidtes medvirkning.

På den annen side har praksis i nettbankene vist at inntastingsfeil ikke skjer i et stort omfang. Feilprosenten kan slik sett sies å være lav, men tatt i betraktning det høye antallet av nettbanktransaksjoner, er risikoen likevel klart fremtredende. Dette er et moment som ut fra en pulveriseringstankegang, kan lede til at nettbanken likevel må anses ansvarlig på objektivt grunnlag. I saken om bankkunden som feilaktig overførte 500.000 kroner til en uvedkommende, ble det inngått forlik blant annet ut fra at det nettopp dreide seg om en engangshendelse. Med de nye tiltakene som er iverksatt for å trygge sikkerheten ved bruk av nettbanktjenesten, se avsnitt 1.3 foran, er det imidlertid lite som taler for at en lignende sak med et lignende utfall vil kunne oppstå igjen. Normalavvik eller feilbruk kan likevel manifestere seg på andre måter. Det kan tenkes et mangfold av samvirkende årsaker og forhold som må vurderes i hver enkelt sak.

Ansvarsplasseringen kan i en del tilfeller bli bestemt av at institusjonen har etablert prosedyrer eller rutiner som er egnet til å misforstås av kunden, jf. også brevet fra Justisdepartementet. Et eksempel på det siste er Bankklagenemndas avgjørelse BKN-05087, hvor kunden hadde misforstått prosedyren for gjennomføring av telegirobetaling, som ledet til at kunden betalte samme fakturabeløp to ganger. Den uklarhet som var oppstått, måtte langt på vei sies å være skapt av banken. Kunden burde imidlertid ha foretatt undersøkelser da hun registrerte transaksjonene, til tross for at hun hadde fått en betalingsbekreftelse over kontofonen, ikke var gjennomført som antatt. Nemnda kom til at tapet burde deles mellom partene. Ved telefonbank, foretas kontroll med betalinger på auditiv måte, mens det ved nettbank foretas en visuell kontroll. Det vil måtte vurderes om risikoen for feilbruk er større ved auditiv enn visuell kontroll, men Bankklagenemndas avgjørelse vil ha en viss overføringsverdi for feilbruk i nettbank.

Det er videre flere momenter som er av betydning i forhold til å kunne statuere ulovfestet objektivt ansvar for bankinstitusjonen som tilbyr nettbanktjeneste. Tre av dem står mer sentralt enn andre. For det første gjelder det risikoens størrelse eller omfang; den må i vesentlig grad overstige «dagliglivets risiko». Videre at risikoen, for det andre, må være stadig og, for det tredje, typisk, se Peter Lødrup, Erstatningsrett, 1999, side 248 flg. Nyere rettspraksis synes imidlertid å legge mer vekt på risikoen for skade, enn at den skal være stadig og typisk. Derimot må det nok stilles som krav at risikoen er ekstraordinær. Skadelidte skal videre vernes mot en risiko som han ikke kunne eller burde være forberedt på eller påregne. Det er ikke tvilsomt at objektivt ansvar også kan pålegges hvor det er meget sjelden at skade inntreffer, eller hvor en slik skade ikke har inntruffet før, men at det tross alt er noe man må regne med kan skje. Det er da muligheten for at en alvorlig skade kan inntre som i hovedsak begrunner ansvaret, ikke hyppigheten av skader ved vedkommende virksomhet.

Et annet sentralt tema er at skaden må være en typisk og påregnelig (nærliggende) følge av virksomheten. Hvis den skadevoldende innretning kunne vært gjort sikrere ved enkle midler, eller hvor et annet nærliggende handlingsmønster kunne forhindret skaden, taler dette for å pålegge objektivt ansvar. Er det mulig å fjerne risikoen helt, eller å gjøre den skadevoldende innretning sikrere ved enklere midler, taler også dette for objektivt ansvar. Tankegangen er at et objektivt ansvar oppfordrer til sikkerhetstiltak – reparasjoner, inspeksjoner, tekniske forbedringer og lignende – for å hindre at skade inntrer, selv om unnlatelsen av å gjøre dette ikke kan betegnes som uaktsom. Er skaden imidlertid voldt i forbindelse med handlinger som også er foretatt i skadelidtes interesse, vil avveiningen lettere slå ut i skadevolderens favør, selv om mange av de momenter som ellers taler for et objektivt ansvar er til stede. Videre har skadelidtes forhold innflytelse på spørsmålet om det bør pålegges objektivt ansvar, også i forhold til en eventuell erstatningsutbetaling, se skadeserstatningsloven av 13. juni 1969 nr. 26 § 5-1. Aksept av risiko innebærer eksempelvis at man ikke kan vernes av det objektive ansvar når man ved sin handlemåte eller virksomhet må sies å ha akseptert den risiko som begrunner dette ansvaret.

