NOU 2008: 21

Nettbankbasert betalingsoverføring— Utredning nr. 21 fra Banklovkommisjonen

Til innholdsfortegnelse

Del 3
Et nytt regelverk

6 Nytt regelverk for nettbasert betalingsoverføring

6.1 Vurdering av reglene for nett­basert betalingsoverføring

6.1.1 Tapssituasjoner som følge av kundens egne feil

Det er foran i avsnitt 5.5 gitt en beskrivelse av gjeldende ansvarsregulering mellom kunden og institusjonen dersom det oppstår utilsiktede eller feilaktige nettbaserte betalingsoverføringer og tapssituasjoner som følge av kundens feilbruk. Som det der fremgår, har ikke finansavtaleloven egne bestemmelser om ansvarsreguleringen når det gjelder slike tilfeller. Reglene i finansavtaleloven § 34 gjelder bare andres misbruk av bankkonto. Oversikten foran tar utgangspunkt i kontoavtalen mellom kunden og institusjonen, samt relevante lovbestemmelser og alminnelige erstatningsregler.

Kontoavtalene bygger i stor grad på gjeldende lovgivning, først og fremst finansavtaleloven, men det er på visse punkter inntatt bestemmelser som konkretiserer forhold som blant annet er fastlagt i rettspraksis. Når det gjelder feiltasting og utilsiktede betalingsoverføringer, er det fastslått at – så lenge kunden har legitimert seg i henhold til kontoavtalen – betalingsoppdragene behandles og gjennomføres i henhold til oppgitt kontonummer uavhengig om det er korrespondanse mellom kontonummer og mottakers navn. Feil registrering er således et forhold som kunden som utgangspunkt står ansvarlig for.

Fra dette utgangspunktet må det gjøres unntak for de tilfeller hvor banken kunne ha oppdaget og unngått konsekvensene av feilen, for eksempel gjennom å varsle kunden om feilen. I slike tilfeller vil banken etter alminnelige erstatningsregler kunne pålegges ansvar, jf. avsnitt 5.5.7 foran.

Heller ikke ehandelsloven gir noe klart svar i forhold til ansvarsforholdet ved egne feil fra kundens side. I ehandelsloven er det for så vidt inntatt regler om feiltasting, men gir ikke et klart svar dersom det faktisk oppstår feiloverføringer. Avtalelovens bestemmelse om feilskrift kan heller ikke anses som et godt grunnlag for å holde institusjonene ansvarlig ved feilbruk, jf. de sikkerhetstiltak og kontrollrutiner som er iverksatt av næringen, se avsnitt 5.5.6 foran.

I betalingssystemloven er det gitt regler som skal sørge for sikker og effektiv betaling. Dette må i prinsippet innebære at institusjonen kan holdes ansvarlig for økonomisk tap som er påført kunden dersom institusjonens betalingssystemer ikke tilfredsstiller de ulike kravene til sikkerheten i betalingssystemet, herunder brukersikkerhet, som loven medfører, jf. for så vidt Justisdepartementets uttalelse i brev til Finansdepartementet av 31. oktober 2006. Kredittilsynet har også fastsatt en forskrift med hjemmel i loven, se avsnitt 5.5.5 foran. Som nevnt er det imidlertid vanskelig å vurdere om feiltasting og annen feilbruk fra kundens side bør fanges opp av institusjonens påkrevde kontrollrutiner. Tiltakene som er iverksatt av næringen selv, er forhold som med styrke vil kunne bli påberopt i denne sammenheng. Etter Banklovkommisjonens oppfatning vil det på grunnlag av betalingssystemloven vanskelig kunne statueres et ansvar for institusjonene i tilfelle av feiltasting eller andre brukerfeil fra kundens side med mindre ansvaret kan grunnes på at systemets sikkerhets- eller kontrollmekanismer må anses utilstrekkelig, og burde ha vært utformet slik at de feil det gjelder burde ha vært fanget opp.

I avsnitt 5.5.7 er det redegjort for om en bank med nettbanktjeneste kan holdes ansvarlig etter alminnelige erstatningsregler i situasjoner hvor kunden gjør feil som medfører et økonomisk tap for denne. Når det gjelder spørsmålet om et eventuelt kontrollansvar, er det antatt at institusjonen må pålegges ansvar dersom den ikke har gjort det som var mulig å gjøre for å unngå feilen. Dette er imidlertid et vanskelig vurderingsspørsmål og vil bero på en rekke faktorer. Det nevnes at nettbasert betalingsoverføring utføres via til dels kompliserte og komplekse tekniske og datamessige systemer, og dette medfører at det også foreligger ulike typer av risiko for brukerfeil og misforståelser fra brukerens side, selv om det er usikkert om institusjonen kan pålegges et kontrollansvar dersom det oppstår tap i denne sammenheng. Bankene har nylig satt i verk ytterligere sikringstiltak for å redusere risikoen for brukerfeil, og økt mengden av informasjon om sikkerhets- og kontrollprosedyrer ved bruk av nettbanktjenesten, blant annet også for å påvirke kundene til å opptre med aktsomhet.

I forhold til spørsmålet om banken kan holdes ansvarlig på objektivt grunnlag, vil en rekke momenter inngå i ansvarsvurderingen, herunder prinsipper utviklet over tid i rettspraksis på erstatningsrettens område. Det foreligger imidlertid lite av rettspraksis som vedrører ansvarsforholdene ved nettbaserte betalingsoverføringer eller på nært beslektede områder. Det knytter seg derfor praktisk sett atskillig usikkerhet til hva som må antas å være rettstilstanden generelt og i enkelttilfelle på nettbankområdet.

Banklovkommisjonen mener ut fra dette at kunder i mange tilfeller ikke kan regne med å kunne kreve erstatning fra nettbanken for tap ved utilsiktede og feilaktige betalingsoverføringer som har sammenheng med bruk av feil beløp, kontonummer eller betalingsdag. Regler om objektivt ansvar må i alle tilfelle utformes med atskillig fleksibilitet slik at ansvaret i det enkelte tilfelle kan allokeres på en fornuftig og rimelig måte alt etter de bakenforliggende omstendighetene som forårsaket det aktuelle tapet. Det vises i denne forbindelse særlig til hovedprinsippene for regelsettet som er nedfelt i avsnitt 6.3 flg. nedenfor. Volumet av nettbasert betalingsoverføring har i løpet av få år vist seg å øke meget sterkt, og en meget stor del av bankkunder innenfor privatmarkedet og næringslivsmarkedet gjør regelmessig bruk av nettbaserte betalingstjenester. Finansnæringen antar også at den sterke veksten vil fortsette i de kommende år. Selv om det for tiden ikke foreligger noe tallmateriale eller andre opplysninger om feilfrekvens mv., er det Banklovkommisjonens vurdering at det foreligger et klart behov for en avklaring ved lovgivning av ansvarsforholdene ved utilsiktede betalingsoverføringer via nettbaserte betalingssystemer. Det vises også til avsnitt 6.1.3 nedenfor.

6.1.2 Tapssituasjoner som følge av andres misbruk

Foran i avsnitt 5.7 er det gitt en beskrivelse for reglene ved uvedkommendes urettmessige tilgang til og misbruk av konto. Selv om det ble forutsatt at også elektroniske betalingsinstrumenter var omfattet av bestemmelsene i finansavtaleloven § 34, ble det i loven § 35 fastsatt en særskilt ansvarsregulering for andres misbruk av betalingskort. Departementet vurderte for øvrig om det burde trekkes et skille mellom elektroniske betalingsinstrumenter på den ene side og utbetaling med manuell kontroll på den annen side. Banklovkommisjonens opplegg for ansvarsreguleringen ble imidlertid opprettholdt.

Utgangspunktet er slik sett at det i rettslig sammenheng kun skal skilles mellom betalingskortene og de øvrige betalingsinstrumentene. Dette må – i tråd med de teknologiske endringer som har skjedd de siste årene – imidlertid modifiseres noe. Selv om det kun er betalingskort som er unntatt fra den alminnelige reguleringen i finansavtaleloven § 34, taler mye for at reglene i § 34 ble utformet med sikte på de tradisjonelle betalingstjenestene, som for eksempel giro. I denne sammenheng kan det vises til forskriftshjemmelen som ble inntatt i finansavtaleloven § 35 sjette ledd om at bestemmelsen der helt eller delvis kan vedtas å gjelde også for andre typer betalingsinstrumenter. Videre var mange av de elektroniske betalingstjenestene som forelå tidligere, ikke knyttet så tett opp til en brukerlegitimasjon som betalingskortene – og nå de nettbaserte betalingstjenester. Banklovkommisjonen viser videre til Banklovkommisjonens uttalelse i Utredning nr. 1 (NOU 1994: 19 Finansavtaler og finansoppdrag) side 110, som er inntatt i avsnitt 2.6.1 foran, hvor det ble antatt at ansvar og risikovurderinger vil kunne bli «nokså ulike for instrumenter utstedt og kontrollert av institusjonen, og for hjelpemidler som betaleren selv eller en tredje part er eier av eller ansvarlig for (telefon, hjemmeterminaler m.v)».

Ut fra de risikobetraktninger som er gjort i forhold til andres misbruk av en kundes konto knyttet til nettbank og/eller telefonbank, fremstår disse nettbaserte betalingsoverføringssystemene som forholdsvis utsatte. Gjeldende ansvarsregulering som fremgår av både kontoavtalen og finansavtaleloven, etterlater også det inntrykk at kundene i flere typetilfeller vil kunne holdes ansvarlig også ved andres misbruk av kundes nettbankkonto(i). I denne forbindelse vises det også til at finansavtalelovens regel om at ansvaret ikke kan overskride belastningsgrenser, jf. lovens § 34 annet ledd annet punktum, ikke er like aktuelt for nettbanktjenesten ettersom dette i stor grad kan styres av den som får tilgang til tjenesten, herunder uvedkommende. Det vises ellers til avsnitt 2.6.2 foran.

Det bør skilles mellom de tilfeller hvor kundens konto misbrukes som følge av urettmessig tilegnelse av kode mv. uten tilknytning til kundens nettkobling og de tilfeller hvor tredjemann urettmessig skaffer seg tilgang til systemet og urettmessig foretar disposisjoner av en kundes konto enten etter å ha vært i ulike former for kontakt med kunden eller via nettverket og/eller oppkobling til kundens datamaskin eller annen nettverkstilkobling.

I de førstnevnte tilfellene vil kunden kunne holdes ansvarlig dersom kode og annen brukerlegitimasjon er oppbevart sammen med informasjon om kontonummer eller annen nødvendig brukerlegitimasjon. Ved uaktsomhetsvurderingen etter finansavtaleloven § 34 kan konklusjonen bli at kunden har utvist grov uaktsomhet i slike tilfeller. Dette er også slått fast i flere saker for Bankklagenemnda, se avsnitt 5.7.3 foran.

Når det gjelder annen urettmessig tilgang fra tredjemanns side, vises det til beskrivelsen av en rekke situasjoner som kan medføre at utenforstående får tilgang til en kundes nettbankkonto(i), se foran avsnitt 5.6.2. Det er særlig angrep på kundens datamaskin som utpeker seg som den største risikofaktoren i forhold til misbruksfaren ved bruk av nettbasert betalingstjeneste. Ut fra bestemmelsen i finansavtaloven § 34 sett i sammenheng med de respektive kontoavtalene, vil kunden i en del tilfeller kunne bli holdt ansvarlig for slike angrep og oppståtte tapssituasjoner. Denne bestemmelsen inneholder således ingen begrensning av kundens ansvar her slik som ved misbruk av betalingskort, jf. finansavtaleloven § 35. Som nevnt foran i avsnitt 5.1 er det imidlertid mye som tyder på at bestemmelsene i finansavtaleloven § 34 hva gjelder ansvarsreguleringer for andre betalingstjenester enn betalingskortene i stor grad var knyttet opp mot de tradisjonelle betalingsinstrumentene som de ulike girotjenestene. I mangel av andre rettslige holdepunkter, er det imidlertid finansavtaleloven § 34 og kontoavtalene, med tilhørende rettspraksis, som er de avgjørende rettskildene ved vurdering av gjeldende rettstilstand. Slik sett vil kunder kunne bli påført store økonomiske tap uten at ansvaret overfor institusjonen vil være begrenset. Etter Banklovkommisjonens vurdering er det derfor her behov for å avklare ved lovgivning i hvilken utstrekning en regulering av ansvarsforholdene ved nettbaserte betalingstjenester bør baseres på prinsipper tilsvarende de som ligger til grunn for gjeldende lovregler i finansavtaleloven § 35 om tap som skyldes tredjemanns misbruk av betalingskort, eller i tilfelle utformes ut fra andre utgangspunkter. Det vises for øvrig til avsnitt 6.1.3 nedenfor.

6.1.3 Sammenfatning

Etter Banklovkommisjonens oppfatning har betalingstjenester basert på brukerlegitimasjon som inngangskriterium markerte iboende risiki sett fra kundenes side, enten det dreier seg om feilbruk eller misbruk. Det foreligger imidlertid få dokumenterte tilfelle hvor nettbankkunder er påført tap som følge av en utilsiktet betalingsoverføring, og bildet er det samme hva angår uvedkommendes misbruk av nettbankkonti. Det kan likevel ha forekommet tilfelle av utilsiktede eller urettmessige betalingsoverføringer uten at tapet av en eller annen grunn ikke er blitt belastet kontohaveren. Uavhengig av disse forhold må en regne med at det i fremtiden vil kunne oppstå slike tapssituasjoner ved bruk av nettbaserte betalingstjenester uten at det er grunnlag for å anslå omfanget. Risikoen for feilbruk eller misbruk må likevel antas å være reell nok. Nettbaserte betalingstjenester, særlig nettbank og telefonbank, utgjør allerede en meget betydelig del av dagens tilgjengelige betalingsoverføringsordninger, og dens andel i markedet for betalingstjenester må fortsatt antas å øke vesentlig.

Det vises særlig til avsnitt 1.3 foran hvor det fremgår at det på nåværende tidspunkt er ca. 2,8 millioner nettbankkunder i Norge. Det er dessuten antatt at dette tallet vil øke i årene fremover, og det nevnes i denne sammenheng at antall nettbankkunder økte med 300.000 i 2007. 1 Bruken av nettbaserte betalingstjenester vil også påvirkes av omfanget av bankfilialer hvor det er mulig å foreta regningsbetaling. Bruk av filialer knyttes i større grad nå enn tidligere opp mot rådgivning, lån og eiendomsmegling. 2 Det nevnes for øvrig at flere av bankinstitusjonene har lagt til rette for uttak, innskudd, betaling av regninger mv. i eksempelvis dagligvareforretninger, se avsnitt 3.2.1 foran. Bruk av denne tjenesten og dens betydning for fortsatt manuell regningsbetaling er usikker på nåværende tidspunkt. I takt med den økte bruken av Internett, antar Banklovkommisjonen uansett at de nettbaserte betalingstjenester vil være den praktisk sett dominerende betalingstjeneste for regningsbetaling i årene fremover. Brukerkretsen vil således utvides, og brukerkollektivet vil omfatte personer med varierende teknisk og datamessig innsikt ut fra de enkeltes personlige forutsetninger. Selv om de nettbaserte betalingstjenestene på nåværende tidspunkt brukes mest av personer i alderen 25-32 år, 3 vil således eldre mennesker – uavhengig av brukernes egne ønskemål – bli en stadig større brukergruppe. Evnen til korrekt bruk, nødvendig innsikt og oversikt over de nettbaserte betalingstjenester må antas å være delvis aldersbestemt.

Ved vurderingen av behovet for en lovregulering av ansvarsforholdene ved bruk av nettbaserte betalingstjenester, mener Banklovkommisjonen ut fra dette at det avgjørende må være at bruk av nettbasert betalingsoverføring, det vil si nettbank og telefonbank, faktisk medfører ulike typer av risiko for at det oppstår tap for en kunde, og at det i lys av den store praktiske og kommersielle betydning av nettbaserte betalingstjenester, er viktig å ha et regelsett på plass som kan håndtere tilfelle av tap som vil kunne ramme den enkelte kunde urimelig hardt. Slike risiki kan imidlertid reduseres ved kontinuerlig utvikling av sikkerhets- og kontrollsystemer, men i hvilken utstrekning dette kan eller vil bli gjort, beror i stor grad også på hvilke virkninger tiltakene generelt sett vil få for brukervennlighet og bruk av nettbaserte betalingstjenester. Det er neppe til å unngå at det til nettbaserte betalingstjenester som er utformet for å kunne håndtere store transaksjonsvolumer, fortsatt vil knytte seg ulike, men typiske risiki, som fra tid til annen vil materialisere seg og føre til tap for så vel bankene som deres kunder.

1) Banklovkommisjonen mener at bestemmelsene i finansavtaleloven ikke gir adekvate svar når det gjelder ansvarsreguleringen i forholdet mellom bankinstitusjonen og kunde når det gjelder tap som er utslag enten av kundens brukerfeil eller av andres misbruk av nettbankkonto. Det dreier seg her om tekniske kompliserte systemer som er under stadig utvikling, og som krever omfattende og til dels komplisert brukerveiledning for å motvirke at utilsiktede eller feilaktige betalingsoverføringer finner sted. Det vil således være et mangfold av forskjellige forhold som kundene må forholde seg til og rutinemessig ta i betraktning dersom tap skal unngås. Dette omfatter blant annet inngangsprosedyrer og inntasting av betalingsinformasjon som går utover tradisjonelle betalingsoverføringsformer. At selve overføringene ikke er direkte knyttet opp mot en nærmere bestemt sikkerhetsprosedyre, gjør dessuten at risikoen for kundens egne feil er vesentlig mer fremtredende enn ved bruk av betalingskort. I samsvar med drøftelsen foran legger Banklovkommisjonen til grunn at det foreligger et behov for utforming av en ny lovfastsatt ansvarsregulering som gjenspeiler og er tilpasset disse forhold.