Som gjennomgangen viser, er det mange momenter å ta hensyn til i forhold til spørsmålet om institusjonen skal kunne pålegges ansvar ved oppstått tap som følge av kundens feilbruk av nettbanktjenesten. Det er imidlertid ikke Banklovkommisjonens oppgave å komme til bestemte konklusjoner på dette området. Formålet her har vært å gi en oversikt over gjeldende rett som kan tjene som et utgangspunkt for en nærmere vurdering av lovgivningsbehovet og en vurdering av hovedelementene i en mulig ansvarsregulering i tilfelle hvor kundens handlemåte avviker fra normal opptreden i sin bruk av nettbanktjenesten.

5.6 Risiko for andres misbruk

5.6.1 Innledning

Til ethvert betalingsoverføringssystem med brukerlegitimasjon som det avgjørende tilgangskriteriet, vil det alltid foreligge en risiko for misbruk fra utenforstående. Dette forsterkes ytterligere i forhold til systemer for betalingstjenester som er tilgjengelige i åpne nettverk som for eksempel Internett. Risikoen for uautorisert bruk eller adgang er knyttet til flere forhold. Dette omfatter vanligvis hvor høy grad av sikkerhet som kreves i forhold til tilgangskontroll og pålogging (autorisasjon og autentisering), og i hvilken grad den datamaskin som anvendes mot betalingstjenesten er beskyttet (brannmur og antivirus-programmer mv.).

Erfaringene fra tilfeller med misbruk av betalingskort viser at en praktisk viktig gruppe henspeiler seg på situasjoner hvor tredjemanns tilgang til nødvendig brukerlegitimasjon kan tilbakeføres til kundens egen oppbevaring av denne legitimasjonen. Denne gruppen av tilfeller vil også være aktuell i forhold til de nettbaserte betalingstjenestene ettersom det også her kreves brukerlegitimasjon for å kunne ta i bruk tjenesten. For øvrig vil trusselbildet når det gjelder nettbank generelt sett være et annet, og det vil til enhver tid også være i endring. Anvendelsesområdet for hjemme-pc og omfanget av tjenestetilbudet fra leverandører som anvender Internett som markedsplass for sine produkter og/eller tjenester er i stadig utvikling og skaper økt risiko for nye misbruksformer. Det som benevnes som «Web 2.0», det vil si nettsteder eller -samfunn som tilrettelegger for omfattende fildeling og tilbud om nedlastbare varer og tjenester, film og streaming mv. skaper nye muligheter for datainnbrudd og misbruk.

Innenfor nettbaserte systemer, uavhengig av om det dreier seg om betalingsoverføringer, har det tradisjonelt sett vært en stor fare for at uvedkommende påfører skade ved inntrenging eller «hacking» i slike systemer. Dette har særlig manifestert seg i ødeleggelse av databasesystemer, inntrenging i systemer for å tilegne seg informasjon, for eksempel militære hemmeligheter, og spredning av informasjon eller propaganda uten at det primære målet har vært å tilegne seg en direkte økonomisk gevinst. Det kan sies at hacking og spredning av virus og annen ondsinnet koding/programvare tidligere ofte var begrenset til enkeltpersoner hvis hensikt var å oppnå status i spesielle miljøer. Med etablering av nettbaserte betalingssystemer, først og fremst ved bruk av internasjonale betalingskort ved netthandel, og nå andre nettbaserte betalingstjenester, har imidlertid det tradisjonelle bildet endret seg gradvis. Hacking foregår ofte nå i organisert form mot enkelte eller flere institusjoner samlet for å oppnå en økonomisk gevinst. 37 I takt med den teknologiske utviklingen kan det dessuten bli vanskeligere å gardere seg mot slike angrep.

Det at tredjemann skal klare å få tilgang til en nettbankkonto og på urettmessig vis disponere kontoen, har som oftest sitt utspring i en eller annen form for relasjon til kunden. Her må det skilles mellom misbruk via en kundes datamaskin og misbruk via tilegnelse av en kundes tilgangsopplysninger. Sistnevnte misbrukssituasjon dekker hacking på en kundes datamaskin eller telefon, samt de tradisjonelle formene for urettmessig tilegnelse av informasjon via innbrudd i postkasse, bopel eller lignende til kunden. Disse misbruksmulighetene henger imidlertid i stor grad sammen. Fellesnevneren er at kunden blir lurt og/eller misbrukt av en utenforstående. Trusselbildet er slik sett sammensatt, ettersom tjenesten dekker så bredt og griper inn på flere forhold i kundens private sfære. I forhold til alle former for misbruk er det bare fantasien som setter grenser for typetilfellene. Teknologien og svindlernes tilnærmingsmåter er dessuten av dynamisk karakter og legger grunnlag for stadig nye svindelmuligheter.

Det vil alltid være mulig å finne sårbarheter i sikkerhetsløsninger. Slik sett vil det også alltid foreligge en risiko for at det forekommer misbruk, enten ved at en kunde går frem på en måte som avviker fra normale prosedyrer eller fører til urettmessige transaksjoner, enten i forbindelse med oppbevaring av kode, bruk av datamaskin som ikke har oppdaterte virusprogrammer eller lignende, elektronisk kontakt med uvedkommende som forsøker å få kundens tilgangsopplysninger mv. I det følgende gjennomgås potensielle misbrukssituasjoner i forhold til både nettbank- og telefonbanktjenester.

5.6.2 Nettbank

Ettersom misbruksmulighetene er mange, har Banklovkommisjonen funnet det hensiktsmessig å oppdele beskrivelsen av risiko for andres misbruk ved bruk av nettbank. Som nevnt i avsnitt 5.6.1 foran, bunner misbruk av nettbankkonto ut i en eller annen form for relasjon til kunden. I første omgang beskrives risikoen for misbruk gjennom det som kan kalles tradisjonell fremgangsmåte. Dette dekker først og fremst falsk legitimering ved henting av sikkerhetsverktøy (koder mv.) og innbrudd i postkasse eller bopel, se punkt 1). I andre omgang beskrives de nyere og mer avanserte formene for misbruk av en kundes bankkonto. Dette kan kalles for misbruk via nettbaserte fremgangsmåter, se punkt 2). Her er det et bredt spekter av risikosituasjoner og mange tenkelige kombinasjoner av fremgangsmåter. Banklovkommisjonen nevner de som er ansett som viktigst på nåværende tidspunkt, men utelukker ikke at nye og mer effektive former vil oppstå. 38

1) Tradisjonell fremgangsmåte. Misbruk av en kundens nettbankkonto kan forekomme ved at tredjemann får tak i tilgangsopplysninger allerede før kunden selv har tatt i bruk nettbanken. Dette forutsetter for så vidt at kunden allerede har et etablert kundeforhold og konto i banken som nettbanktjenesten knyttes opp mot. I andre tilfelle, for eksempel ved de rene nettbaserte bankene, vil det jo som oftest ikke være midler på kontoen før kunden selv har tatt den i bruk. Slikt misbruk kan skje ved postinnbrudd i kundens postkasse, hvor PIN-kode sendes, og at gjerningspersonen møter opp på postkontoret og fremviser falsk legitimasjon for å få utlevert nødvendig sikkerhetsverktøy til nettbanken.

Når kunden har opprettet nettbankkonto, kan misbruk også forekomme ved postinnbrudd. Som nevnt i avsnitt 5.2.1 foran, vil engangskodeverktøyet sendes direkte til kundens bopel dersom det er utgått eller kunden har mistet det. Dette forutsetter for øvrig at gjerningspersonen urettmessig har tilegnet seg kundens PIN-kode, for eksempel ved hjelp av nettbaserte fremgangsmåter, jf. punkt 2) nedenfor.

Misbruk kan videre skje ved at tredjemann bryter seg inn i kundens bopel og tilegner seg nødvendig brukerlegitimasjon, både kode og engangskodeverktøy. Selv om det i kontoavtalene er forutsatt at kunden ikke skal notere ned sin personlige kode, herunder BankID, kan det ikke utelukkes at dette faktisk gjøres i større eller mindre grad blant dagens nettbankkunder. Dette er det også sett eksempler på i rettspraksis, jf. avsnitt 5.7.3 nedenfor.

2) Nettbasert fremgangsmåte. Misbruk kan også forekomme som følge av kundens tilknytning til Internett, herunder oppkobling direkte mot sin bank og bankkonto. Her er det mange forskjellige situasjoner som kan lede til at misbruk oppstår. Før det gis en oversikt over noen av de potensielle misbrukstilfellene, bør det sies at Internett gir store muligheter for å operere internasjonalt og under falsk identitet, slik at de potensielle farekildene ikke nødvendigvis trenger å være lokale.

En potensiell misbrukssituasjon er at tredjemenn «hacker» eller trenger seg inn i kundens datasystemer. Dette datainnbruddet innebærer at gjerningspersonen skaffer seg adgang til et datasystem hvor vedkommende ikke har rettmessig adgang. Det er flere konsekvenser av et slikt datainnbrudd. Det som er særlig aktuelt i forhold til misbruk av nettbanktjenesten er at dataene som er lagret på systemet (for eksempel nødvendige tilgangskoder mv.) blir kjent for uvedkommende. Ettersom dagens pålogging i nettbank forutsetter oppgivelse av genererte engangskoder, er ikke slike datainnbrudd like faretruende lenger. Inntrenging i systemet og overtakelse av en kundes nettbanksesjon er imidlertid en risiko. Denne form for misbruk kalles for «man-in-the-middle» og beskrives nedenfor.