Utgangspunktet etter finansavtaleloven er i og for seg at kontohavere fritt kan disponere innestående på sin konto ved blant annet uttak og betalingsoverføringer, jf. finansavtaleloven § 24. Slik sett vil disposisjoner av kunden – enten de er tilsiktede eller utilsiktede – i utgangspunktet måtte anses som gyldige og behandles av banken i henhold til de betalingsinstruksjoner som gis av kunden, jf. også kontoavtalene. Som nevnt i avsnitt 5.1 foran, må det imidlertid antas at reglene i finansavtaleloven, bortsett fra lovens § 35 om misbruk av betalingskort, er utformet først og fremst med sikte på tradisjonelle betalingstjenester og ikke nettbaserte betalingstjenester med den variasjonsbredde og kompleksitet som nå er utviklet av banknæringen. På side 110 i Banklovkommisjonens utredning nr. 1 ble det blant annet fastslått at «ansvar og risikovurderinger [vil] kunne bli nokså ulike for instrumenter utstedt og kontrollert av institusjonen, og for hjelpemidler som betaleren selv eller en tredje part er eier av eller ansvarlig for (telefon, terminaler m.v)». Denne reservasjonen fra Banklovkommisjonensside omfatter også de omfattende systemer for nettbaserte betalingstjenester som er blitt utviklet i løpet av den forholdsvis korte periode som er gått siden finansavtaleloven ble vedtatt. Utviklingen har skapt et behov for ansvarsregulering som finansavtaleloven i sin nåværende form ikke var beregnet på å imøtekomme.

Banklovkommisjonen er klar over at det fra banknæringens side blir og fortsatt vil bli nedlagt et betydelig arbeid når det gjelder å etablere systemer for nettbaserte betalingstjenester som har innbygget omfattende sikkerhets- og kontrollordninger. Banklovkommisjonen er også klar over at det fra banknæringens side legges stor vekt på utbygging av informasjonsarbeidet overfor kundene når det gjelder bruksmåte og forsiktighetsregler som bør iakttas. I forhold til vanlige nettbankkunder må det imidlertid også tas i betraktning at institusjonenes krav til kundens bruk av betalingstjenesten, som for eksempel krav som gjelder kunders bruk av sin hjemme-pc og mobiltelefon, oppdatering av virusprogrammer mv., likevel ikke er godt nok kjent for eller kan ventes å bli forstått fullt ut av brukere generelt. Sett fra brukernes side fremtrer nettbaserte betalingstjenester derfor som masseproduserte tjenester med typiske risiki for at utilsiktede og feilaktige betalingsoverføringer kan bli gjennomført, og medføre til dels betydelige tap for den enkelte bruker.

Banklovkommisjonen legger til grunn at vanlige brukere av nettbaserte betalingstjenester i forholdsvis liten grad kan påvirke risikonivået i de nettbaserte systemer, og at brukere også praktisk sett vil ha begrensede muligheter til å gardere seg mot at det fra tid til annen vil oppstå tap som følge av utilsiktede, feilaktige eller urettmessige betalingsoverføringer. Vurdert i forhold til nettbaserte betalingstjenesters store betydning i samfunnsøkonomien og det meget store transaksjonsvolumet fremtrer enkeltstående tap generelt sett som en produksjonskostnad for nettbankinstitusjonenes betalingstjenester. Selv om slike tap i første omgang i utgangspunktet belastes den nettbank det gjelder, vil dette være en produksjonskostnad som egner seg til fordeling – og pulverisering – over brukerkollektivet via gebyrer eller andre økonomiske fordeler oppnådd ved levering av nettbaserte betalingstjenester, i stedet for å måtte bæres av den enkelte bruker som mer eller mindre tilfeldig rammes i det enkelte tilfelle. Den sikkerhet mot tyngende tap som nettbankkundene vil oppnå via et slikt opplegg, vil praktisk sett ikke kunne dekkes på en tilsvarende rasjonell måte via forsikringer tegnet av den enkelte kunde.

Etter Banklovkommisjonens vurdering kan imidlertid brukerne gjennom sin handlemåte på forskjellig vis til dels påvirke risikoforholdene. Det er derfor vesentlig at også brukerne gjennom egen handlemåte og så vidt mulig bidrar til å begrense risiko- og tapsnivået. Ansvarsreguleringen bør derfor utformes slik at også brukerne blir oppfordret til dette. Brukere som utviser handlemåter som markert avviker fra den grad av forsiktighet og aktsomhet som med rimelighet kan kreves av brukerkollektivet, må regne med selv å måtte bidra – innen rimelige rammer – til å dekke tap som kan oppstå. Det er en slik tilnærmingsmåte som ligger til grunn for reglene finansavtaleloven §§ 34 flg. om andres misbruk av bankkonti og betalingskort. I forhold til nettbaserte betalingstjenester, gir denne tilnærmingsmåten også et godt utgangspunkt for utformingen av en regulering av ansvarsforholdene når det gjelder så vel tap som er forårsaket av den enkelte brukers egne feil ved bruk av tjenestene som tap som er forårsaket av andres misbruk av tjenesten.

2) Banklovkommisjonen viser til at de krav som fra institusjonenes side stilles til kundene, normalt vil fremgå av kontoavtalenes regler og tilgjengelig brukerveiledning om hvilke forhold kundene skal iaktta og også ha ansvar for. Kontoavtalene har imidlertid karakter av tilslutningsavtaler som kundene må akseptere for å benytte seg av systemet. I dette henseende kan det vises til Carsten Smiths forstudie «Om behovet for en banklovkommisjon» fra januar 1989, der det på side 7 sies allment om rettsvernet for finansinstitusjoners kunder:

«Utgangspunktet og hovedregelen for de vanlige banktjenester i forhold til forbrukere er avtalefrihet ved utformingen av vilkårene for tjenestene. Dette innebærer at vilkårene i stor utstrekning kan fastsettes ensidig i standardformularer fra bankenes og de øvrige finansinstitusjonenes side.»

Risikoen for at det kan forekomme feil må således sees i sammenheng med de avtalevilkårene som kundene må akseptere for å benytte seg av betalingstjenesten. I denne forbindelse kan risikoen for at det oppstår tap som kunden selv må dekke være forholdsvis stor. Carsten Smith uttalte videre – med henblikk på daværende situasjon – at det finnes generelle skranker for de vanlige banktjenester, men at «disse regler ikke sikrer en tilstrekkelig effektiv sivilrettslig beskyttelse av forbrukerne ved finansielle tjenester». På denne bakgrunn fremmet Banklovkommisjonen i sin tid forslag i sin utredning om finansavtaler og finansoppdrag som først og fremst var utformet med henblikk på kunders bruk av de tradisjonelle betalingsinstrumentene, samt de nye former for betalingstjenester som var utviklet i tilknytning til betalingskortene. Som det fremgår av finansavtaleloven §§ 34 flg. var det risikoen for misbruk av bankkonti fra tredjemenns side som det da ble ansett påkrevd å adressere i den nye lovgivningen. Risikoen for at kunden gjør feil, var og er ikke ansett som like stor ved betalingsinstrumenter som giro og betalingskort, noe som for øvrig er lagt til grunn i vurderingen av de gjeldende regler for disse betalingsinstrumentene, se avsnittene 3.5.1 og 4.6 punkt 2) foran.

Det kan i denne sammenheng vises til Banklovkommisjonens uttalelse i sin Utredning nr. 1, på side 67, som fastslo at

«det er av viktighet – både av hensyn til kortbrukerne og for å opprettholde tilliten til betalingskortsystemene – at sentrale ansvarsfordelingsspørsmål blir fastsatt i lov. Kommisjonen har derfor foreslått lovregler om ansvar for misbruk av betalingsinstrumenter ».

Etter Banklovkommisjonens oppfatning vil denne uttalelsen, samt de andre bemerkninger som ble gjort på dette tidspunktet, jf. særlig avsnitt 2.6.3 foran, også ha aktualitet i forhold til de nettbaserte betalingstjenester som senere er utviklet og som i dagens situasjon har en dominerende stilling i markedet for betalingsoverføringer. Redegjørelsen foran avsnitt 6.1.1, jf. avsnitt 5.4, viser at risikoen for at kunden gjør egne feil er markert og at slike feil kan føre til betydelige tap som det ikke uten videre er klart alltid eller generelt sett bør bæres av kundene selv. Det foreligger derfor behov for en nærmere vurdering og regulering av ansvarsforholdet mellom bankinstitusjon og kunde. På samme måte foreligger det behov for en nærmere vurdering av ansvarsforholdene når det gjelder tap for kunder som skyldes uvedkommendes misbruk av bankkonti via de nettbaserte betalingstjenestene.

Ved utformingen av nye ansvarsregler om slike forhold vil det etter Banklovkommisjonens vurdering være naturlig å ta utgangspunkt i de prinsipielle vurderinger som ligger til grunn for finansavtalelovens regulering av ansvarsforholdene når det gjelder tap som oppstår i forbindelse med gjennomføring av betalingsoverføringer og misbruk av betalingstjenesten. Et sentralt synspunkt i forbindelse med utformingen av finansavtalelovens regler om misbruk av bankkonti og betalingskort var at oppståtte tap i hovedsak burde bæres av betalingssystemet slik at tapskostnadene som hovedregel ville bli pulverisert over brukerkollektivet og dekket via brukergebyrene. Ved detaljutformingen av et nytt regelverk kan det imidlertid være behov for å ta hensyn til at risikobildet ved nettbaserte betalingstjenester til dels er et vesentlig annet enn for de hittil vanligste betalingstjenester. Prinsipielt påvirker dette imidlertid ikke behovet for en lovfastsatt ansvarsregulering.

Banklovkommisjonenmener at behovet for regulering av ansvarsforholdene når det gjelder tap som har oppstått ved bruk av nettbasert betalingstjeneste, gjør seg gjeldende både når det gjelder feilbruk fra kundens side og uvedkommendes misbruk av nettbankkonti. Selv om det i utgangspunktet er forskjell på tilfelle av utilsiktet og urettmessig betalingsoverføring, er dette neppe av avgjørende betydning ved utformingen av en ny regulering av ansvarsforholdene. I begge tilfelle kan det dreie seg om tap som kan tilbakeføres til manglende forsiktighet og aktsomhet fra kundens side når det gjelder å overholde den brukerveiledning som er gitt fra nettbankens side både når det gjelder selve bruken av betalingstjenesten og når det gjelder å hindre at uvedkommende får tilgang til kundens brukerlegitimasjon. Uavhengig av hvilken type av feil som måtte være utvist fra kundens side, vil avvik fra brukerveiledningen kunne føre til meget tyngende tap for den enkelte kunde.

Når det gjelder urettmessig bruk fra tredjemanns side, gjelder ansvarsreguleringen i finansavtaleloven bare tilfelle hvor kundens brukerlegitimasjon er benyttet ved betalingsoppdraget. Det at uvedkommende får tilgang til brukerlegitimasjon og urettmessig bruker en kundes bankkonto, kan i flere sammenhenger henføres til feil og uforsiktighet på kundens side, for eksempel ved at kunden ikke har oppbevart kode i henhold til brukerveiledninger og eller andre gjeldende vilkår for bruk av betalingsinstrumentet. Tilsvarende vil det sentrale ved kundens feil i tilfelle av egen feilbruk av den nettbaserte betalingstjenesten ikke være selve den feil som kan konstateres, men først og fremst at kunden har utvist uforsiktighet eller gjort feil når det gjelder å kontrollere at det betalingsoppdrag som er utformet, er slik som tilsiktet. Også i slike tilfelle er således det avgjørende at kunden har utvist manglende aktsomhet og forsiktighet når det gjelder forhold som må iakttas dersom nettbaserte betalingstjenester skal kunne fungere som et effektivt og sikkert system for nasjonale betalingsoverføringer. Det er således lett gjort for en kunde å gjøre en tastefeil eller andre tekniske feil, men den avgjørende feil fra kundens side er i slike tilfelle at feilen ikke er avdekket av kunden ved rimelig kontroll før betalingsoppdraget er sendt. Et hovedspørsmål når det gjelder kravene til nettbankkunders handlemåte som brukere av en nettbasert betalingstjeneste, er derfor hvilken grad av forsiktighet og aktsomhet som må utvises av kunden selv for å forhindre at tap oppstår som følge av egen handlemåte.

Banklovkommisjonen er derfor kommet til at lovreguleringen av ansvarsforholdene ved nettbasert betalingsoverføring bør baseres på tilsvarende prinsipper i begge typetilfellene. En annen sak er at det ved vurderingen av hvilket ansvar kunden selv bør ha fordi kundens handlemåte innebærer en grov tilsidesettelse av kundens egen plikt til å unngå at tap oppstår, vil kunne få betydning for hvilken feil kunden måte ha utvist i det enkelte tilfellet.

Medlemmene Breck, Dalsøren, Dyrhaug, Løfsgaard og Skrede mener at det er vesentlig prinsipiell forskjell mellom misbrukstilfellene, hvor tap oppstår fordi uvedkommende disponerer urettmessig over kontoen, og feilbrukstilfellene, hvor bare kontohaver opptrer (eventuelt supplert av noen nødvendig brukerlegitimasjon er overlatt til). Disse medlemmer har likevel funnet å kunne gi sin tilslutning til forslagene i utredningen, fordi de samlet sett kan sies å tilstrebe en balanse mellom de krav og forventninger som stilles til henholdsvis kundene og banken.

3) Banklovkommisjonen legger til grunn at et nytt regelverk for nettbaserte betalingstjenester vil være av vesentlig betydning både for bankinstitusjoner som tilbyr slike tjenester, og de store grupper av brukere som jevnlig gjør bruk av dem. Etter Banklovkommisjonens oppfatning vil det derfor være i samsvar med vår rettstradisjon at et slikt regelverk blir gjennomført ved lovgivning.

Banklovkommisjonennevner at bestemmelsen i finansavtaleloven § 35 sjette ledd som bestemmer at «Kongen kan i forskrift bestemme at reglene i paragrafen her skal gjelde helt eller delvis for andre typer av betalingsinstrumenter», ble innført primært med tanke på «nye elektroniske betalingstjenester som for eksempel «home-banking»», jf. Banklovkommisjonensuttalelse i sin Utredning nr. 1 side 146. Departementet opprettholdt bestemmelsen og uttalte at den kunne gjøres gjeldende for andre typer betalingsinstrumenter «dersom det i fremtiden skulle vise seg å være andre instrumenter som bør falle inn under den særlige reguleringen [om betalingskort]», jf. Ot.prp. nr. 41 (1998-99) side 43. Ettersom den foreslåtte reguleringen både vedrører utilsiktede og urettmessige transaksjoner, i tillegg til at virkemåten og risikoaspektene ved bruk av nettbaserte betalingstjenester atskiller seg på flere områder fra betalingskortene, har Banklovkommisjonen ikke funnet grunn til å utforme et utkast til en forskrift, jf. finansavtaleloven § 35 sjette ledd. De store potensielle tapssituasjonene som kan oppstå for den enkelte kunde, tilsier også at regelsettet bør fremmes i lovs form.

Det utkast til lovregler som er fremlagt av kommisjonen, er derfor utformet som utkast til endringer i finansavtaleloven og som påbygning av de regler om bankkonti som loven allerede inneholder, se kapittel 9 nedenfor.

6.2 Løsningsalternativer

6.2.1 Innledning

I mandatet om sikkerhet ved bruk av nettbank mv. er det forutsatt at Banklovkommisjonen skal vurdere ulike mulige løsninger for en eventuell tapsfordeling mellom kunden og institusjonen dersom det oppstår tap som følge av kundens egne feil. I oppdraget er det skissert tre alternativer som skal vurderes. Banklovkommisjonen har ikke funnet grunn til å gå nærmere inn på andre tenkelige tapsfordelingsløsninger.

Det er forutsatt i oppdraget at Banklovkommisjonen skal ta i betraktning de tiltak som finansnæringen selv nå har iverksatt (se avsnitt 1.3 foran), og i hvilken utstrekning det i tillegg er behov for lovregulering av ansvarsforholdene. Som det fremgår foran avsnitt 6.1.3, mener Banklovkommisjonen at tiltakene vil ha en klart positiv innvirkning på risikobildet. Til nettbaserte betalingstjenester vil det imidlertid fortsatt knytte seg typiske risiki for at det fra tid til annen kan oppstå tap for kunder som følge av utilsiktede eller urettmessige betalingsoverføringer ved bruk av systemene for nettbaserte betalingstjenester.

Vurderingen av de tre alternativene er gitt i avsnittene 6.2.2-6.2.4. Banklovkommisjonen har på bakgrunn av denne gjennomgangen, fremmet forslag til lovregulering basert på det alternativet som etter Banklovkommisjonens vurdering vil gi den mest hensiktsmessige ansvarsregulering. I avsnitt 6.2.5 nedenfor sammenfatter Banklovkommisjonen sin vurdering av løsningsalternativene.