Videre er det mulig å befeste kundens datamaskin med en uønsket programvare som utgir seg for noe annet, gjerne et nyttig program som i tillegg til (eller i stedet for) nyttige funksjoner inneholder programkode som gir gjerningspersonen tilgang til datamaskinen. Ved siden av nettsteder som kun er opprettet for å spre slike programvarer, har risikoen for slike virus tradisjonelt sett vært stor på pornografiske nettsteder og nettsteder for spill og gambling. Den siste tiden har imidlertid slike virus i stor grad blitt spredd via statlige og kommunale nettsteder, i tillegg til andre mer normale nettsteder, se nedenfor. Denne programvaren kan «bli med inn» i kundens sesjon med nettbanken og lede til urettmessig disponering av kundens konto (såkalt «trojansk hest»). De mest avanserte programvarene gjør det dessuten mulig for angriperen å utføre en rekke funksjoner på kundens datamaskin, for eksempel lese filer, lure til seg passord og koder, overvåke skjermbildet eller avlytte rommet med datamaskinens mikrofon. Dette er en slags spionprogramvare som uberettiget overvåker eller samler inn informasjon fra en datamaskin, jf. for så vidt beskrivelsen foran om tilfeller hvor kundens maskin blir utsatt for hacking. Ondsinnede programvarer kan også implementeres i fiktive reklamekampanjer på «chatte»-nettsteder, for eksempel MSN. 39 Slik implementering kan også gjøres i musikk- og filmfiler som ulovlig deles på Internett (piratomsetning). Slike ulovlige virksomheter er for så vidt i stor grad knyttet opp til masseutsendelse av «spam» eller «søppelpost» uten at Banklovkommisjonen finner grunn til å gå nærmere inn på dette. 40 Ellers kan det nevnes at det nylig er avslørt sikkerhetsmangler ved større online spill. Dette er såkalt «massive multiplayer online game» (MMO) hvor flere tusen personer kan spille samtidig. Svakheter i kodingen ved spillene har gjort det mulig for uvedkommende å lese vilkårlige filer på andre deltakeres datamaskiner. Dette kan omfatte sensitiv og personlig informasjon, slik som passord og kontoopplysninger. 41

Et «man-in-the-middle»-angrep er en annen form for misbrukstrussel. Dette innebærer at angriperen kan lese, redigere og modifisere beskjeder mellom to kommuniserende parter uten at noen av partene er klar over at det foregår. Dette forutsetter at angriperen har fått tilgang til kundens datasystemer og kan være en konsekvens av eksempelvis en «trojansk hest» som nevnt foran. Angriperen må få muligheten til å observere og avskjære beskjeder mellom to ofre. Overført på nettbanktjenesten vil dette si at kunden tror han sender en beskjed til banken om et konkret betalingsoppdrag. Dette oppdraget blir imidlertid modifisert før det sendes til banken. Banken mottar det modifiserte betalingsoppdraget og utfører transaksjonen i henhold til dette. Banken sender deretter beskjed tilbake til kunden som underveis blir modifisert slik at kunden tror det opprinnelige betalingsoppdraget er utført på korrekt vis. Et slikt angrep krever forholdsvis store ressurser og avanserte programvarer som kan kryptere den informasjon som sendes mellom partene meget raskt. Dette gjelder dess mer i de nettbanker hvor hver enkelt betalingsoverføring forutsetter bruk av en engangskode.

En kundes datamaskin kan videre bli manipulert av en utenforstående tredjemann slik at det gis feil oppdrag til banken (såkalt «fantomtransaksjon»). Dette kan eksempelvis manifestere seg i at kunden skriver tallet 1, men datamaskinen hans eller hennes sender tallet 2. Det kan også forekomme tilfeller hvor kundens datamaskin på egen hånd prosesserer et oppdrag til banken. Dette forutsetter for øvrig at kunden ikke har avsluttet sin sesjon med nettbanken. Så lenge kunden ikke logger ut av banken vil angriperen kunne prosessere flere oppdrag til banken, ettersom sesjonen blir ansett som aktiv og bankens sikkerhetsmekanismer for tidsavbrudd ikke aktiviseres. 42 For de nettbanktjenester hvor det må tastes inn en engangskode for hvert betalingsoppdrag, reduseres imidlertid risikoen for slikt misbruk.«Phishing» er en annen svikfull fremgangsmåte som kan medføre misbruk av en bankkonto. Slikt misbruk er blitt definert som «an attempt to criminally and fraudulently acquire sensitive information, such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic communication. eBay, PayPal and online banks are common targets. Phishing is typically carried out by email or instant messaging.» 43 Dette har særlig vært brukt i forbindelse med misbruk av betalingskort, men er også aktuelt for misbruk av nettbanktjenesten. «Phising» innebærer at tilgangsinformasjon fra kunden urettmessig tilegnes og benyttes til å disponere brukerens konto i nettbanken. For eksempel kan en bruker motta en e-post fra det som synes å være administrasjonen hos DnB NOR, 44 hvor det informeres om at det har oppstått et problem i bankens nettbankdatabase. Kunden blir bedt om å oversende sin brukerinformasjon på nytt med kode osv. Slike framgangsmåter er imidlertid blitt mindre effektive som følge av bankenes nye systemer med engangskoder (via engangskodeverktøy) som ved siden av innloggingsprosessen ofte må benyttes for registrering av hvert enkelt betalingsoppdrag.

Opprettelse av fiktive nettbankadresser kalles «website spoofing». Dette innebærer at det eksempelvis opprettes en fiktiv nettbankside som tilsvarer den virkelige nettbanksiden. Her blir kunden for eksempel bedt om å inntaste sin kode, PIN-kode eller personlig kode som ved BankID, som vanlig og deretter engangskode fra tildelt sikkerhetsverktøy. Tredjemann sitter et annet sted på bankens vanlige hjemmeside og taster inn kodene som brukeren avgir til vedkommende. Engangskoder som mottas per sms kan slik sett anses som en mer betryggende inngangsprosedyre siden dette er en engangskode som avløses ved at brukeren logger seg inn på bankens faktiske hjemmeside. Tredjemann kan imidlertid, gjennom ondsinnede programvarer ha muligheten til å overvåke en kundes mobiltelefontrafikk, slik at utsendelse av slike engangskoder også kan tilegnes på urettmessig vis. Risikoen her vil variere alt etter hva slags mobiltelefon som kunden bruker og sikkerhetsprogrammer som er installert i telefonen, jf. avsnitt 5.6.3 nedenfor.

Som følge av de risikoelementene som eksisterer i forhold til bruk av nettbank, tilbyr mange av bankene gratis antivirus- og brannmurprogramvare til sine kunder. Det oppfordres også til at brukerne oppdaterer sine nettlesere og undersøker om leverandøren til brukers operativsystem har lagt til rette for sikkerhetsoppdateringer, se avsnitt 5.7.2 nedenfor.

5.6.3 Telefonbank

I forhold til telefonbanktjenesten, gjelder mange av de samme risikoelementene. Det må her skilles mellom telegiro og mobilbank. Telegiro er ikke knyttet opp til Internett som mobilbank, og er ikke utsatt for de trusler som er gjennomgått under punkt 2) i avsnitt 5.6.2 foran. Telegiro, enten dette brukes fra fasttelefon eller mobiltelefon, er likevel knyttet opp til et telefonnettverk som tredjemann på urettmessig vis kan få tilgang til. I et leilighetskompleks bestående av en rekke fasttelefoner, vil «sistemann» på telefonleddet som går gjennom leilighetene med forholdsvis enkle ressurser ha mulighet til å avlytte samtalene og/eller identifisere tastetrykkene på telefonen.

For mobilbank foreligger det en utpreget risiko for at det oppstår misbruk. Som nevnt er mobilbank knyttet opp mot Internett slik at mange av de gjennomgåtte nettbaserte truslene for misbruk i forbindelse med bruk av nettbank også vil gjelde her. Risiko for slikt misbruk av mobilbank, forsterkes dessuten ved at mobiltelefoner ikke har samme velutrustede virus- og brannmurprogram som datamaskiner. En grunn til dette er at slike programmer krever stor kapasitet. Et stort antall av mobiltelefonene på markedet i dag som har tilgang til Internett har for så vidt begrenset kapasitet. Det er imidlertid utviklet nye og mer sikre systemer knyttet opp mot bruk av mobiltelefon som mobilbank, som for eksempel mobile signaturer. 45 Videre er de nye sikkerhetsrutinene som er implementert for nettbanktjenestene også langt på vei overført i forhold til bruk av telefonbank, som for eksempel engangspassord, personlig passord mv. En helgardering mot misbruk, og for så vidt systemsvikt, er imidlertid et like vanskelig – og i noen tilfeller – et vanskeligere tema for telefonbank enn for nettbank. Det er dessuten grunn til å tro at det vil bli flere og hyppigere angrep mot denne plattformen fremover i takt med utvidelsen av tjenestetilbudet.

5.7 Ansvarsregulering ved andres ­misbruk

5.7.1 Innledning

Når det gjelder misbruk via en kundes datamaskin eller telefon, synes det å være et naturlig utgangspunkt at kunden identifiseres med sin egen datamaskin. Slik sett kan det hevdes at tredjemanns misbruk via en kundes datamaskin eller telefon i utgangspunktet er et forhold som kunden selv må lastes for, jf. alminnelige erstatningsregler. Her må det imidlertid tas hensyn til gjeldende ansvarsregulering i kontoavtalen og lovgivning, først og fremst finansavtaleloven, ved andres misbruk, jf avsnittene 5.7.2. og 5.7.3 nedenfor.

Det er særlig finansavtaleloven § 34 første ledd som danner utgangspunkt for denne reguleringen og selv om bestemmelsen er gjennomgått i avsnitt 2.6.2 foran, har Banklovkommisjonen ansett det hensiktsmessig å gjengi den her:

« § 34. Misbruk av konto m.v.

(1) Kontohaveren er ikke ansvarlig for andres urettmessige uttak eller annen belastning med mindre den som har foretatt disposisjonen, har legitimert seg i samsvar med reglene i kontoavtalen, og belastningen har vært mulig som følge av forsett eller grov uaktsomhet fra kontohaveren eller fra noen som etter kontoavtalen har rett til å belaste kontoen.»

5.7.2 Kontoavtalen

Når det gjelder misbruk av konto, tilsvarer kontoavtalenes bestemmelser langt på vei finansavtale­lovens regler, herunder særlig kapittel 2 V §§ 34 flg. om andres misbruk av konto og betalingsinstrument. En fremstiling av lovens § 34 er gitt i avsnitt 2.6.2 foran. I kontoavtalene er imidlertid visse forhold av betydning for ansvarsvurderingen etter bestemmelsen konkretisert. Det er eksempelvis fastslått at kunden er ansvarlig for at ikke uvedkommende får kjennskap til passordet. Videre at dersom det er benyttet korrekt passord, vil det bli lagt til grunn at det er kunden som har benyttet tjenestene. Dette er forhold som er klarlagt gjennom forarbeider og rettspraksis, men er likevel inntatt i mange av kontoavtalene.