Når det gjelder betalingsoverføring til utlandet har ikke Banklovkommisjonen vurdert dette opp mot de skisserte løsningsalternativene. Slik betaling forutsetter til dels annen betalingsinformasjon enn betaling innen Norge, og er regulert på en mer inngående måte i den standardiserte kontoavtalen. Det er også vanskeligere å få tilbakeført slike midler dersom de er sendt feil enten utilsiktet eller urettmessig. Flere institusjoner har dessuten lagt opp sin nettbanktjeneste slik at betaling til utlandet er en tjeneste som kunden spesifikt må bestille og knytte opp mot sin nettbank. Disse forholdene medfører at utenlandsbetaling må sees på som en form for betalingsoverføring som bør behandles særskilt. Banklovkommisjonen mener for øvrig at norsk regulering på dette området vil kunne gripe inn i rettigheter og plikter til nettbankbrukere utenfor Norge som ikke nødvendigvis vil være i samsvar med nasjonal rett i hjemstaten, eller med regler og praksis når det gjelder internasjonale betalingsoverføringer.

6.2.2 Ansvar for betalingssystemer med manglende sikkerhet eller lignende

Et første alternativ som skal vurderes, er om finansinstitusjoner skal pålegges erstatningsansvar dersom den tilbyr nettbaserte betalingstjenester med manglende eller utilstrekkelige sikkerhets- og kontrollsystemer. I oppdraget side 2 uttales det i tilknytning til dette alternativet at

«[k]ommisjonen bes vurdere om en slik regulering er hensiktsmessig. Kommisjonen bes vurdere hvordan en slik eventuell regulering forholder seg til alminnelige erstatningsregler, og på denne bakgrunn vurdere behovet for en lovregulering. Kommisjonen bes vurdere hvordan en eventuell regel om dette kan utformes – særlig om det er hensiktsmessig med en mer skjønnsmessig regel, eller om man bør stille mer konkrete krav til sikkerheten i systemet for betalingsoverføring. Kommisjonen bes om å gjøre rede for hvordan en slik regel vil fungere i praksis.»

Banklovkommisjonen har i oversikten over gjeldende rett konkludert at det knytter seg betydelig usikkerhet til i hvilken utstrekning en bankinstitusjon i enkelttilfelle vil kunne pålegges objektivt ansvar for tap som en bruker påføres ved utilsiktet eller urettmessig betalingsoverføring (se avsnitt 6.1 flg. foran). Det er derfor i alle tilfelle behov for en avklaring av rettstilstanden gjennom lovgivning dersom reglene om bankinstitusjoners ansvar skal utformes med utgangspunkt i et erstatningsrettslig alternativ. Slike lovregler vil i tilfelle kunne utformes med utgangspunkt i alminnelige rettsregler om leverandørers ansvar for mangler ved de ytelser som tilbys, eller med utgangspunkt i de synspunkter som ligger til grunn for det ulovfestede objektive bedriftsansvar som er utviklet i rettspraksis. I begge tilfelle vil et hovedspørsmål være hvilken grad av systemsikkerhet bankinstitusjonene plikter å etablere gjennom de sikkerhets- og kontrollordninger som iverksettes for de nettbaserte betalingstjenestene, herunder bankinstitusjonens plikter når det gjelder kontinuerlig oppdatering og videreutvikling av slike ordninger.

Vurderingen av hva som til enhver tid vil være et tilfredsstillende sikkerhetsnivå, vil i stor grad bero på hensynet til brukervennlighet og alminnelige kost-/nyttebetraktninger. Det er likevel ikke til hinder for at institusjoner pålegges ansvar for tap som skyldes at sikkerhets- og kontrollordninger og sikkerhetsnivået for tjenesten generelt ikke er i samsvar med hva allmennhet bør kunne forvente. En slik regel vil kunne utformes etter forbilde av definisjonen av sikkerhetsmangel i produktansvarsloven § 2-1 hvor det heter at produsenten plikter «å erstatte skade som hans produkt volder og som skyldes at det ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente». Banklovkommisjonen antar at det neppe vil være hensiktsmessig å knytte konkrete sikkerhetskrav til en slik ansvarsregel. Slike krav ville måtte baseres på den kunnskap og erfaring en så langt har oppnådd, og vil vanskelig kunne ta hensyn til at nettbaserte betalingstjenester er et område hvor en fortsatt må vente betydelig teknisk og datamessig utvikling.

Sikkerheten ved nettbaserte betalingstjenester beror imidlertid ikke bare på de sikkerhetsordninger som nettbanken som tjenesteleverandør etablererer. Nettbanktjenesten er i stor grad lagt opp til selvstendig bruk fra brukerens side, slik at sikker og feilfri bruk av tjenesten også forutsetter at brukeren utviser aktsomhet og iakttar nettbankens forsiktighetsanvisninger. Det må dessuten skilles mellom den sikkerheten som er etablert i bankinstitusjonens regi, og den sikkerheten som foreligger i kundens egne datasystem. Kan bankene eksempelvis kreve at bruker installerer spesifikke antivirusprogrammer? Selv om dette skulle være mulig, representerer slike krav store utfordringer. Alle antivirusselskaper jobber kontinuerlig med å detektere nye og truende virus. Det eksisterer således et kappløp mellom selskapene og det vil således variere hvilke selskaper som kommer opp med «medisiner» mot spesielle virus. Krav om at kunden installerer et spesifikt antivirusprogram kan således kun representere en tilstrekkelig sikkerhet mot misbruk for en kortvarig periode.

Banklovkommisjonen mener at det for tiden vil by på betydelige problemer å få gjennomført sikkerhets- og kontrollordninger som gir vesentlig høyere grad av sikkerhet mot brukerfeil enn de rutiner ved overføringer gjennom nettbanktjenesten som for tiden er satt i verk. Det kan i og for seg tenkes et opplegg hvor kontonummer kryssjekkes mot betalingsmottagers navn slik at risikoen for utilsiktede betalingstransaksjoner reduseres ytterligere, jf. avsnitt 5.4.1 foran.

Banklovkommisjonen har ikke funnet grunn til å gå nærmere inn på disse forhold, men registrerer at ytterligere krav til sikkerhetsrutiner vil kunne møte betydelig motstand fra banknæringen. Det nevnes for øvrig at betalingstjenestedirektivet inneholder flere bestemmelser om sikkerhet tilknyttet systemer for betalingstjenester, og at arbeidsgruppen som skal utrede gjennomføringen av betalingstjenestedirektivet i norsk rett vil måtte foreta en vurdering om hvorvidt det skal stilles strengere sikkerhetsmessige krav til slike betalingstjenester.

Uavhengig av slike forhold antar Banklovkommisjonenat det praktisk sett i alle tilfelle neppe vil være mulig for bankinstitusjonene fullt ut å eliminere ulike typiske risiki for tap som følge av feil ved bruk av nettbaserte betalingstjenester. I lys av den teknologiske utviklingen på dette området er det viktig at ansvarsreguleringen er utformet slik at den også tar hensyn til det dynamiske trusselbildet som betalingsoverføring via Internett og mobiltelefoner representerer. I analogi med de synspunkter som kan begrunne objektivt bedriftsansvar, vil således et naturlig utgangspunkt være at bankinstitusjonene som tilbyr nettbanktjenester pålegges et lovfastsatt objektivt ansvar for tap som skyldes typisk systemrisiko generelt sett.

En praktisk viktig gruppe av feil fra kundens side i forbindelse med betalingsoverføringer gjennom nettbaserte systemer, vil være tastefeil av ulike slag ved utformingen av betalingsoppdraget som blir oversett av kunden under den kontroll som utføres før oppdraget sendes. Etter kontoavtalene vil bankinstitusjonene normalt ikke ha ansvar for tap som skyldes feil, forsinkelser eller problemer i brukernes egne nettverk, driftsstans, andre kommunikasjonsmessige feil, eller lignende forhold. Ut fra alminnelige erstatningsrettslige prinsipper, vil institusjonene videre vanskelig kunne pålegges et objektivt erstatningsansvar uavhengig av om, og uten unntak for, at tap er forårsaket av forhold helt utenfor institusjonens kontroll.

Banklovkommisjonen mener at en ansvarsregulering basert på en slik erstatningsrettslig tilnærmingsmåte i praksis vil innby til en nærmere vurdering i enkelttilfelle av skillet mellom systemrisiko og de krav som generelt også må stilles til brukernes handlemåte ved bruk av nettbaserte betalingstjenester. En må derfor regne med at det i de enkelte tilfeller lett vil kunne oppstå tvist om årsaksforholdet, det vil si om årsaken til oppstått tap er en systemrisiko eller forhold som må tilskrives brukerens handlemåte. Slike spørsmål vil vanskelig kunne løses på annen måte enn ved tvistebehandling for domstol eller klagenemnd. Slike tvister kan imidlertid neppe avgjøres uten etter en grundig gjennomgang av svært tekniske og avanserte tekniske forhold og sikkerhetsrutiner mv. vedrørende de nettbaserte betalingstjenester. Dette vil kunne kreve betydelige ressurser både for institusjonen og bruker. Silke forhold er dessuten egnet til vesentlig å redusere effektiviteten i en ansvarsregulering basert på en erstatningsrettslig tilnærmingsmåte, særlig på privatkundeområdet.

Ut fra dette er Banklovkommisjonens vurdering at en ansvarsregulering basert på en erstatningsrettslig tilnærmingsmåte generelt sett neppe vil virke på en tilfredsstillende og fullgod måte på dette området, jf. også avsnitt 6.2.5 nedenfor.

6.2.3 Tapsbegrensning (egenandel)

Det andre løsningsalternativet som skal vurderes, gjelder spørsmålet om kunden skal ha en begrenset tapsrisiko i form av en egenandel når kundens egne feil ved utførelsen av betalingsoverføringen har ført til tap. Utgangspunktet for dette alternativet er at den bank som tilbyr nettbaserte betalingstjenester normalt må dekke det tap brukeren påføres for så vidt dette overstiger den fastsatte egenandel, og at tap ut over dette vil bli pulverisert som en systemkostnad eller produksjonskostnad for leverandøren av den nettbaserte betalingstjenesten. Dette vil innebære at bankens adgang til å belaste kundens bankkonto vil være tilsvarende begrenset, eller at belastet beløp må tilbakeføres av institusjonen. I mandatet s. 3 uttales det følgende om dette alternativet:

«Kommisjonen bes vurdere om en slik regulering er hensiktsmessig. Kommisjonen bes vurdere hva slags dokumentasjon eller bevis som skal kreves for at institusjonen skal måtte foreta en tilbakeføring til kunden. Det skal videre vurderes om institusjonens plikt til å tilbakeføre beløpet skal inntre straks det har skjedd en feil, eller om institusjonen bare skal ha en slik plikt dersom kunden har lidd et tap. Kommisjonen bes vurdere om og i hvilken grad en slik regel innebærer fare for svindel. Kommisjonen bes vurdere hvordan en slik regel kan utformes. I den forbindelse bes kommisjonen særskilt vurdere om regelen kan avgrenses til feil som skyldes eventuell risiko ved systemet for betalingsformidling, eller om regelen også vil måtte omfatte andre feil, for eksempel feil som skyldes at kunden har misoppfattet et kontonummer. Kommisjonen bes i den forbindelse også om å gjøre rede for mulige bevis- og avgrensningsspørsmål som kan oppstå. Kommisjonen skal videre vurdere hva som eventuelt vil være en rimelig fordeling av tapet mellom kunden og institusjonen.»

1) Banklovkommisjonen viser til at dette vil være en form for ansvarsregulering som finansavtaleloven allerede gjør bruk av i regleverket om tap som skyldes andres misbruk av betalingskort, se loven § 35 som det er redegjort nærmere for foran avsnitt 2.6.3. Denne bestemmelsen gjelder imidlertid bare tilfelle av urettmessig bruk i tilfelle hvor betalingskortets personlig kode eller annen lignende sikkerhetsprosedyre er brukt. For tilfelle hvor kunden selv har benyttet betalingskortet på en måte som har medført tap, er utgangspunktet at kundens konto belastes med det beløp betalingstransaksjonen gjelder. Den risiko for feil fra kundens side som normalt vil foreligge i slike tilfeller, har ikke sammenheng med selve betalingskortsystemet. I så måte er det en vesentlig forskjell mellom betalingskortsystemer og systemer for nettbaserte betalingsoverføringer.

Risikoen for utilsiktede og feilaktige betalingsoverføringer som skyldes brukerfeil og kundens bruk av nettbaserte systemer er nært knyttet både til systemenes tekniske oppbygging og til utformingen av de sikkerhets- og kontrollordninger som bankinstitusjonen selv har etablert. Det fremgår også foran avsnitt 6.2.2 som Banklovkommisjonens vurdering at bankinstitusjonen som hovedregel bør ha ansvar for og bære tap som er utslag av typiske risiki for feil som knytter seg til slike betalingssystemer. Dette gjelder for så vidt uavhengig av om det dreier seg om brukerfeil eller misbruk fra uvedkommende som har skaffet seg tilgang til nødvendig brukerlegitimasjon, se bemerkningene foran avsnitt 6.1.3. Samtidig er det behov for at ansvarsreguleringen utformes slik at kundekollektivet oppfordres til å utvise aktsomhet og iaktta forsiktighetsregler for å gjøre sitt til å begrense risikonivået. Begge disse synspunkter ivaretas etter Banklovkommisjonens mening ved en hovedregel som innebærer at den enkelte kunde selv – innenfor rammen av en fastsatt egenandel – må bære tap som skyldes egne brukerfeil eller at uvedkommende har skaffet seg tilgang til nødvendig brukerlegitimasjon mv.

Banklovkommisjonen ser betydelige fordeler ved en ansvarsregulering basert på et felles grep uten behov for skiller mellom tilfelle hvor utilsiktede og feilaktige betalingsoverføringer har sin bakgrunn i brukerfeil, systemets sikrings- og kontrollordninger, den brukerveiledning som er gjort tilgjengelig, eller misbruk som følge av at uvedkommende har skaffet seg tilgang til nødvendig brukerlegitimasjon. De rettstekniske og praktiske fordeler er klare nok. Materielt sett er det i stor grad ulike forbindelseslinjer mellom de mulige årsaksforhold for tap som kan oppstå i enkelttilfelle. Det kan således være vanskelig å avgjøre om feilbruk har sammenheng med sikkerheten i nettbankenes eller brukerens eget datasystem, eller med tredjemanns påvirkning av bankens og/eller brukerens datasystemer. Disse forhold taler for at det sentrale element i en ansvarsregulering bør være en hovedregel hvoretter brukeren må dekke det tap som oppstår i enkelttilfeller innenfor rammen av en fastsatt egenandel. I særlig tilfelle vil imidlertid en slik regel kunne gi resultater som vil oppleves som urimelige eller for øvrig ha virkninger som anses som uheldige. Det vil således være behov for enkelte modifikasjoner av hovedregelen.

For det første vil det virke urimelig overfor brukere dersom egenandelsansvaret skulle gjelde også i tilfelle hvor det er godtgjort at årsaken til en utilsiktet eller feilaktige betalingsoverføring er sikkerhetsmangel ved nettbanksystemet. Dette vil være tilfelle hvis de sikkerhets- og kontrollordninger som er etablert av bankinstitusjonen, ikke gir det sikkerhetsnivå som allmennheten med rimelighet kan vente. Tilsvarende bør det gjøres unntak fra brukerens egenandelsansvar hvor tapet skyldes at tredjemanns fremgangsmåter er så vidt spesielle at kunden ikke burde pålegges ansvar dersom det oppstår urettmessig bruk av bankkontoen. Det vises til avsnitt lovutkastet § 37b første ledd annet punktum og merknadene til denne bestemmelsen nedenfor.

For det annet bør det omvendt gjøres unntak fra hovedregelen om brukeres egenandelansvar i tilfelle hvor brukeren ved sin handlemåte markert har tilsidesatt de krav til vanlig aktsomhet og forsiktighet som med rimelighet kan stilles til brukerkollektivet av nettbaserte betalingstjenester. Også finansavtaleloven § 34 skiller mellom grov og vanlig uaktsomhet. Banklovkommisjonen mener at det generelt sett er vesentlig at nettbaserte betalingstjenester og brukerkollektivet ikke uten videre belastes også med tap som skyldes grove brukerfeil fra enkeltbrukeres side. Ansvarsreguleringen bør derfor utformes slik at det reageres overfor brukere som utviser grov uaktsomhet ved bruken av nettbaserte betalingstjenester. Også alminnelige rettferdsbetraktninger tilsier dette. Det er derfor påkrevd å supplere hovedregelen med en regel som medfører et mer omfattende ansvar i form av en klart høyere egenandel for brukere som har utvist handlemåter som må karakteriseres som grov uaktsomhet. I denne forbindelse nevner Banklovkommisjonen at tastefeil i kombinasjon med manglende bruk av systemets innebygde kontrollordninger, etter omstendighetene vil kunne utgjøre en grov uaktsom. Forhold rundt selve tastefeilen og systemets kontrollordninger, både med henblikk på selve det nettbaserte systemet og situasjoner som kunden befinner seg i, kan imidlertid medføre at feilen ikke kan anses som et resultat av grov uaktsom handling. Det vises for øvrig til avsnitt 6.3.2 nedenfor.

Banklovkommisjonen viser til at unntaket knyttet til grovt uaktsomme og/eller forsettlige handlinger også ligger til grunn for ansvarsreguleringen i finansavtaleloven § 35 første og annet ledd. De vurderinger som har dannet utgangspunkt for disse bestemmelser, er generelt akseptert som en rimelig avveining av de kryssende hensyn, med det resultat at brukeransvaret er undergitt en viss begrensning selv i tilfelle av grove brukerfeil som ikke utgjør forsett på kundens side. I forhold til nettbaserte betalingstjenester bør imidlertid et slikt unntak omfatte både tilfelle hvor en brukers egen handlemåte må betegnes som grovt uaktsom, og tilfelle hvor brukeren ved grov uaktsomhet har muliggjort misbruk fra tredjemenns side. Det er bare i tilfelle av tap som er voldt forsettlig eller ved svik fra brukerens side, at brukeren bør kunne holdes ansvarlig uten begrensning.