I noen kontoavtaler er det også bestemt at institusjonen ikke er ansvarlig for tap som skyldes «ukorrekt bruk» hos kunden. Som eksempel er nevnt fullmaktsoverskridelser, men det er nærliggende å anta at «ukorrekt bruk» også vil kunne omfatte annen feilbruk hos kunden, som for eksempel at det ikke er installert tilfredsstillende sikkerhetsprogram på datamaskin som kunden benytter til å foreta betalingsoverføringer via nettbanktjenesten med.

Krav om slike sikkerhetsinnstillinger er for så vidt som oftest indirekte fastslått i de fleste kontoavtalene. I noen kontoavtaler er det bestemt at kunden har ansvar for at datautstyr, programmer og nett til enhver tid tilfredsstiller de krav som stilles av institusjonens bruk av tjenesten. Dette gjelder blant annet at kunden installerer den antivirus- og brannmurprogramvare som følger med datamaskinen eller som leveres av kundens internettleverandør, og at programvaren oppdateres jevnlig. Videre er det gitt retningslinjer for hvilken nettleser og operativsystem som bør benyttes. Det er ingen absolutte regler, men kontoavtalene viser at dette er forhold som vil kunne bli vektlagt dersom det forekommer tap som er forårsaket av at betalingen ikke blir foretatt i henhold til kundens forutsetninger. Slike vurderinger vil også kunne spille inn i forhold til misbruk av kontoen og spørsmålet om kunden har opptrådt grovt uaktsom, se særlig avsnitt 6.3.2 nedenfor.

5.7.3 Bestemmelser i finansavtaleloven

I finansavtalelovens kapittel 2 V er det fastsatt flere bestemmelser som vedrører misbruk av konto. Dette omfatter hovedregelen i lovens § 34 og de særlige reglene som gjelder for betalingskort i § 35. Det er videre gitt regler om lemping av kontohavers ansvar og tilbakeføring av beløp, jf. finansavtaleloven §§ 36 og 37. Disse bestemmelsene er det redegjort for i avsnitt 2.6 foran. I forhold til det materielle innhold og Banklovkommisjonen og departementets merknader til de enkelte bestemmelsene, vises det til denne fremstillingen. Banklovkommisjonen har likevel funnet grunn til å drøfte hvordan misbruksreglene har fungert i praksis, med særlig henblikk på de nettbaserte betalingstjenestene.

Hovedregelen i finansavtaleloven innebærer at så lenge kontohaveren ikke har utvist grov uaktsomhet eller forsett, kan ikke kontohaveren holdes ansvarlig for urettmessige belastninger, sml. også avtaleloven §§ 28-31 om ugyldige viljeserklæringer i forhold til svik mv. Lavere grad av uaktsomhet fører således ikke til økonomisk ansvar for kontohaver. Det at en utenforstående legitimerer seg i samsvar med kontoavtalen, vil imidlertid gi et holdepunkt for å hevde at kontohaveren ikke har opptrådt tilstrekkelig aktsomt. Her vil man kunne komme opp i situasjoner hvor kontohaveren hevder at for eksempel PIN-koden har vært betryggende oppbevart, mens institusjonen vil hevde noe annet. Man har imidlertid ikke funnet grunn til å gå så langt som å innføre en særskilt bevisbyrde­regel for institusjonen. Det er ellers forutsatt at det må påligge institusjonen å sikre beviset for at vedkommende har legitimert seg i samsvar med avtalen, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 143. Videre er prosessbyrden lagt på institusjonen. Dette innebærer at institusjonen uten videre vil ha plikt til å tilbakeføre beløpet. Institusjonen kan bare fri seg fra denne plikten ved å bringe saken inn for nemnd- eller domstolsbehandling. Dersom saken blir avvist fra nemndbehandling, inntrer plikten til tilbakeføring på ny. I det følgende gjennomgås noen relevante saker fra Bankklagenemnda i forhold til misbruk av nettbanktjenesten. Det vises for øvrig til avsnitt 6.3.2 punkt 2) nedenfor.

I sak BKN-04132 hadde kontohaver, en skole, hatt innbrudd i sine lokaler. Kontohaver opplyste å ha oppbevart en personlig kode og et sikkerhetskort sammen i et låst arkivskap, som ble brutt opp. Skolens konto ble misbrukt for til sammen 23.000 kroner ved overføringer i nettbank. Nemnda antok at misbruket enkelt kunne ha vært forhindret, ved at koden og sikkerhetskortet hadde vært oppbevart atskilt. Nemnda kom til at misbruket var muliggjort ved grov uaktsomhet og at kontohaver kunne holdes ansvarlig, jf. finansavtaleloven § 34.

Bankklagenemnda kom i sak BKN-04098 til samme resultat hvor en menighets nettbankkonto ble misbrukt som følge av innbrudd og tilegnelse av kode og sikkerhetskort som var oppbevart sammen i et pengeskrin.

I BKN-07044 hadde kontohavers datter urettmessig overført 100.000 kroner fra kontohavers brukskonto til sin egen konto via nettbank. Det var etter nemndas oppfatning ikke grunn til å kritisere kontohaver for å ha oppbevart sikkerhetskortet i en skuff i sin stue. Det var heller ikke grunnlag for å kritisere kontohaver for å ha en telefon som har en funksjonalitet der man kan bla i tidligere inntastede siffer. Nemnda fant det klart at kontohaver ikke hadde muliggjort misbruket av kontoen ved grov uaktsomhet, slik banken fremholdt. Kontohaver ble derfor ikke holdt ansvarlig for det tapte beløpet.

I BKN-07150 hadde kontohavers sønn misbrukt kontohavers konto i innklagede bank ved to nettbankoverføringer på til sammen 12.500 kroner til sin konto i en annen bank. Nemnda la til grunn at sønnen måtte ha hatt kjennskap til kontohavers personlige kode, samt hatt kodebrikken. Det var uavklart hvorledes kontohaver hadde oppbevart koden. Nemnda viste imidlertid til at sønnen hadde utvist et forbrytersk forsett, og bedratt sin mor på en utspekulert måte, og kom til at misbruket ikke var muliggjort ved grov uaktsomhet. Banken kunne derfor ikke holde kontohaver ansvarlig for beløpet etter finansavtaleloven § 34.

Ansvaret for kunden er begrenset til disponibelt beløp på kontoen på belastningstidspunktet, jf. finansavtaleloven § 34 annet ledd første punktum. Dette er for øvrig ikke et like relevant tema i forhold til urettmessig belastning av konto i nettbank. Dersom en uvedkommende ved hjelp av kundens brukeridentifikasjon kommer seg inn på vedkommendes nettbankkonto, kan jo denne disponere kontoen som om den var kundens egen konto. For noen banker er det for øvrig nå innført krav om inntasting av engangskode per utført transaksjon. Bankene har videre innført beløpsbegrensninger for overføringer via nettbank, se Bankenes Standardiseringskontors anbefaling nr. 8 og avsnitt 1.3 foran. Slik sett vil misbruket kun beløpe seg til de til enhver tid gjeldende overføringsbegrensninger i vedkommende bank. I visse tilfeller kan imidlertid grensen settes høyere, noe som av og til kun fordrer at man besitter den nødvendige brukerlegitimasjon, se avsnitt 6.2.3 nedenfor.

Begrensningen til disponibelt beløp gjelder for så vidt ikke dersom kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, har medvirket forsettlig til at vedkommende kunne legitimere seg, jf. finansavtaleloven § 34 annet ledd siste punktum. Som følge av at disponibelt beløp kan bestemmes av vedkommende som besitter nødvendig brukerlegitimasjon, er imidlertid ikke denne regelen like aktuell.

Når det gjelder betydningen av at kontohaveren varsler om andres urettmessig bruk, vises det til avsnitt 2.6.2 foran.

Fotnoter

1.

Utarbeidet av Sparebankforeningen og Finansnæringens Hovedorganisasjon.

2.

Norges Banks årsrapport om betalingssystem 2007.

3.

Det forutsettes i denne sammenheng at det ikke dreier seg om personer som etter kundens kontoavtale har rett til å belaste kontoen, jf. finansavtaleloven § 34 første ledd in fine.

4.

Norges Banks årsrapport om betalingssystem 2007 side 45.

5.

Se også NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.2.4.

6.

Norges Banks årsrapport om betalingssystem 2007.

7.

Norges Banks årsrapport om betalingssystem 2007 side 46.

8.

Jf. NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.2.4.

9.

Se Banklovkommisjonens utredning nr. 17 (NOU 2007: 5) Frarådingsplikt i kredittkjøp avsnitt 5.3.1 om en vurdering av slike avtaler.

10.

Norges Banks årsrapport om betalingssystem 2007.

11.

I oppgjøret av internasjonale betalingskortene involveres langt flere aktører. Det har særlig blitt stilt spørsmålstegn ved de ulike formidlingsgebyrene. I desember 2007 vedtok for så vidt EU-kommisjonen at MasterCard ikke kan kreve formidlingsgebyr på grensekryssende betalinger innenfor EØS-området. I mars 2008 åpnet EU-kommisjonen også en sak mot VISA Europa. Finansdepartementet har ellers bedt Konkurransetilsynet i Norge om å vurdere formidlingsgebyret og brukerstedsgebyrene etter konkurranseloven.

12.

Med unntak av VISA Electron.

13.

Når det gjelder handel over Internett, nevner Banklovkommisjonen at tjenestene «BankAxess» og «Verified by Visa» reduserer risikoen for andres misbruk betydelig, se avsnitt 4.2.2. og 4.2.3 foran.

14.

Norges Banks årsrapport om betalingssystem 2007 side 8.