Ut fra dette er Banklovkommisjonenkommet til at en ansvarsregulering basert på prinsippene i finansavtaleloven § 35 bør utgjøre et velegnet utgangspunkt for utformingen av ansvarsreguleringen for tilfelle av brukerfeil og andres misbruk av bakkonto(i) i forbindelse med nettbaserte betalingstjenester. Etter Banklovkommisjonens oppfatning vil kombinasjonen av en hovedregel om et egenandelsansvar for brukeren og et unntak med et klart høyere egenandelsansvar for tilfelle av grove brukerfeil, utgjøre en ansvarsregulering som i praksis er velprøvd og generelt akseptert av de ulike partinteresser. Banklovkommisjonens vurdering er derfor at denne modellen er et egnet utgangspunkt for ansvarsreguleringen for bruk av nettbaserte betalingstjenester.

2) Banklovkommisjonensvurdering er at brukerens egenandelsansvar for tap ved utilsiktede, feilaktige eller urettmessige betalingsoverføringer som skyldes brukerfeil eller andres misbruk av bankkonti ved nettbaserte betalingstjenester, bør lovfestes slik at egenandelsbeløpene fremgår av loven selv.

I finansavtaleloven § 35 første ledd er egenrisikoen for innehavere av betalingskort som hovedregel begrenset til 800 kroner i tilfelle hvor misbruk av kontoen har sammenheng med at uvedkommende har hatt tilgang til brukerlegitimasjonen. Banklovkommisjonen foreslo med utgangspunkt i dagjeldende kredittkjøpslov § 13 og kontraktspraksis at egenandelen skulle settes til 500 kroner. Departementet viste i Ot.prp. nr. 41 (1998-99) side 43-44 til at kredittkjøpslovens bestemmelse ikke var blitt justert i forhold til fallet i pengeverdien. Departementet mente at det nå ville være riktig å foreta en inflasjonsjustering og mente at beløpet burde settes til 800 kroner, også fordi gjeldende egenandel var lavere enn grensen på 150 euro i EU-kommisjonens rekommandasjon av 24. november 1988 vedrørende betalingssystemer. Samme beløpsgrense er for øvrig benyttet i betalingstjenestedirektivet 2007/44/EF artikkel 61 nr. 1 i forhold til de uautoriserte transaksjonene.

Banklovkommisjonen mener i samsvar med bemerkningene foran at ansvarsreguleringen for nettbaserte betalingstjenester bør utformes som regler felles for tilfelle hvor tap er oppstått som følge av brukerfeil, herunder tastefeil, og uvedkommendes misbruk. For det første bør kunden ha et egenandelsansvar for tap som oppstår i slike tilfelle. Ansvarsbeløpet i betalingstjenestedirektivet er satt til 150 euro, og ansvarsbeløpet foreslås derfor satt til kr. 1.200. Om det i tilfelle også bør føre til endring av ansvarsbeløpet i finansavtaleloven § 35 er et spørsmål som ligger utenfor Banklovkommisjonens oppdrag. For det annet, kunden bør i begge typetilfeller ha et klart høyere egenandelsansvar dersom tapet er oppstått som følge av handlemåte fra kundens side som utgjør grov feil. Også dette egenandelsbeløpet bør gjelde for begge typetilfelle. Kommisjonen foreslår at dette egenandelsbeløpet som i finansavtaleloven § 35 begrenses til 10 ganger den vanlige egenandel, det vil si til kr. 12.000. For det tredje, anvendelsesområdet for det høyere egenandelsansvar bør som hovedregel knyttes til begrepet grov uaktsomhet, jf. finansavtaleloven §§ 34 og 35, likevel slik at kunden alltid bør ha fullt ansvar og dekke tapet i sin helhet i tilfelle hvor tapet er voldt forsettlig av kunden eller kunden har utvist eller medvirket til svik i forhold til institusjonen. Det vises til avsnitt 6.3.3 nedenfor.

3) Banklovkommisjonenviser til at medlemsstatene etter fortalen paragraf 34 inntatt i betalingstjenestedirektivet må antas å ha atskillig handlefrihet når det gjelder utforming av ansvarsreguleringen:

«However, Member States should be able to establish less stringent rules … in order to maintain existing levels of consumer protection and promote trust in the safe usage of electronic payment instruments. The fact that different payment instrument involve different risks should be taken into account accordingly promoting issuance of safer instruments. Member States should be allowed to reduce or completely waive the payer’s liability except where the payer has acted fraudulently.»

Banklovkommisjonens forslag om en ansvarsgrense på kr. 12.000 for tap som skyldes grov uaktsomhet fra kundens side er i samsvar med dette selv om betalingstjenestedirektivet selv ikke inneholder noen slik regel for tilfelle av grove feil fra kundens side.

Banklovkommisjonenviser også til fortalen paragraf 32 siste punktum hvor det heter: «This Directive should be without prejudice to the payment service providers’ responsibility for technical security of their own products.» Som nevnt i fortalen paragraf 34 kan det tas i betraktning at risikoforholdene varierer med betalingstjenestens art, og at det foreligger behov for å fremme utviklingen av sikkerhetsnivået når det gjelder ulike betalingstjenester. Disse forhold må sees i sammenheng med at betalingstjenestedirektivet ikke har særlige regler om brukeres egenandelsansvar for tap som skyldes utilsiktede eller feilaktige betalingsoverføringer som fremtrer som følge av brukerfeil.

Banklovkommisjonenviser til at direktivet artikkel 74 nr. 1 i og for seg kan tyde på at kontohaveren skal bære det fulle ansvar for tap som måtte oppstå i tilfelle hvor det har skjedd en utilsiktet betalingsoverføring som følge av brukerfeil fra kontohaverens side. Det sies der at et betalingsoppdrag som er utført i samsvar med de instruksjoner som institusjonen har mottatt, «shall be deemed to have been executed correctly», det vil si skal anses som korrekt utført av institusjonen. På bakgrunn av fortalens paragrafer 32 og 34 forstår Banklovkommisjonen denne bestemmelsen slik at den ikke utgjør en uavbeviselig lovpresumpsjon, og at bestemmelsen derfor ikke er til hinder for ansvar for institusjonen i tilfelle hvor brukerfeilen eller den utilsiktede betalingsoverføringen har sin bakgrunn i at sikkerhets- og veiledningsnivået i den nettbaserte betalingstjenesten ikke kan anses tilstrekkelig til å forebygge slike forhold. Det vises for så vidt til bemerkningene foran vedrørende forståelsen av direktivets formålsparagrafer 32 og 34.

Banklovkommisjonen mener i samsvar med dette at de bestemmelser om brukeres egenandelsansvar som foreslås, herunder et høyere ansvar ved grove feil, reelt er et uttrykk for prinsippet om at ansvaret for tap som skyldes typiske risiki knyttet til det tekniske opplegg for og sikkerhetsnivået når det gjelder nettbaserte betalingstjenester, i hovedsak bør bæres av nettbankene selv om den lovregulering som foreslås ikke også formelt er basert på en rent erstatningsrettslig tilnærmingsmåte. Generelt sett vil det til nettbaserte betalingstjenester knytte seg risiko for tap for kunder som følge av feil- eller misbruk i større grad enn andre former for betalingsinstrumenter, særlig fordi nettbanktjenester brukes av kunder med ganske forskjellig grad av teknisk innsikt i hvordan systemet fungerer. Videre mener Banklovkommisjonen at denne form for ansvarsregulering vil føre til at nettbankene intensiverer sitt utviklingsarbeid for å gjøre nettbaserte betalingstjenester til en rasjonell og sikker form for betalingsoverføring som vil bli møtt med tillit fra brukerkollektivets side, jf. for så vidt fortalen paragraf 32 og 34. Det er for øvrig i vedlegg 1 nedenfor gitt en beskrivelse av innholdet i betalingstjenestedirektivet, og det vises til at betalingstjenestedirektivet for tiden gjennomgås i sin helhet av den arbeidsgruppe som er nedsatt av Finansdepartementet, se foran avsnitt 1.2.

4) Nettbaserte betalingstjenester kan gjelde overføring av beløp av høyst forskjellig størrelse. Risikoen for tap som følge av brukerfeil eller andres misbruk av bankkonto vil således øke med beløpets størrelse i det enkelte tilfellet, og generelt må en regne med at risikoen for store tap er større for nettbank enn for betalingskort. I forhold til brukere flest vil betalingsoverføring av store beløp også stå i en viss særstilling innenfor det totale antall av betalingsoverføringer som den enkelte bruker får utført via nettbaserte betalingstjenester. Dette medfører i seg selv at den enkelte bruker vil ha oppfordring til selv å påse at det ikke skjer brukerfeil som fører til utilsiktede overføringer. Generelt sett innebærer det også at det innefor rammen av en lovfastsatt ansvarsregulering normalt bør kreves at den enkelte bruker utviser en større grad av forsiktighet og aktsomhet for å motvirke egne brukerfeil ved overføringer av betydelig beløp. Det vises til avsnittene 6.3.2 og 6.3.3 nedenfor.

I forhold til risikoen for tap som skyldes andres misbruk av bankkonti er det imidlertid ikke like klar sammenheng mellom tapsrisiko og den enkelte kundes handlemåte. Det vesentlige en bruker kan gjøre for å motvirke andres misbruk, vil være å utvise forsiktighet og treffe tiltak for å forhindre at andre får tilgang til nødvendig brukerlegitimasjon. Her er vi på et område hvor selv beskjeden mangel på aktsomhet fra kundens side kan føre til betydelige tap, og hvor enkeltbrukere i flere tilfeller vanskelig kan innvirke vesentlig på risikoen for misbruk fra tredjemanns side. Tapets størrelse i enkelttilfeller beror generelt sett også på tredjemanns handlemåte.

For å begrense risikoen for store utilsiktede eller urettmessige betalingsoverføringer har nettbankene innarbeidet sikkerhetstiltak i sine nettbaserte systemer i form av beløpsgrense for samlet overføring fra en konto over et fastsatt tidsrom. Nettbankene bruker noe ulike beløpsgrenser, men vanligvis ligger beløpsgrensen på 300.000 kroner for totale overføringer i løpet av en måned, det vil si en beløpsgrense som langt overskrider vanlig beløpsgrense for de fleste betalingskort. Den enkelte kunde gis imidlertid adgang til å få fastsatt en annen – lavere eller høyere – beløpsgrense, enten gjennom nettbanken eller ved personlig kontakt med banken. Det er derfor vanlig at kunden om nødvendig – ved hjelp av sin brukerlegitimasjon – kan få fastsatt en høyere beløpsgrense ved gjennomføringen i enkelttilfelle av en betalingsoverføring som overstiger systemets beløpsgrense. En tredjemann som urettmessig har skaffet seg tilgang til nettbanktjenesten, vil således også i stor grad kunne gjøre det samme.

Banklovkommisjonen mener at brukere generelt må utvise en høyere grad av aktsomhet for å forhindre egne brukerfeil ved gjennomføringen av betalingsoverføringer av beløp av en størrelse som langt overstiger hva som er vanlig for kunden og for brukere flest. Dette bør det tas hensyn til ved vurderingen av om det foreligger grov uaktsomhet på kundens side, jf. avsnitt 6.3.2 punkt 1) nedenfor. Det kan likevel reises spørsmål om ansvaret for en kunde som i slike tilfelle har fremkalt et betydelig tap ved brukerfeil som utgjør grov uaktsomhet, bør kunne pålegges å dekke en større del av det tap som overstiger den ansvarsgrense som er foreslått lagt til grunn ved brukerfeil som utgjør grov uaktsomhet, det vil si 12.000 kroner. Et alternativ vil være å fastsette en særskilt ansvarsgrense for tilfelle hvor betalingsoverføringen overstiger et bestemt beløp. Et annet alternativ vil være å åpne for at en klagenemnd eller domstol i særlige tilfelle kunne pålegge kunden å dekke inntil det dobbelte av ansvarsgrensen. Slike løsninger er imidlertid lite egnet for de tilfeller hvor et stort tap er oppstått som følge av at en tredjemann urettmessig har skaffet seg adgang til å overføre midler fra kundens konto.

Banklovkommisjonen viser til at en bankinstitusjon ved utformingen av sikkerhetsnivået i sitt nettbaserte betalingstjenestesystem vil kunne fastsette beløpsgrenser som – i samsvar med det som er gjort for betalingskort – vil være romslige i forhold til ordinære betalingsoverføringer for brukere flest. Banken vil også kunne fastsette særskilte fremgangsmåter eller bygge inn særskilte varslingsordninger for tilfelle hvor en kunde vil forhøye den vanlige beløpsgrense, og som derfor gir en høyere grad av sikkerhet mot tap som følge av utilsiktede og utrettmessige betalingsoverføringer. Ut fra dette mener Banklovkommisjonen at de beste grunner taler mot å fremme forslag om en særskilt ansvarsgrense for tilfeller hvor kunden har utvist grov uaktsomhet ved gjennomføringen av en betalingsoverføring av uvanlig størrelse. For øvrig vil en slik særlige regel også kunne innebære en ytterligere komplikasjon av ansvarsreguleringen, og dessuten i et begrenset antall tilfeller lett innby til kostnadskrevende tvister mellom institusjonen og enkeltkunder.

Banklovkommisjonen viser til at ansvarsreguleringen for betalingskort i finansavtaleloven som er basert på de samme prinsipper som ligger til grunn for kommisjonens lovutkast, har vist seg å virke på en tilfredsstillende og allment akseptert måte. De tap som er oppstått er i seg selv betydelige, men sett i forhold til de meget store transaksjonsvolumene, tross alt beskjedne og har neppe medført høyere gebyrer for bruk av betalingskort utstedt av norske finansinstitusjoner enn for utenlandske betalingskort. Det er grunn til å anta at det samme vil være tilfellet for nettbaserte betalingstjenester selv om den lovfastsatte ansvarsregulering medfører at tap ved bruk av nettbaserte betalingstjenester i hovedsak vil bli pulverisert over brukerkollektivet og dermed mulig må dekkes via gebyrer for bruk av betalingstjenesten.

En kunde som har utvist eller medvirket til svik ved gjennomføringen av en betalingsoverføring, bør imidlertid alltid kunne holdes fullt ut ansvarlig for det tap som oppstår for nettbanken.

6.2.4 Korrigering av feilbetalingen

Det siste løsningsalternativet omtalt i oppdraget til Banklovkommisjonen gjelder hvorvidt finansinstitusjonen skal gis en rett til selv å korrigere betalingsoverføringer som skyldes kundens egne feil. Det er i denne sammenheng vist til finansavtaleloven § 31 om feil som skyldes institusjonens egne forhold. Dette er en bestemmelse som bare vedrører de tilfeller hvor institusjonen ved en feil har godskrevet uriktig konto eller uriktig beløp, og regelen er at institusjonen kan rette feilen ved å belaste den aktuelle kontoen innen utløpet av tredje virkedag deretter, jf. bestemmelsens første ledd første punktum. Selv om fristen er gått ut, er det forutsatt at institusjonen kan kreve tilbakesøking fra kontohaveren etter alminnelige rettsregler, jf. bestemmelsens fjerde ledd. Det siktes her til de ulovfestede regler om condictio indebiti, jf. Banklovkommisjonens Utredning nr. 1 (NOU 1994:19 Finansavtaler og finansoppdrag) side 141. Det er antatt at kontohaveren i de fleste tilfeller frivillig vil medvirke til tilbakebetalingen. I motsatt fall vil institusjonen i den grad den har rett til å kreve tilbakesøking måtte inndrive kravet på vanlig måte.

I mandatet, på side 3, er følgende uttalt i forhold til det foreslåtte alternativet:

«Kommisjonen bes vurdere om en slik regulering er hensiktsmessig. Kommisjonen bes vurdere om det bør være tidsmessige begrensninger eller andre former for skranker for institusjonens korreksjonsadgang. Kommisjonen bes videre vurdere hva slags dokumentasjon eller bevis som skal kreves for at banken skal kunne foreta en korreksjon. Kommisjonen bes i den forbindelse vurdere om det er hensiktsmessig at institusjonen ved å foreta en korreksjon, bringes inn i forholdet mellom betaleren og mottakeren, jf. for eksempel en situasjon der betaleren og mottakeren er uenig om beløpets størrelse er korrekt. Kommisjonen bes videre vurdere om og eventuelt i hvilken grad institusjonen løper en risiko dersom den foretar korreksjon på feilaktig grunnlag.»

Banklovkommisjonen har forstått løsningsalternativet dit hen at det vedrører de tilfeller hvor kunden har gjort en feil og hvor institusjonen skal gis en mulighet til å korrigere kundens feilaktige behandling av betalingsoppdraget. Dersom det oppstår et tap, er dette imidlertid et forhold som kunden må svare for. En regel om at institusjonen i slike tilfelle skal holdes ansvarlig dersom den ikke klarer å rette opp i feilen, kan sees på som et utslag av det første løsningsalternativet, jf. avsnitt 6.2.2, og er således utelatt i den videre vurderingen. Drøftelsen er derfor knyttet opp til den tekniske og praktiske muligheten til å korrigere feilbetalingen.

1) Banklovkommisjonener kommet til at det neppe vil være hensiktsmessig å basere en løsning for tilfelle av utilsiktet betalingsoverføring som følge av kundens egen feil, på regler om institusjonens adgang til å korrigere feiloverføringen. Overført på nettbanktjenesten mener Banklovkommisjonen at et system med korrigering vil rokke ved de grunnleggende hensyn bak utforming og utvikling av nettbaserte betalingsoverføringsmekanismer, nemlig at betalingstransaksjonene blir utført på en effektiv og rask måte. Etter betalingstjenestedirektivet 2007/64/EF artikkel 69 er det for eksempel bestemt at betalingsoverføringer skal godskrives mottakers konto senest virkedagen etter at overføringen ble utført. Frem til 1. januar 2012 kan imidlertid betaler og institusjonen avtale at godskriving kan skje inntil 3 virkedager etter at betalingsoverføringen fant sted.

Banklovkommisjonen mener at det normalt vil være forbundet med betydelige vanskeligheter å gjennomføre en korrigering i de tilfeller hvor betalingsoverføringen allerede er godskrevet mottakers konto. Det må legges til grunn at mottaker i flere tilfeller vil motsette seg at de innbetalte pengene blir tilbakekalt. En løsning måtte være at kontoavtalene bestemmer at en kunde må akseptere at kreditterte beløp på vedkommendes konto, kan trekkes tilbake dersom betaleren hevder det har skjedd en feil. I så fall vil korrigering likevel forutsette at mottakeren ikke hevder å ha rett til det overførte beløp, noe som reelt vil bety at korrigeringen kan gjennomføres med mottakerens samtykke. I øvrige tilfelle vil nettbanken bli involvert i en tvist mellom betaleren og betalingsmottakeren uten egentlig å ha ansvar for hvordan tvisten skal løses. En lovbestemmelse som vil gi bankinstitusjonen utvidet rett til å foreta tilbakeføring selv etter at betalingen er godskrevet mottakerens konto, og uten mottakers samtykke, vil, slik Justisdepartementet har uttalt i sitt brev til Finansdepartementet av 31. oktober 2006, på side 4, bidra til «å skape en viss usikkerhet i betalingssystemet som sådan, fordi brukerne da ikke i samme grad kan innrette seg i tillit til de overføringer som har skjedd».

En annen løsning måtte være å knytte korreksjonsadgangen opp mot perioden fra transaksjonen iverksettes til den godskrives mottakerens konto. En slik korreksjonsadgang er imidlertid knyttet opp til korte tidsrammer. På nåværende tidspunkt vil betalinger bli godskrevet mottaker forholdsvis raskt. 4 Her må det sees hen til de rutiner som bankinstitusjonene følger i forbindelse med betalingsoppdrag, samt behandlingsrutinene i de sentrale avregningssentralene og oppgjørssystemene.

Bankene som tilbyr nettbanktjenester opererer vanligvis med to frister for prosessering av betalingsoppdrag. Det nevnes at kundenes mulighet til å tilbakekalle oppdraget, i henhold til kontoavtalen, vanligvis må skje dagen før avtalt betalingsdag, jf. avsnitt 5.5.2 foran. For betalingsoppdrag som kunden vil ha iverksatt umiddelbart, men som kunden etter at oppdraget er akseptert, oppdager at er feil, er imidlertid kundens praktiske muligheter til å endre oppdraget begrensede selv om bankenes holdninger varierer en del. I noen nettbanktjenester har ikke kunden noen mulighet til å endre betalingsoppdraget etter at dette er akseptert. For andre nettbanktjenester er denne muligheten imidlertid knyttet opp til når banken sender oppdragene til avregning. Tidspunkt for slike utkjøringsfrister er i flere banker satt til ca. kl. 1200 og 2400 på virkedagene.

Etter at en dekningskontroll er gjennomført, sendes betalingsoppdraget til et system for felles avregning mellom bankene, det vil si Norwegian Interbank Clearing System (NICS). Dette systemet er nå tilrettelagt slik at det er to frister for innlevering av betalingsoppdrag, kl. 1430 og kl. 0530. NICS fungerer som kanal for transaksjons- og informasjonsutveksling mellom bankene og Norges Banks oppgjørssystem (NBO), og leverer samlet grunnlag for det endelige oppgjøret mellom bankene. Etter at NBO har bekreftet, normalt innen henholdsvis kl. 1500 og 0600, at de totale avregningene stemmer, sendes en kvittering til NICS. Deretter gis det en oversikt til bankene om hvilke beløp som skal krediteres og debiteres til de enkelte bankene, forutsatt at de respektive bankene har dekning for masseavregningene. I neste omgang foretar bankene oppdatering av sine kundekonti. Hvor raskt dette blir gjort, varierer naturligvis fra bank til bank og med deres behandlingsrutiner, men kan også variere fra dag til dag alt etter hvor mange transaksjoner som skal registreres ut eller inn. Dersom kreditors konto skal godskrives samme dag, må betalingsoppdraget være lagt inn før kl. 1200 i banken, slik at banken kan foreta dekningskontroll før det sendes videre til NICS.

I forhold til eventuelle tidsmessige skranker, må det legges til grunn at en korrigering av feilbetaling møter flere problemer dersom retting skal skje etter at banken har sendt oppdraget til NICS. Etter at denne fristen er gått ut, vil en eventuell korrigering være et spørsmål bankene i mellom. Dette følger videre av bestemmelser for NICS om at mottatte transaksjoner ikke kan trekkes tilbake av den aktuelle bankinstitusjonen, og hensynet til et effektivt betalingstransaksjonssystem har her vært avgjørende. For øvrig finner Banklovkommisjonen ikke grunn til å gå nærmere inn på de konkrete bestemmelser for behandling av transaksjoner i NICS.

For å unngå problemene ved tilbakeføring av allerede godskrevne beløp, jf. avsnittet foran, burde en slik korrigering i tilfelle foretas før kreditors bank godskriver kontoen. Etter Banklovkommisjonens oppfatning vil dette kreve utvikling av mekanismer bankene imellom som vanskelig vil la seg gjennomføre. Dette gjelder særlig det forhold at bankene har forskjellige rutiner og tidsskjema for kreditering av kundekonti.

Banklovkommisjonen er ut fra dette kommet til at en eventuell korrigeringsmulighet måtte skje før den utilsiktede transaksjonen har nådd NICS. Som beskrivelsen foran viser kan imidlertid dette være forholdsvis korte tidsrom, og det må antas at ikke alle feilbetalinger blir oppdaget umiddelbart. Betalingsoppdrag som legges inn etter kl. 1200 på fredag, blir imidlertid ikke behandlet i NICS før mandag morgen. Her kan det slik sett sies at korrigeringsmuligheten er noe videre, men tatt i betraktning at dette i alle tilfelle bare vil gjelde en del av det totale transaksjonsomfanget, legger imidlertid ikke Banklovkommisjonen stor vekt på dette.

Banklovkommisjonen er således av den oppfatning at en ordning basert på korrigering av feilbetaling er lite hensiktsmessig sett fra både bankinstitusjonens og kundekollektivets side. Likevel gjennomgås de øvrige vurderingstemaer som er forutsatt i mandatet for å skape et helhetlig bilde av dette løsningsalternativet.

2) Et annet spørsmål som er aktuelt i forhold til en eventuell korreksjonsadgang, er hva slags dokumentasjon eller bevis som skal kreves for at institusjonen skal kunne foreta en korreksjon. Skal det for eksempel kreves at kunden på et eller annet vis godtgjør at betalingsoppdraget har angitt feil mottaker? Her vil det oppstå vanskelige bevisspørsmål, med mindre et krav om korreksjon av betalingsoppdrag blir ansett som tilstrekkelig. Dette er i samsvar med regelen om tilbakeføring av kontobelastninger ved misbruk fra uvedkommende, jf. finansavtaleloven § 37, men denne regelen må sees i sammenheng med ansvarsreglene i lovens §§ 34 og 35. I § 37 er det imidlertid gitt regler om at tilbakeføring ikke gjelder dersom kontohaver har erkjent ansvar for belastningen eller institusjonen bringer saken inn for nemnd- eller domstolsbehandling innen 4 uker, jf. bestemmelsen annet ledd, se også avsnitt 2.6.5 foran. For feilbetalinger vil dette nødvendigvis forholde seg noe annerledes ettersom feilbetalingen beror på kundens egne feil og ikke på misbruk fra uvedkommende. Forutsetningen for en lovregel på området må således være at feiloverføringen i tilfelle må kunne korrigeres av bankinstitusjonen så snart kunden fremmer krav om dette. Som nevnt i punkt 1) foran må imidlertid dette tidvis skje innenfor snevre tidsrammer.

3) Det neste spørsmålet er hvorvidt det er hensiktsmessig at institusjonen bringes inn i forholdet mellom betaleren og mottakeren, for eksempel i den situasjon hvor betaleren og betalingsmottakeren er uenig om beløpets størrelse er korrekt. Banklovkommisjonen mener at en eventuell tvist vedrørende korrigering av en betalingsoverføring vil innebære vanskelige bevisspørsmål og kreve mekanismer og prosedyrer i institusjonen som kan være kostnadskrevende og involvere institusjonen i konflikter som egentlig er denne uvedkommende. En slik ordning vil også kunne medføre at en eventuell tilbakekalling eller opprettholdelse av betalingen av kanskje viktig karakter, blir forsinket og får konsekvenser for betaleren eller mottakeren. Med hensyn til målet om effektive betalingstransaksjoner ved hjelp av Internett, mener Banklovkommisjonen at institusjonen ikke bør bringes inn i forholdet mellom betaleren og mottakeren. Det vises også til punkt 1) foran.

4) Et annet spørsmål som oppstår i forhold til et regelsett hvor institusjonen gis en rett til å korrigere feilbetalingen, er om og eventuelt i hvilken grad institusjonen løper en risiko dersom den foretar korreksjon på feilaktig grunnlag. Det kan ikke utelukkes at slike situasjoner oppstår dersom institusjonen ensidig legger til grunn at kravet om tilbakebetaling fra betaleren faktisk er riktig og rettmessig. I denne konteksten kan det forekomme korrigeringer på feilaktig grunnlag og som vil kunne få konsekvenser for mottakeren. Avhengig av alvorligheten av disse konsekvensene bør det legges til grunn at mottaker i første omgang vil fremme krav mot betaleren. Dersom det ikke oppnås noen løsning her, kan mottaker i neste omgang velge å fremme krav mot institusjonen. Dersom dette kravet fører frem, og betaleren for eksempel er konkurs, løper institusjonen helt klart en økonomisk risiko for den opprinnelige korreksjonen av betalingen. Banklovkommisjonen finner imidlertid ikke grunn til å gå inn på en nærmere drøftelse av sivilrettslige problemstillinger.

5) Banklovkommisjonen har ikke funnet grunn til å vurdere nærmere om et slikt regelsett vil fungere på en hensiktsmessig måte for de tilfeller hvor nettbankkontoen blir misbrukt. I disse situasjonene vil transaksjonen som oftest være vanskelig å spore, for eksempel fordi gjerningspersonen har sendt pengene til en konto i utlandet. En korreksjon av betalingen vil således være vanskelig å gjennomføre. De nåværende reguleringer i finansavtaleloven fastslår dessuten at institusjonen skal tilbakeføre det aktuelle beløpet, med mindre kontohaveren har erkjent ansvar for belastningen eller institusjonen har brakt saken inn for en nemnd eller domstol, jf. finansavtaleloven § 37, se også avsnitt 2.6.5 foran. Banklovkommisjonen kan ikke se at denne bestemmelsen ikke også bør gjelde for misbruk via nettbankkonto. Det mer interessante spørsmål i denne sammenheng er hvorvidt kunden uavhengig av om han eller hun har utvist grov uaktsomhet kun skal svare for en andel av tapet. Dette er drøftet i avsnitt 6.2.3 og er en løsning som Banklovkommisjonen har funnet hensiktsmessig. Den nærmere utformingen av et slikt regelsett er gitt i det avsnittet, samt avsnitt 6.3 flg. nedenfor.

6.2.5 Sammenfatning

Foran har Banklovkommisjonen foretatt en gjennomgang og vurdering av de løsningsalternativer som er skissert i mandatet for sikkerhet ved bruk av nettbank. Banklovkommisjonen har vurdert alternativene institusjonens erstatningsansvar for manglende sikkerhet eller lignende og institusjonens rett til å korrigere feilbetalingen som lite hensiktsmessige. For en nærmere begrunnelse for dette synspunktet, vises det til avsnittene 6.2.2 og 6.2.4 foran.

Alternativet om at kunden skal ha en begrenset tapsrisiko (en egenandel) ved utilsiktede eller urettmessige betalingsoverføringer som følge av kundens egne feil eller misbruk fra andre, har Banklovkommisjonen imidlertid vurdert som en velbalansert løsning i forholdet mellom kunde og institusjonen. I Justisdepartementets brev til Finansdepartementet av 31. oktober 2006, er det lagt til grunn at en slik løsning vil avhenge av hvorvidt andre former for tiltak reduserer risikoen for feil og hvorvidt disse tiltakene gjennomføres. Som nevnt i avsnitt 1.3 foran er det innført en rekke tiltak i og av næringen selv. Banklovkommisjonen er imidlertid av den oppfatning at slike tiltak vil være basert på kost-/nyttebetraktninger, og at en ikke kan vente at slike tiltak vil være tilstrekkelige til å fjerne ulike, men typiske risiki for tap knyttet til nettbaserte betalingstjenester, uavhengig av om det gjelder risikoen for kundens egne feil eller risikoen for andres misbruk. Tap som skyldes utslag av slik risiko bør etter Banklovkommisjonens oppfatning ikke bæres av den enkelte kunde som rammes, men som hovedregel dekkes og pulveriseres innenfor systemene for nettbaserte betalingstjenester. I dette perspektiv er alternativet om egenandel klart å foretrekke, og Banklovkommisjonens lovutkast er derfor basert på dette alternativ, jf. 6.3 og kapittel 9 nedenfor.

Løsningsalternativet er i utgangspunktet kun knyttet opp til kundens egne feil. I sin gjennomgang av risikoaspekter ved bruk av nettbaserte betalingsoverføringsmekanismer, har Banklovkommisjonenimidlertid sett at risikoen for feil fra kundens side knytter seg både til feil bruk av nettbasert betalingstjeneste, og til feil i forbindelse med oppbevaring av kundens brukerlegitimasjon mv. og slik at tredjemann kan få tilgang til betalingstjenesten og misbruke denne, jf. også avsnitt 6.1.3. En bred regulering av kundens bruk av nettbank og de risikoelementer og eventuelle tapssituasjoner som kan oppstå i denne sammenheng, må også sees på som en fornuftig og veltilpasset løsning ut fra dagens situasjon. Det faktum at bruk av nettbanktjenesten og andre til dels avanserte nettbaserte betalingsoverføringsmekanismer på nåværende tidspunkt skjer i et såpass stort omfang og at den formodentlig vil øke i tiden fremover, gjør det også nødvendig med en løsning som gjør at kunden som hovedregel ikke rammes av tap ved overføringer som er forårsaket av egne feil eller misbruk fra andre eller en kombinasjon av dette. Det er imidlertid behov for særlige regler for tilfelle hvor tap kan tilbakeføres til grov uaktsomhet på kundens side. Hovedprinsippene for en ny ansvarsregulering for nettbaserte betalingstjenester fremgår av avsnittene 6.2.3 og 6.3.

Lovutkastet som Banklovkommisjonen fremlegger er utformet etter modell av ansvarsreguleringen i finansavtaleloven §§ 34 flg., særlig prinsippene i § 35. Ansvarsreguleringen i lovutkastet er felles for tilfelle av utilsiktede og urettmessige betalingsoverføringer, og skiller ikke mellom tilfelle hvor det foreligger feil på kundens side og tilfelle hvor uvedkommende har misbrukt kundens konto. Banklovkommisjonen forutsetter også at det vil være aktuelt å videreføre prinsippene i finansavtaleloven §§ 34 til 37 for nettbaserte betalingstjenester. Det vises til avsnitt 6.3 nedenfor, samt kapittel 9.

6.3 Nærmere utforming av regelverket

6.3.1 Egenandelansvaret

I avsnitt 6.2.3 foran har Banklovkommisjonen lagt til grunn at løsningsalternativet om begrenset taps­risiko for feil fra kundens side uavhengig av feilens art, må sees på som en hensiktsmessig og balansert løsning. Rettstekniske og praktiske fordeler taler også for et slikt felles grep. Dersom institusjonen som utgangspunkt erkjenner ethvert tap unngås dessuten vanskelige problemstillinger knyttet til både systemansvar og korrigeringsmuligheter, jf. henholdsvis avsnittene 6.2.2 og 6.2.4.

Banklovkommisjonen nevner videre at nettbaserte betalingstjenester inneholder en større risiko for at det oppstår tap som følge av forhold på kundens side enn andre former for betalingsinstrumenter, særlig fordi slike nettbaserte tjenester brukes av kunder med forskjellig grad av teknisk innsikt i hvordan systemet fungerer. En bredere regulering i forhold til kunder av nettbanktjenesten mv. kan derfor også sies å være mer nødvendig enn tilfellet er med betalingskort.