15.

Norges Banks årsrapport om betalingssystem 2007 side 8.

16.

Som utgangspunkt ligger imidlertid standardiserte kontoavtaler som er utarbeidet av de sentrale interesseorganisasjonene Sparebankforeningen og Finansnæringens Hovedorganisasjon.

17.

NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.2.2.

18.

Sparebankforeningens Nettbankundersøkelse 2008 side 5.

19.

Sparebankforeningens Nettbankundersøkelse 2008 side 15.

20.

Sparebankforeningens Nettbankundersøkelse 2008 side 15.

21.

Se også pressemelding fra Fornyings- og administrasjonsdepartementet av 3. april 2008 hvor det fremgår at Regjeringen har besluttet å opprette en offentlig infrastruktur – et samtrafikknav – for elektronisk ID. Beslutningen innebærer at man «i fremtiden kan benytte samme eID på flere offentlige elektroniske tjenester, at tjenestene blir flere og mer avanserte og at dagens pinkodekaos går mot slutten».

22.

Sparebankforeningens Nettbankundersøkelse 2008 og artikkel fra BankID.no.

23.

Søknaden legger også til rette for å kunne bestille BankAxess, som gir kunden mulighet til å betale direkte fra kontoen når han eller hun handler på nettet. Dette går ikke Banklovkommisjonen nærmere inn på.

24.

Ved utgangen av 2007 var det inngått ca. 3 millioner avtaler om slik elektronisk faktura. Det er en økning på ca. 1 million eFaktura-avtaler siden 2006.

25.

Norges Banks årsrapport om betalingssystem for 2007 side 46.

26.

I 2006 hadde 93 prosent av husholdningene mobiltelefon i Norge, jf. NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.2.3.

27.

Den er for øvrig kontobasert via en mellomavregningssentral uten at Banklovkommisjonen finner grunn til å gå nærmere inn på dette.

28.

Det samme vil kunne tenkes å gjelde for klokker, forskjellige slags personlige kort mv. Dette systemet gjelder for eksempel for kortbrikkene ved innkjøring gjennom bomstasjoner på veiene.

29.

Årsrapporten 2007 side 10.

30.

I denne sammenheng nevnes at en forskergruppe ved Universitet i Bergen nylig klarte å bryte seg inn i to nettbanker som bruker BankID som elektronisk signatur og identifikasjon, se Aftenposten side 7, tirsdag 26. februar 2008.

31.

Norges Banks årsrapport om betalingssystem 2007 side 10.

32.

Det vises for så vidt til det utredningsarbeidet arbeidsgruppen for gjennomføring av betalingstjenestedirektivet er forutsatt å nedlegge, jf. avsnitt 1.2 foran.

33.

Det vises for øvrig til avsnitt 6.2.3 nedenfor om beløpsgrenser ved bruk av nettbanktjenesten.

34.

Banklovkommisjonen er kjent med en rapport av professor Kai A. Olsen fra Høgskolen i Molde med tittel «Inntasting i nettbank». Denne rapporten viser at feiltasting er en faktisk risikofaktor ved regningsbetaling i nettbank.

35.

For å kunne anvende KID i betalingsoverføringen, må betalingsmottaker ha inngått en såkalt OCR-avtale med banken sin. Om mottaker er liten eller stor er i denne sammenheng ikke alltid relevant. For eksempel vil en idrettsforening med mange medlemmer kunne ha behov for en OCR-konto for å skille innbetalte medlemskontingenter og treningsavgifter fra hverandre ved bruk av ordningen med KID.

36.

Jf. rapport fra professor Kai A. Olsen fra Høgskolen i Molde: «Inntasting i nettbank» side 7.

37.

Det nevnes for eksempel det antatte datainnbruddet mot Best Western i slutten av august 2008, hvor man frykter at kredittinformasjon til flere tusen kredittkortkunder er kommet på avveie og solgt til kriminelle nettverk. Dette medførte at et stort antall kredittkort ble sperret av de berørte kredittkortselskapene.

38.

For en bredere redegjørelse av dette temaet, viser Banklovkommisjonen til utredning fra Datakrimutvalget i NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.4 følgende.

39.

Se artikkel på vg.no av 27. august 2008 med overskrift «Trojaner på MSN.no».

40.

Se ellers NOU 2007: 2 Lovtiltak mot datakriminalitet avsnitt 3.6.

41.

Undersøkelsen og oppdagelsen ble utført av Independent Security Evaluators (ISE) i august 2008, se securityevaluators.com.

42.

Mekanismene for tidsavbrudd varierer fra bank til bank.

43.

Wikipedia.org.

44.

For å hindre at mottakeren kan undersøke hvem som er den egentlige avsender benyttes en teknikk som kalles «e-mail spoofing» hvor adressen til senderen og emne-feltet synes å komme fra eksempelvis DnB NOR, se også artikkel fra nordlys.no av 10. april 2008 med tittel ««Avsatte» Nordlys-redaktør».

45.

Dette systemet er basert på ETSI-MSS-standardene og er designet for bruk på mobiltelefon.

Til forsiden