Banklovkommisjonen har derfor sett det som hensiktsmessig at kunden ilegges et objektivt ansvar i form av en selvrisiko for alle overføringer som kan innebære et tap på kundens hånd. Dette vil som ved betalingskortene utvilsomt være med på å opprettholde eller skjerpe kontohaverens aktsomhet, noe som er meget viktig i forhold til bruk av de nettbaserte betalingstjenestene. Som ved reglene for betalingskort er det imidlertid ikke gjort et skille mellom bruk av personlig kode mv. og andre sikkerhetskrav enn koder mv., for eksempel stemme eller fingeravtrykk. Alle former for nødvendig brukerlegitimasjon omfattes av bestemmelsen. De ulike risikofaktorene som knytter seg til selve bruken av slike betalingstjenester, bygger opp om dette.

Banklovkommisjonenmener at egenandelansvaret bør settes til 1.200 kroner, jf. for så vidt betalingstjenestedirektivet 2007/44/EF art. 61 hvor egenandelen for uautoriserte transaksjoner er satt til 150 euro. Dette beløpet atskiller seg heller ikke i stor grad fra den som allerede er vel etablert for betalingskortene, jf. finansavtaleloven § 35. Det vises ellers til avsnitt 6.2.3 punkt 2) foran.

Tapsbegrensningen bør imidlertid forholde seg forskjellig alt etter de konkrete omstendigheter som har medført tapet. Målet må i dette henseende være at reguleringen innebærer en rimelig fordeling av tapet mellom kunden og institusjonen, enten det dreier seg om en utilsiktet eller urettmessig transaksjon. Dette henspeiler seg for det første på de tilfeller hvor de sikkerhets- og kontrollordninger som er etablert av bankinstitusjonen, ikke gir et tilstrekkelig sikkerhetsnivå. Dette vil kunne være tilfelle dersom tredjemann urettmessig disponerer kontohaveres bankkonti uten at nødvendig brukerlegitimasjon er benyttet, typisk ved «direkte» utnyttelse av bankinstitusjonens systemer. I disse situasjonene er det urimelig at brukeren skal kunne holdes ansvarlig for det oppståtte tapet, jf. lovtukastet § 37b første ledd annet punktum og merknader til denne bestemmelsen. Det samme bør gjelde dersom tredjemann går frem på en slik måte at det vil være urimelig om brukeren skal kunne holdes ansvarlig, jf. lovutkastet § 37b første ledd annet punktum i.f.

For det andre har Banklovkommisjonenfunnet det nødvendig å gjøre unntak fra hovedregelen om brukerens egenandelansvar i tilfelle hvor brukeren ved sin handlemåte markert har tilsidesatt de krav til vanlig aktsomhet og forsiktighet som med rimelighet kan stilles til brukerkollektivet av nettbaserte betalingstjenester. Et ubegrenset ansvar er imidlertid ikke ansett som hensiktsmessig og Banklovkommisjonen har, med utgangspunkt i gjeldende regulering i finansavtaleloven, foreslått regler om maksimalansvar i slike situasjoner. Dette er behandlet i avsnitt 6.3.2 nedenfor. Hvor kunden har utvist forsett eller svik tilsier alminnelige prinsipper at kundens ansvar skal være ubegrenset. Dette er det redegjort for nedenfor i avsnitt 6.3.3.

Som følge av lovforslaget med en tapsbegrensning for kunden, har Banklovkommisjonen sett det som nødvendig å foreslå en lovregel om regressrett for bankinstitusjonene. Institusjonen som tilbakefører betalingsmidler til kunden bør kunne kreve tilbakebetaling av tredjemann av betalingsmidler som denne urettmessig har mottatt som følge av utilsiktet eller urettmessig bruk av nettbasert betalingstjeneste, jf. lovutkastet § 37b syvende ledd første punktum. I forlengelsen av dette har Banklovkommisjonenvurdert det som rimelig at eventuelt tilbakebetalt beløp som overstiger institusjonens tap, skal gå til dekning av kontohaveres egenandel av tapet, jf. lovutkastet § 37b syvende ledd annet punktum.

6.3.2 Egenandelansvaret ved grov uaktsomhet

Å supplere hovedregelen med et unntak som medfører et større ansvar for brukere som har utvist grov uaktsomhet er ansett påkrevd. Det vil virke urimelig dersom en bruker som har utvist en handlemåte som klart markerer et avvik fra vanlig forsvarlig handlemåte ved bruk av nettbasert betalingstjeneste kun skal svare for en liten andel av det oppståtte tapet, enten den grove uaktsomhet har medført en utilsiktet eller urettmessig betalingstransaksjon. Ved avgjørelsen av hvilket ansvar brukeren skal pålegges i tilfelle av grove feil, har Banklovkommisjonen, som nevnt i avsnitt 6.3.2 foran, særlig sett hen til finansavtalelovens § 35 annet ledd. Banklovkommisjonenhar ut i fra dette funnet det hensiktsmessig at brukeren ilegges et høyere egenandelansvar pålydende 12.000 kroner dersom kunden har opptrådt grovt uaktsomt. Egenandelansvaret gjelder bare, som ved regelen om objektivt ansvar beskrevet i avsnitt 6.3.1 foran, dersom nødvendig brukerlegitimasjon er benyttet.

For at en handling eller unnlatelse skal kunne kvalifiseres som grov uaktsom kreves det et markert avvik fra vanlig forsvarlig handlemåte, jf. Banklovkommisjonens uttalelse i Utredning nr. 1 side 144. Denne uttalelsen ble også lagt til grunn i Rt. 2004 side 499 som gjaldt tyveri av et betalingskort. I Rt. 1989 side 1318 og Rt. 1995 side 486 ble også en slik forståelse lagt til grunn. 5 I Banklovkommisjonens Utredning nr. 1 ble det også fastslått at avtaler om betalingskort som regel vil inneholde bestemmelser om bruk og oppbevaring av kort og tilhørende kode. Slike handlings- og adferdsregler ble antatt å ligge i bunn for aktsomhetsvurderingen. Det samme må etter Banklovkommisjonens oppfatning gjelde for bruk av nettbank, telefonbank eller lignende nettbaserte betalingsinstrumenter i forhold til kundens behandling av de enkelte betalingsoppdragene. Det tas i denne sammenheng utgangspunkt i avtalen som kunden og institusjonen inngår i forhold til bruk av nettbanktjenesten.

1) I standardavtalen som er utarbeidet av Sparebankforeningen og FNH om vilkår for disponering av konto ved nettbank mv for forbruker, er det ikke inntatt bestemmelser som direkte vedrører feil og tap som er forårsaket av kunden i forbindelse med selve betalingsoppdraget. Av regelen om at beløpet overføres til oppgitt kontonummer kan det imidlertid sies å ligge den konsekvens at feil registrering er et forhold som kunden som utgangspunkt står ansvarlig for. Visse bankinstitusjoner har gitt egne vilkår om betaling via nettbaserte hjelpemidler som presiserer dette. Her er det blant annet bestemt at kunden har ansvar og risiko for tap som skyldes feil registrering, teknisk svikt og lignende frem til betalingsoppdraget er mottatt av institusjonen.

Ettersom Banklovkommisjonen er innstilt på å foreslå en regel hvor tap som følge av kundens egne feil, enten dette har medført en utilsiktet eller urettmessig betalingstransaksjon, som hovedregel bare skal være gjenstand for en begrenset egenandel, ser ikke kommisjonen grunn til å legge noe videre vekt på kontoavtalen og dens eventuelle betydning i forhold til vurderingen av om kunden har opptrådt grovt uaktsomt eller ikke.

Spørsmålet blir videre hvilke forhold rundt transaksjonen som skal vurderes og vektlegges for å avgjøre om kunden har opptrådt grovt uaktsomt. Det må her for det første sees hen til de sikkerhetsrutinene som bankinstitusjonene selv har innført, jf. tiltakene for nettbanktjenesten som er angitt i avsnitt 1.3 foran. Slik nettbanktjenesten fungerer i dag er det innbygget flere kontrollmekanismer som skal gjøre tjenesten mer sikker for kunden. Dette vedrører blant annet at tjenesten har kontrollbilde hvor kunden kan se kontonummer, beløp, dato og eventuell KID eller melding til mottaker i en oversiktlig form. I tillegg må kunden aktivt ta stilling til informasjonen i kontrollbildet før betalingen blir iverksatt. I dette ligger en kontrollmulighet som kunden selv i varierende grad vil kunne ta hensyn til.

Det at kunden eventuelt bekrefter betalingsoppdraget vil således være et forhold som kan sees på som et avvik fra vanlig forsvarlig handlemåte. Det er imidlertid ikke like sikkert at alle slike tilfeller skal anses som et «markert avvik», og forholdene rundt selve bekreftelsen og kundens bruk av de tilgjengelige kontrollmekanismer vil være viktige faktorer. Kravet til aktsomhet og forsiktighet vil blant annet måtte anses å øke hvor det dreier seg om større betalingsoppdrag. I slike tilfeller vil det antageligvis være lettere å kunne konstatere et markert avvik enn ved de mindre betalingsoverføringene. Banklovkommisjonen nevner videre at bankinstitusjonene nå tilbyr nettbank på mobil (mobilbank, jf. avsnitt 5.2.2). Her er oversiktsbildet betraktelig mindre og danner ikke den samme oversiktsformen som vanlige pc-skjermer gjør. Dersom kunden gjør en feil her må det antas at spørsmålet og vurderingen av om kunden har vist et «markert avvik fra vanlig forsvarlig handlemåte» vil kunne falle noe annerledes ut enn dersom kunden har brukt en pc-skjerm.

Hvilke faktorer som vil være relevante ved vurderingen av om det er utvist grov uaktsomhet av kunden er inntatt i lovforslaget, se utkastet § 37b tredje ledd og merknader til bestemmelsen. Den skal for øvrig ikke anses som en uttømmende angivelse.

2) I forhold til de urettmessige transaksjonene og de feil som kan henføres til kunden i denne sammenheng, er det fastslått flere atferdsregler i kontoavtalen mellom partene som vil være relevante i vurderingen av om kunden har opptrådt grovt uaktsomt. I standardavtalen punkt 3, er det blant annet slått fast at

«[k]ontohaver må påse at uvedkommende ikke får kjennskap til personlig kode eller utstyr for supplerende sikkerhetsprosedyre. Personlig kode skal ikke noteres slik at den kan forstås eller brukes av andre. Ved tap av personlig kode og/eller utstyr for å gjennomføre sikkerhetsprosedyre eller mistanke om at dette er på avveie, skal kontohaver snarest mulig melde fra til banken, enten ved egen funksjon for tjenesten eller pr telefon, telefaks eller e-post slik banken har anvist. Banken vil notere tidspunkt for mottak av meldingen og uten ugrunnet opphold sende kontohaver en skriftlig bekreftelse om at meldingen er mottatt. Banken vil ikke kreve vederlag for slik melding om tap av kode/sikkerhetsprosedyre.»

Standardavtalen angir atferdsregler som først og fremst har betydning i forhold til de tradisjonelle former for urettmessig tilegnelse av tilgangsinformasjon og urettmessig bruk av kundens konto, for eksempel ved innbrudd i bolig og/eller tyveri. For å vurdere om kunden i slike tilfelle skal kunne lastes og videre avgjøre om kunden eventuelt har opptrådt grovt uaktsomhet, har Banklovkommisjonen gjennomgått relevant praksis fra domstolene og Bankklagenemnda. Ettersom atferdsreglene ikke atskiller seg i stor grad fra de brukerveiledninger som brukere av betalingskort gis, har Banklovkommisjonen også gjennomgått praksis i forbindelse med urettmessig bruk av slike betalingsinstrumenter. Det nevnes for øvrig at praksis i forhold til nettbanktransaksjoner er knyttet opp mot gjeldende finansavtalelov § 34 hvor utvist grov uaktsomhet innebærer at kunden holdes ansvarlig for hele beløpet. Dette kan antas å ha hatt en viss betydning på bedømmelsen av om kunden har utvist grov uaktsomhet eller ikke, for eksempel fordi rettsinstansen har ansett det som urimelig at kunden skal måtte holdes for hele beløpet uten at dette uttrykkelig har fremkommet av premissene for avgjørelsen, jf. for øvrig alminnelige prinsipper for lemping av ansvar.

I BKN 2007-150 ble det ikke statuert grov aktsomhet i forbindelse med misbruk av konto ved nettbanktransaksjoner. Det var kontohavers sønn som hadde misbrukt kontoen. Nemnda la til grunn at sønnen måtte ha hatt kjennskap til kontohavers personlige kode, samt hatt kodebrikken. Det var uavklart hvorledes kontohaver hadde oppbevart koden. Nemnda viste imidlertid til at sønnen hadde utvist et forbrytersk forsett, og bedratt sin mor på en utspekulert måte, og kom til at misbruket ikke var muliggjort ved grov uaktsomhet.

I BKN 2007-044 hadde kontohavers datter urettmessig overført 100.000 kroner fra kontohavers brukskonto til sin egen konto via nettbank. Det var etter nemndas oppfatning ikke grunn til å kritisere kontohaver for å ha oppbevart sikkerhetskortet i en skuff i sin stue. Det var heller ikke grunnlag for å kritisere kontohaver for å ha en telefon som har en funksjonalitet der man kan bla i tidligere inntastede siffer, herunder nødvendige koder for å bruke nettbanken. Nemnda fant det klart at kontohaver ikke hadde muliggjort misbruket av kontoen ved grov uaktsomhet.

I sak BKN-04132 hadde kontohaver, en skole, hatt innbrudd i sine lokaler. Kontohaver opplyste å ha oppbevart en personlig kode og et sikkerhetskort sammen i et låst arkivskap, som ble brutt opp. Skolens konto ble misbrukt for til sammen 23.000 kroner ved overføringer i nettbank. Nemnda antok at misbruket enkelt kunne ha vært forhindret, ved at koden og sikkerhetskortet hadde vært oppbevart atskilt. Nemnda kom til at misbruket var muliggjort ved grov uaktsomhet og at kontohaver kunne holdes ansvarlig, jf. finansavtaleloven § 34.

Bankklagenemnda kom i sak BKN-04098 til samme resultat hvor en menighets nettbankkonto ble misbrukt som følge av innbrudd og tilegnelse av kode og sikkerhetskort som var oppbevart sammen i et pengeskrin.

I BKN-07110 var kortholders betalingskort misbrukt ved minibankuttak for til sammen 20.000 kroner den samme dagen han dro på ferie til Syden, og hvor en ung dame flyttet inn i hans hus for å passe hunden. Nemndas flertall fant det mest sannsynlig at betalingskortet med en lapp med pinkoden hadde vært oppbevart sammen på kortholders hjemmekontor med ukontrollert tilgang for tredjemann, og at misbruket var muliggjort ved grov uaktsomhet. Kortholder ble derfor holdt ansvarlig for egenandelen på 8.000 kroner, jf. finansavtaleloven § 35 annet ledd.

I BKN-07146 var kortholder blitt frastjålet betalingskort under uavklarte omstendigheter. Kortet ble misbrukt ved minibankuttak og varekjøp for 19.544 kroner før kortet ble sperret. Korrekt kode ble tastet på første forsøk. Nemndas flertall fant det mest sannsynlig at koden, eventuelt i dårlig kamuflert form, hadde vært oppbevart og kommet på avveie sammen med kortet, og at misbruket var muliggjort ved grov uaktsomhet. I denne forbindelse ble det lagt vekt på at kortet ikke hadde vært brukt i forkant av misbruket slik at det ikke kunne være snakk om en «kikk-over-skulder-situasjon».

I Rt. 2004 side 499 hadde kortinnehaver under et opphold i Barcelona lagt fra seg sine betalingskort i en låst koffert i en låst leilighet. I samme koffert lå en syvende sans, der kodene til kortene – deriblant et kort som ble misbrukt – var skrevet ned på en kamuflert måte. Spørsmålet var om kortinnehaveren ved grov uaktsomhet hadde muliggjort andres misbruk av betalingskortet. Flertallet kom til at kortinnehaveren kunne bebreides, men at forholdet ikke kunne sies å ha vært grovt uaktsomt. I denne forbindelse finner Banklovkommisjonen grunn til å nevne en artikkel av Olav Torvund, publisert i Lov&Data 2003 nr. 75 side 1 med tittel: «Kamuflering av PIN-koder: noen refleksjoner om Borgartings lagmannsretts dom i RG-2002-1273 og senere praksis fra Bankklagenemnda.» Den hovedkonklusjon som trekkes er at det ikke i seg selv er grovt uaktsom å notere koden i en kamuflert form og oppbevare dette notatet sammen med kortet. Men koden må kamufleres på en slik måte at det ikke er nærliggende for andre å anta at dette er PIN-koden til betalingskortet.

Når det gjelder den siste avgjørelsens betydning i forhold til urettmessig bruk av en nettbankkonto, nevner Banklovkommisjonen at kamuflering av koder ikke er et like aktuelt tema i denne sammenheng. Bruk av engangskodeverktøy vil redusere betydningen og aktualiteten av dette. Det at personlige passord på en forholdsvis enkel måte kan tilegnes vil imidlertid måtte trekkes inn i vurderingen. Dette gjelder særlig dersom dette skjer i sammenheng med tilegnelse av engangskodeverktøyet. Om de er oppbevart på et sikkert sted vil også spille inn i vurderingen, herunder gjerningspersonens fremgangsmåte for å tilegne seg kodene. Jo mer utspekulert dette gjøres, jo mer må det antas å helle i retning av at kontohaveren ikke har opptrådt grovt uaktsomt.

3) Banklovkommisjonen finner videre grunn til å nevne at standardavtalen – i forhold til hvordan kunden skal gå frem for å redusere risikoen for at det oppstår misbruk – kun er et utgangspunkt for institusjonens nærmere regulering og veiledning. I institusjonenes egne vilkår forekommer det derfor visse avvik, og reguleringen er noe mer konkretisert enn standardavtalen. I noen nettbankavtaler er det for eksempel fastslått at kunden selv har ansvar for eget utstyr, slik som programvare, maskinvare, telefon, PC, modem, kommunikasjonsutstyr samt annet tilhørende utstyr. Dette er i noen av nettbankvilkårene utformet slik at kunden har ansvar for at datautstyr, programmer og nett til enhver tid tilfredsstiller de krav som stilles av institusjonens bruk av tjenesten. Dette gjelder blant annet at kunden installerer den antivirus- og brannmurprogramvare som følger med datamaskinen eller som leveres av kundens internettleverandør, og at programvaren oppdateres jevnlig, jf. også avsnitt 5.7.2 foran.

Flere av bankinstitusjonene informerer også kundene sine om at de har et ansvar for å beskytte datamaskinen sin. I noen av vilkårene er det også bestemt at institusjonen ikke er ansvarlig for tap som skyldes «ukorrekt bruk» av kunden. Det er nærliggende å anta at «ukorrekt bruk» også vil kunne omfatte annen feilbruk av kunden, som for eksempel at det ikke er installert tilfredsstillende sikkerhetsprogram på datamaskinen, se foran avsnitt 5.7.2.

I denne sammenheng nevner Banklovkommisjonenat urettmessig bruk som følge av tilegnelse av nødvendig brukerlegitimasjon nettopp kan oppstå som følge av tredjemanns tilgang til kundens maskinvare, programvare mv., jf. for så vidt avsnitt 5.6.2 punkt 2) foran. Dette kan karakteriseres som en nettbasert fremgangsmåte for å få tilgang til kundens nettbankkonto. Spørsmålet er i denne sammenheng om kunden skal anses for å ha opptrådt grovt uaktsomt dersom institusjonens regler, oppfordringer eller veiledninger ikke er fulgt. Som ved de tradisjonelle fremgangsmåtene for å tilegne seg nødvendig brukerlegitimasjon, antar Banklovkommisjonenat svaret på dette vil variere. Banklovkommisjonenunderstreker imidlertid at en regel om at kunden har ansvar for datamaskinen, programvaren mv. ikke kan forstås dit hen at enhver urettmessig bruk som følge av en slik nettbasert fremgangsmåte innebærer at kunden skal anses for å ha opptrådt uaktsomt. Det ville være å nedlegge en for streng handlingsnorm for kundene. I denne forbindelse vises det til departementets uttalelse om grov uaktsomhet i forhold til betalingskortene i Ot.prp. nr. 41 (1998-99) side 44. Her ble det fastslått at en nemnd eller domstol ikke vil kunne

«legge til grunn at kunden har opptrådt grovt uaktsomt uten at det foreligger særskilte holdepunkter for dette. At PIN-koden er brukt uten at kunden har noen forklaring på hvordan koden er blitt kjent for uvedkommende, kan ikke være tilstrekkelig til å legge til grunn at kunden har opptrådt grovt uaktsomt og på dette grunnlag ilegge ansvar. Koden kan f.eks ha blitt kjent for uvedkommende ved at misbrukeren, uten at kunden har merket det, har iakttatt kundens inntasting av kode i forbindelse med bruk av kortet.»

Det samme må gjelde i forhold til urettmessig bruk av nettbaserte betalingsoverføringsformer som nettbanktjenesten. Det kan for eksempel tenkes at kunden ikke har blitt oppmerksom på at uvedkommende har installert et program på datamaskinen til kunden og ut fra dette tilegner seg nødvendige inngangsopplysninger til kundens nettbanktjeneste. Denne risikoen vil ytterligere økes dersom kunden bruker en maskin som ikke er hans eller hennes, for eksempel på hotell eller andre steder hvor det er mulig vederlagsfritt eller mot et vederlag å bruke datamaskiner med oppkobling mot Internett.

Dette tilsier likevel ikke at enhver tilegnelse av nødvendig brukerlegitimasjon ved hjelp av nettbaserte virkemidler skal anses å være unnskyldelig. I visse tilfeller antar Banklovkommisjonen at kunden kan sies å ha opptrådt grovt uaktsomt. Dette vil for eksempel gjelde de situasjoner hvor kunden har hatt flere anledninger til å installere autentisk programvare som forhindrer datainnbrudd, særlig dersom kunden har blitt tilbudt slik installasjon av bankinstitusjonen eller institusjonen på en enkel måte har tilrettelagt for slik installering. Et annet moment av betydning vil være hvor enkelt inntrengeren har tilegnet seg inngangsopplysningene. Dersom personlig passord er lagret i et dokument på kundens datamaskin vil gjerningspersonene enkelt kunne tilegne seg denne, noe som bør tillegges vekt i denne sammenheng. Med bruk av engangskodeverktøy, vil kodene imidlertid genereres tilfeldig slik at kunden ikke har mulighet til å notere eller lagre denne informasjonen. Det at inntrengeren på enkelt vis får tak i kundens personlige passord vil imidlertid kunne gjøre resten av prosessen med å komme seg inn på kundens nettbank noe enklere, og bør således inngå som et moment i vurderingen av om kunden har opptrådt grovt uaktsomt eller ikke. Banklovkommisjonenhar imidlertid ikke ansett det nødvendig å foreslå en regel om at kunden blir ansvarlig på lik måte som om vedkommende hadde opptrådt grovt uaktsomt dersom kunden ikke underretter institusjonen snarest etter at kode eller engangsverktøy er kommet bort. Det vises til avsnitt 6.3.4 nedenfor.

De personlige forutsetningene bør også tillegges vekt, enten det dreier seg om datainnbrudd eller tradisjonelt tyveri eller innbrudd. Banklovkommisjonen viser her til RG 2002 side 1273 som vedrørte ansvar ved misbruk av betalingskort. Lagmannsretten uttalte at det ved «avgjørelsen av om en person har handlet grovt uaktsomt må det blant annet legges vekt på vedkommendes personlige evner, egenskaper og forutsetninger». Når det gjelder urettmessig bruk via en kundes oppkobling mot Internett, kan således uaktsomhetsvurderingen falle forskjellig ut alt etter kundens kunnskap til datamaskin og installering av sikkerhetsprogrammer. Banklovkommisjonen bemerker her igjen at dette blant annet må knyttes opp til hvor lett tilgjengelig bankinstitusjonen har lagt til rette for slik installering.

Det er ellers begrenset med relevant praksis på dette området, og praksis er i stor grad knyttet opp mot tradisjonelle forbrytelser, jf. punkt 2) foran. Dette betyr imidlertid ikke at risikoen for at det skjer urettmessig bruk av en kundes nettbankkonto ved hjelp av nettbaserte virkemidler er liten, og at det vil oppstå spørsmål om kunden har opptrådt grovt uaktsomt i denne sammenheng eller ikke. I fremtiden vil omfanget antagelig avhenge av det teknologiske forholdet mellom bankinstitusjonenes utvikling av sikkerhetsforordninger og handlingsmønstre til datakriminelle.

Når det gjelder krav til dokumentasjon fra kunden i forbindelse med både utilsiktede og urettmessige transaksjoner, vises det til avsnitt 6.3.6 nedenfor.

6.3.3 Ubegrenset ansvar

Banklovkommisjonen har videre foreslått bestemmelser som i særlige tilfelle pålegger kontohaveren fullt ansvar for tap som skyldes feilbruk eller misbruk av den nettbaserte betalingstjenesten. Dette gjelder for det første de tap som er en følge av feilbruk eller misbruk som må anses voldt ved forsett utvist av brukeren eller noen brukeren har overlatt nødvendig brukerlegitimasjon til. Det er imidlertid viktig å merke seg at forsettet – i samsvar med vanlige skyldprinsipper – må henspeile seg på både selve handlingene og konsekvensen av handlingen. I enkelte tilfeller vil det kunne være tvil om det foreligger forsett fra kundens side eller ikke. Banklovkommisjonen har for et praktisk tilfelle forsøkt å løse dette ved å bestemme at ansvarsgrensene ikke gjelder ved feilbruk som følge av at kontohaveren eller noen nødvendig brukerlegitimasjon er overlatt, da betalingsordren ble gitt, bevisst har oversett en særskilt varslingsordning etablert for å hindre slik feilbruk, jf. utkastet § 37b fjerde ledd annet punktum. I forlengelsen av dette, er det behov for å skille mellom de ulike ordinære kontrollordninger som er innebygd i systemet generelt og en særskilt varslingsordning, for eksempel et enkelt og særlig iøynefallende kontrollbilde, som aktiviseres i de tilfeller hvor transaksjonen etter beløp eller annen måte atskiller seg fra transaksjoner flest. Da må det kreves at kontohaveren på nytt forvisser seg om at betalingsoppdraget er utformet i samsvar med hans ønskemål før det sendes. Hvis derimot kontohaveren bevisst har oversett en slik tydelig fremkommet kontrollvarsel og likevel sendt et betalingsoppdrag, må det normalt legges til grunn at kunden må ha tatt risikoen for tap som vil oppstå.

Når det gjelder tap som oppstår som følge av urettmessig bruk, antar Banklovkommisjonen at tapet normalt må anses voldt forsettlig dersom kunden har overlatt brukerlegitimasjonen til et familiemedlem som i betydelig grad har belastet kontoen eller belastet den ut over den grensen kontohaveren har fastsatt. I slike tilfeller kan for øvrig fullmaktsbetraktninger føre til samme resultat. I tilfelle hvor en tredjemann har tilegnet seg nødvendig brukerlegitimasjon og misbrukt kontoen, vil forholdet sjelden være at kunden bevisst har utvist en så høy grad av uforsiktighet ved oppbevaringen av den nødvendige brukerlegitimasjonen at tapet kan sies å være voldt ved forsettlig handlemåte fra kundens side. En annen sak er at kunden vil kunne få ansvar for å ha unnlatt å underrette institusjonen etter å ha fått kjennskap til at det har skjedd feilbruk eller misbruk av sin egen nettbaserte konto, se nedenfor avsnitt 6.3.4.

Kan kunden bebreides for å ha oppbevart kode og annet sikkerhetsverktøy skjødesløst og forholdsvis lett tilgjengelig for uvedkommende, vil således kundens handlemåte normalt måtte karakteriseres som grov uaktsomhet i forhold til tap som oppstår som følge av urettmessig bruk. For de nettbaserte fremgangsmåtene, det vil si tilegnelse av nødvendig brukerlegitimasjon ved kontakt med kunden eller kundens datamaskin og programvare via Internett, vil det samme kunne legges til grunn selv om kunden i og for seg har mottatt et varsel via media eller fra institusjonen, om at det må vises særlig varsomhet i forhold til å besøke spesifikke nettsteder, installering av konkrete programmer på kundens datamaskiner eller lignende, men ikke har fulgt opp slike advarsler.

Videre har Banklovkommisjonen også gjort unntak for egenandelansvaret i de tilfeller hvor kunden har utvist eller medvirket til svik, jf. henvisningen til finansavtaleloven § 34 fjerde ledd i lovutkastet § 37b femte ledd. Situasjoner med forsett og svik kan for øvrig ha glidende overganger. Banklovkommisjonen har imidlertid ikke funnet grunn til å gå nærmere inn på dette, ettersom kunden uansett vil holdes ansvarlig for det oppståtte tapet. Svik vil for øvrig forutsette et avtalt samarbeid mellom kontohaveren og den tredjemann som innehar den konto som betalingsmidlene er overført til. Identiteten til betalingsmottakeren vil imidlertid være kjent som følge av at regelverket mot «hvitvasking» av penger krever at opprettelse av konto bare kan skje dersom innehaveren fremviser pass eller annen sikker legitimasjon (lov av 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger). I forhold til risikoen for at pengene overføres til utlandet understreker Banklovkommisjonen at det gjelder særskilte regler som skal forhindre urettmessige grenseoverskridende transaksjoner. Dersom betalingsmottakeren urettmessig disponerer midler overført til sin konto, vil det normalt innebære overtredelse av sentrale strafferettsbestemmelser som skal motvirke økonomisk kriminalitet. Banklovkommisjonener i og for seg klar over at man ikke kan se bort fra at svik etter samarbeid mellom en kontohaver og en betalingsmottaker også vil kunne forekomme ved nettbaserte betalingstjenester, men en antar at oppdagelsesrisikoen er så vidt påtagelig at dette vil bidra til å redusere omfanget av slik økonomisk kriminalitet. Det vises for øvrig til at det ikke foreligger opplysninger om i hvilken utstrekning det må antas at kunder har eller kan ha utvist svik ved bruk av nettbaserte betalingstjenester.

6.3.4 Underretning til institusjonen

Underretning til institusjonen kan ha viktige økonomiske konsekvenser for kunden i forskjellige tilfelle. Dette henspeiler seg for det første på underretning til institusjonen dersom kunden oppdager forhold som skaper særlig stor fare for misbruk, for eksempel dersom kode eller annet nødvendig tilgangsverktøy kan ha blitt tilgjengelig for uvedkommende. Dersom kunden varsler institusjonen om slike forhold, er Banklovkommisjonenav den oppfatning at kunden ikke kan holdes ansvarlig for urettmessige transaksjoner som oppstår i etterkant av slikt varsel. I lovforslaget er det vist til finansavtaleloven § 34 tredje ledd første punktum hvor denne bestemmelsen er inntatt, og Banklovkommisjonen viser ellers til kommisjonens Utredning nr. 1 side 143.

For det andre – og motsvaret til regelen foran – bør manglende varsel dersom kunden har fått kjennskap til at nødvendig brukerlegitimasjon er kommet bort eller må ha kommet på avveie, eller innen rimelig tid etter at dette burde være oppdaget, ha visse konsekvenser for kunden. Banklovkommisjonenunderstreker at det er den brukerlegitimasjon som er nødvendig for å få tilgang til tjenesten som må ha kommet bort. Dette omfatter både personlig kode og annen nødvendig sikkerhetsverktøy. Det kan hevdes at kravet om underretning bør gjelde både dersom personlig kode eller annet sikkerhetsverktøy er kommet bort eller på avveie. Det kan her vises til finansavtaleloven § 35 annet ledd bokstav b) hvor kun betalingskort er omtalt og ikke PIN-kode mv., se også Banklovkommisjonens Utredning nr. 1 side 145. Forskjellen mellom betalingskort og annen nettbasert betalingstjeneste er imidlertid at betalingskortet i seg selv ofte kan lede til urettmessig bruk. Dette gjelder særlig for kredittkortene hvor belastninger kan gjøres ved hjelp av underskrift og ikke inntasting av personlig kode. Banklovkommisjonennevner for øvrig at personlig kode til annen nettbasert betalingstjeneste må antas å kunne gjøre den videre prosessen enklere. Ettersom den ikke alene kan medføre direkte urettmessige betalingstransaksjoner har Banklovkommisjonenkommet til at kravet om underretning bare gjelder dersom den nødvendige brukerlegitimasjonen, det vil si personlig kode og annet sikkerhetsverktøy, er kommet bort.

I tråd med betalingskortreglene i finansavtaleloven har imidlertid ikke Banklovkommisjonen funnet grunn til å ilegge kunden et ubegrenset ansvar for slike tilfelle, men at kontohaveren i stedet svarer med en begrenset andel satt til 12.000 kroner for den urettmessige transaksjonen, jf. utkastet § 37b annet ledd annet punktum. Banklovkommisjonen bemerker at det ikke stilles krav til grov uaktsomhet etter denne regelen, kun vanlig uaktsomhet. Bestemmelsen pålegger kunden plikt til å foreta en viss kontroll og reagere snarest mulig når tapet av kode mv. er eller burde vært oppdaget.

For det tredje har Banklovkommisjonen funnet grunn til å innta en bestemmelse om at ansvarsgrensene ikke gjelder dersom kunden har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til feilbruk eller misbruk av den nettbaserte betalingstjenesten, jf. lovutkastet § 37b femte ledd annet punktum. I en slik situasjon fremstår det som urimelig at korthaveren skal være beskyttet av beløpsgrensen.

6.3.5 Lemping av ansvar

Banklovkommisjonen mener videre at det bør innføres en regel om lemping av ansvar for kunden dersom ansvaret etter forholdene vil virke urimelig tyngende for kunden. Regelen bygger på finansavtaleloven § 36, jf. utkastet § 37c, men er mer rettet mot konsekvensen av at kunden blir pålagt ansvar. Det skal tas hensyn til om måten kontoen kan disponeres på ikke er betryggende, og om den nettbaserte betalingstjenesten er i samsvar med forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner for den nettbaserte betalingstjenesten. Dette bør imidlertid bare gjelde dersom den utilsiktede eller urettmessige betalingsoverføringen har sammenheng med slike forhold.

Det bør også tas hensyn til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den urettmessige eller utilsiktede betalingsoverføringen ble utført. Ved vurdering av om kundens ansvar skal reduseres eller falle bort vil det videre ofte være naturlig å trekke inn kundens forhold. Dersom kontohaveren har opptrådt sterkt klanderverdig vil det kunne være grunn til å ikke redusere kontohaverens ansvar.

For øvrig bør det tas hensyn til praksis i tilknytning til lemping av erstatningsansvar etter skadeserstatningsloven av 13. juni 1969 nr. 26 § 5-2.

6.3.6 Reklamasjon. Tilbakeføring

1) Spørsmålet om institusjonens plikt til å tilbakeføre beløpet skal inntre straks det har skjedd en feil, eller om institusjonen bare skal ha en slik plikt dersom kunden har lidd et tap, er forutsatt vurdert opp mot løsningsalternativet om tapsbegrensning for kunden, jf. mandatet og avsnitt 6.2.3 foran. Det at kunden skal ha lidt et tap forutsetter, i forhold til de tilfelle hvor kunden på utilsiktet vis har gjennomført en betalingstransaksjon, at mottaker av pengene ikke vil eller kan tilbakebetale det urettmessig mottatte beløpet. I forhold til urettmessig bruk av den nettbaserte betalingstjenesten, vil tapet som oftest oppstå umiddelbart, ettersom misbruket er et resultat av en kriminell atferd med et målrettet ønske om gevinst for gjerningspersonen.

Når det gjelder de tilfelle hvor det har forekommet urettmessig bruk, har Banklovkommisjonen sett det som hensiktsmessig å videreføre de regler og prinsipper som gjelder for reklamasjon og tilbakeføring ved misbruk av konto og betalingskort, jf. finansavtaleloven § 37. Det vises her til Banklovkommisjonens Utredning nr. 1 side 146-147 og Ot.prp. nr. 41 (1998-99) side 44-45. Deler av de synspunkt og begrunnelser som har fremkommet her, vil også måtte antas å gjelde i forhold til reklamasjon og tilbakeføring ved tap som har oppstått som følge av en utilsiktet nettbasert betalingsoverføring. Utover dette mener Banklovkommisjonen imidlertid at prinsippene bør påbygges noe, særlig spørsmål om krav til dokumentasjon fra kunden, jf. lovutkastet § 37d annet ledd.

2) Det at mottaker ikke kan eller vil betale tilbake kan ha sitt utspring i forskjellige faktorer. Mottaker kan for eksempel ha brukt opp pengene uten mulighet til å tilbakebetale beløpet, for eksempel ved konkurs uten at boet gir dekning for det urettmessige beløpet. Det kan også forekomme tilfeller hvor mottaker mener seg berettiget til pengene. Kunden må i verste fall fremme saken for forliksrådet eller domstolene for å få en rettskraftig avgjørelse som kan gjennomføres av namsmyndighetene. Før pengene kommer tilbake til kunden, kan det slik sett gå lang tid.

Etter Banklovkommisjonens mening er institusjonen bedre rustet til å foreta en slik inndriving. Både prosessbyrden som eventuelt legges på kunden og tidsrommet før pengene tilbakebetales, taler for at institusjonens plikt til å tilbakeføre beløpet bør inntre straks. Dette synspunktet bør imidlertid modifiseres noe. Det må antas at det i de fleste tilfelle vil stilles spørsmål ved om kunden har opptrådt grovt uaktsomt, slik at kunden eventuelt bare vil motta en del av det tapte beløpet. Dokumentasjonen om forholdene rundt tapssituasjonen er derfor meget viktig i et økonomisk perspektiv, både for kundens og institusjonens del. Dette spørsmålet var også oppe i forbindelse med forslaget til regler om betalingskortene i finansavtale­loven. Her kom departementet til at en særskilt bevisbyrderegel hvor institusjonen måtte bevise de faktiske forhold rundt den urettmessige bruken, ikke burde forfølges, jf. også avsnitt 2.6.5 foran. Begrunnelsen for dette var at det i praksis vil være kontohaveren som har best kjennskap til de faktiske forhold, blant annet hvordan PIN-koden har vært oppbevart, jf. Ot.prp. nr. 41 (1998-99) side 43 følgende. Det ble ikke antatt å være rimelig at institusjonen skulle pålegges en bevisbyrde for slike forhold.

Overført på de nettbaserte betalingstjenestene, er Banklovkommisjonen av den oppfatning at lignende synspunkter bør legges til grunn også her. Banklovkommisjonen har imidlertid tatt hensyn til de potensielle sviksituasjonene som kan oppstå ved en slik regulering. For at institusjonen på enklere vis kan vurdere om kunden har gått frem på en måte som kan anses som enten unnskyldelig, grov uaktsom eller forsettlig, mener Banklovkommisjonen at reklamasjonen bør begrunne kravet på en rimelig måte. I dette ligger et krav om at kunden gir en beskrivelse av omstendighetene rundt feiltransaksjonen. Kunden plikter i tillegg å gi opplysninger til institusjonen om, og på hvilken måte, det er gjort forsøk på å få betalingsmottakeren til å tilbakeføre beløp som utilsiktet eller urettmessig er overført til mottakeren. Ut fra en slik reklamasjon vil institusjonen ha et bedre vurderingsgrunnlag i forhold til om saken bør bringes inn for nemnd- eller domstolsbehandling, jf. prinsippet om at institusjonen skal ha prosessbyrden i lovutkastet § 37d tredje og fjerde ledd, jf. også finansavtaleloven § 37 annet og tredje ledd.

Om kunden skal bære en større del av tapet eller – for forsetts- og sviktilfellene – fullt ut, avhenger av hva slags avgjørelse kunden oppnår i en nemnd eller domstol. Banklovkommisjonen nevner at det på samme vis som ved urettmessig bruk bør foreligge særskilte holdepunkter for at kunden eventuelt har opptrådt grovt uaktsomt eller forsettlig i sin behandling av betalingsoppdraget eller i sin oppbevaring av kode og annet sikkerhetsverktøy og generell håndtering av systemene for de nettbaserte betalingstjenestene. Omstendighetene rundt den utilsiktede eller urettmessige transaksjonen kan – utover reklamasjonen fra kunden – være vanskelig å bevise, noe som bør undergis vanlige parts- og vitneforklaringer med nemndens eller domstolens egen vurdering av forklaringens troverdighet og vekt. Det vises for øvrig til avsnittene 6.3.2 og 6.3.3 foran.

7 Administrative og økonomiske konsekvenser

7.1 Innledning

I denne utredningen fremmer Banklovkommisjonen utkast til endringer i finansavtalelovens kapittel 2. Endringene inntas som et nytt avsnitt Va i kapitlet. Utkastet gir kontohavere en større sikkerhet i forhold til potensielle tapssituasjoner ved bruk av nettbasert betalingstjeneste og er ansett som et nødvendig tiltak i forhold til den utvikling som har skjedd innenfor banknæringen og økt bruk av nye og mer avanserte betalingsoverføringsmekanismer.

Lovutkastet viderefører prinsippene fra finansavtalelovens kapittel 2 V, men omfatter, i tillegg til tapssituasjoner som er forårsaket av urettmessig bruk, også de tilfeller hvor det har oppstått tap som følge av utilsiktede betalingsoverføringer. Banklovkommisjonen mener at behovet for regulering av ansvarsforholdene når det gjelder tap som har oppstått ved bruk av nettbasert betalingstjeneste, gjør seg gjeldende både når det gjelder feilbruk fra kundens side og uvedkommendes misbruk av nettbankkonti. Selv om det i utgangspunktet er forskjell på tilfelle av utilsiktet og urettmessig betalingsoverføring, er dette neppe av avgjørende betydning ved utformingen av en ny regulering av ansvarsforholdene. I begge tilfelle kan det dreie seg om tap som kan tilbakeføres til manglende forsiktighet og aktsomhet fra kundens side når det gjelder å overholde den brukerveiledning som er gitt fra nettbankens side både når det gjelder selve bruken av betalingstjenesten og når det gjelder å hindre at uvedkommende får tilgang til kundens brukerlegitimasjon. Uavhengig av hvilken type av feil som måtte være utvist fra kundens side, vil avvik fra brukerveiledningen kunne føre til meget tyngende tap for den enkelte kunde.

Banklovkommisjonen har ansett betalingskortreglene som velfungerende i dagens samfunn og har bygget på flere av de momenter som ble lagt til grunn den gang Banklovkommisjonen fremmet forslag om slike regler, jf. Banklovkommisjonens Utredning nr. 1. Utkastet innebærer således i flere tilfeller en tapsbegrensning for kunden dersom det oppstår urettmessige eller utilsiktede betalingsoverføringer.

Banklovkommisjonen har ikke ansett en lovregulering med tilsyn, samt tiltak fra institusjonene selv som tilstrekkelig i forhold til risikoen for at tap som er foranlediget av forhold på kundens side kan forekomme. De elektroniske systemer for betalingstjenester stiller andre krav til kontroll- og sikkerhetsrutiner enn de tradisjonelle papirbaserte tjenestene. Dataene i betalingssystemene representerer videre store verdier. Dette gjør betalingssystemene utsatt for misbruk av systemene, for eksempel urettmessige overføringer eller uttak fra konti, eller organisert sabotasje.

7.2 Økonomiske og administrative konsekvenser for det offentlige

Banklovkommisjonen har ved utarbeidelsen av forslaget om lovregler for nettbasert betalingstjeneste lagt vekt på å utarbeide et så enkelt og videreførbart regelverk som mulig. Dette skulle redusere behovet for det offentlige til å sette seg inn i lovverket.

Banklovkommisjonen anser at den gjeldende forskriftshjemmelen i finansavtaleloven § 35 siste ledd, vil miste noe av sin aktualitet. Banklovkommisjonen har likevel ansett det hensiktsmessig å bevare denne hjemmelen. Med den teknologiske utviklingen kan det ikke utelukkes at det etableres nye former for betalingsformidling som bygger på brukerlegitimasjon, men som ikke nødvendigvis er knyttet opp til Internett eller annet elektronisk nettverk.

Ettersom bankinstitusjonene kan forhindre tilbakeføring ved å bringe saken inn for nemnd- eller domstolsbehandling, kan det ikke utelukkes at det jevnt over vil fremmes mange saker for de aktuelle instansene. Det må legges til grunn at flere tvister ikke har kommet så langt under de nåværende reglene, ettersom dette i mange tilfeller har måttet bero på at kunden selv fremmer saken. Når prosessbyrden legges på institusjonen, må det antas at flere saker vil bringes inn. Dette vil særlig angå spørsmålet om kunden har opptrådt grovt uaktsomt eller ikke. Banklovkommisjonen antar imidlertid at disse spørsmålene ikke vil by på merarbeid for instansene. Spørsmål om grov uaktsomhet har allerede i stor grad vært et spørsmål i forhold til særlig betalingskortreglene og instansene må antas å ha mye å bygge på herfra. Mengden av saker vil muligens øke i en periode ettersom praksis tilknyttet nettbaserte betalingsoverføringer og betydningen av grov uaktsomhet opp mot et maksimalansvar for kunden er nytt. Etter en tid vil det imidlertid antas at vurderingene vil bygge på tidligere praksis og institusjonene vil formodentlig i standardtilfeller ikke se noen grunn til å bringe saken inn for nemnd- eller domstolsbehandling.

7.3 Økonomiske og administrative konsekvenser for private

7.3.1 Konsekvenser for kundene

En gjennomføring av utkastet knyttet til urettmessige og utilsiktede betalingsoverføringer via nettbaserte betalingstjenester, vil innebære en økt trygghet og et ytterligere forbrukervern for kundene. Dette må anses som særlig viktig tatt i betraktning den store andelen av den norske befolkning som har tatt i bruk slike nettbaserte betalingstjenester. Store deler av arbeidsoppgavene i forbindelse med betalingsoverføringene er flyttet over på den enkelte kunden og risikoen for at det oppstår urettmessige og utilsiktede transaksjoner har såldes økt. Håndtering av pengestrømmene er slik sett i stor grad overført til kundene selv. Ansvarsreguleringen tar hensyn til dette på en rimelig måte.

Det er videre mye som tyder på at bruksomfanget av de nettbaserte betalingstjenestene vil øke i tiden fremover. I denne sammenheng er det viktig at brukerne av nettbasert betalingstjenester har tillit til at systemet fungerer på en slik måte at potensielle tapssituasjoner elimineres eller i hvert fall reduseres for kundenes del. Det er ikke bare i kundens interesse at nettbaserte betalingstjenester benyttes av store deler av befolkningen. For institusjonene innebærer slike systemer sparte utgifter i forhold til etablering og drift av filialer.

Under dagens regelverk risikerer kunden å bli utsatt for større økonomiske tap i sin bruk av nettbaserte betalingstjenester. Målet er imidlertid ikke å fjerne enhver risiko ved slik betalingsformidling. Lovutkastet gjenspeiler risikoen tilknyttet slike betalingsoverføringsmekanismer i den forstand at ansvarsgrensen for tap ved urettmessige eller utilsiktede transaksjoner i tilfelle av grov uaktsomhet er satt til et beløp som i forhold til vanlige kunder vil måtte betraktes som forholdsvis høyt. Dette må antas å gi kundene en foranledning til å opptre enda mer varsomt og årvåkent, noe som må antas å være et viktig grep ut fra den store og økende bruken av slike betalingstjenester.

7.3.2 Konsekvenser for institusjonene

Lovforslaget innebærer at institusjonene vil bli pålagt et – i de fleste tilfeller – delvis økonomisk ansvar for tap ved transaksjoner som på utilsiktet eller urettmessig vis er gjennomført som følge av at kunden har gått frem på en feil måte. Forutsetningen er at institusjonen vil ta hensyn til dette som en produksjonskostnad ved utformingen av sitt nettbaserte betalingstjenestetilbud. Det vises til avsnitt 6.1.3 foran.

Det at institusjonene i flere tilfelle kun kan holde kundene ansvarlig for en egenandel dersom det oppstår tap ved nettbasert betalingsoverføring, må antas ha flere konsekvenser for institusjonene. For det første er det mulig at institusjonene utarbeider nærmere retningslinjer for kundens bruk av nettbanktjenesten, både i forhold til oppbevaring av koder, installering av sikker programvare, samt behandling av de enkelte betalingsoppdrag. I forhold til urettmessig bruk kan det med tiden ikke utelukkes at installering av tilfredsstillende antivirusprogramvare og brannmur, er en forutsetning for at kunden skal kunne ha tilgang til betalingstjenestene.

Lovutkastet vil således kunne innebære merarbeid for institusjonene, i hvert fall i en overgangsperiode. Økt tiltak fra institusjonens side kan imidlertid medføre at nettbanktjenesten ikke vil være like attraktiv som tidligere. Her kommer også avveiningen mellom brukervennlighet og sikkerhet inn. Med hensyn til den konkurransesituasjon som eksisterer i banknæringen, må det likevel antas at denne avveiningen faller ut på en slik måte at kundene fortsatt ser fordelen med nettbaserte betalingstjenester samtidig som systemene blir sikrere både i forhold til at det oppstår utilsiktede og urettmessige betalingsoverføringer.

Det tapsvolumet som kan oppstå på institusjonens hånd kan i visse tilfeller være betydelig. Tapet må imidlertid sees i sammenheng med de fordeler institusjonen oppnår ved å tilby disse tjenestene. Merkostnadene vil dessuten kunne innkreves og dekkes gjennom nettbankstjenestens vederlagsordninger eller ved at rasjonaliseringsgevinstene ved å ha etablert slike nettbaserte tjenester blir mindre.

8 Merknader til de enkelte bestemmelser

Banklovkommisjonens forslag til regler for nett­basert betalingsoverføring er foreslått inntatt som et eget avsnitt Va i kapittel 2 i finansavtaleloven. Lovutkastet er slik sett ikke ment å innebære noen endringer av gjeldende regler i loven. Tatt i betraktning viktigheten av dette regelsettet for de enkelte kundene, har Banklovkommisjonen ansett det som hensiktsmessig å foreslå reglene i lovs form, jf. også avsnitt 6.1.3 foran. Ettersom mange av momentene i regelforslaget er videreført fra gjeldende regler i finansavtaleloven, særlig reglene for misbruk av betalingskort, er merknadene til visse av bestemmelsene knyttet opp til forarbeidene til disse allerede gjeldende reglene.

Til endringer i lov 25. juni 1999 nr. 46 om finansavtaler og finansoppdrag:

Til § 34. Misbruk av konto m.v.

I femte ledd annet punktum er det på samme vis som ved henvisningen til at ansvar ved misbruk av betalingskort er regulert i § 35, inntatt en henvisning til at ansvar ved utilsiktet eller urettmessig betalingsoverføring ved bruk av annen nettbasert betalingstjeneste er regulert i § 37a til § 37d. Banklovkommisjonen benytter uttrykket «annen nettbasert betalingsoverføring», ettersom betalingskort også kan sies å være en form for nettbasert betalingsoverføring. Henvisningen medfører at reglene i avsnitt Va ikke gjelder for betalingskortene.

Til kapittel 2 Va. Utilsiktet og urettmessig bruk av ordninger for nettbasert betalingsoverføring

Banklovkommisjonen foreslår et nytt avsnitt Va som vedrører utilsiktet og urettmessig bruk av ordninger for nettbasert betalingsoverføring. Avsnitt V vedrører kun andres misbruk av konto, og Banklovkommisjonen har derfor funnet det mer hensiktsmessig at bestemmelsene ikke plasseres her, selv om lovforslaget i stor grad viderefører prinsippene i avsnitt V. Det ville medført en del lovtekniske og materielle endringer i tillegg til at Banklovkommisjonen har vurdert at bestemmelsene i avsnitt V har fungert på en tilfredsstillende måte slik de fremstår i dag.

Til § 37a. Virkeområde

I første ledd er det fastslått at bestemmelsene i avsnitt Va gjelder betalingsoverføring ved bruk av nettbaserte betalingstjenester. Det vises til finansavtaleloven § 12 første ledd bokstav a) hvor betalingsoppdrag er definert som oppdrag om uttak eller overføring av betalingsmidler. Det er for øvrig markert at bestemmelsene ikke gjelder for betalingsoverføring ved bruk av betalingskort. Det vises til merknadene til § 34 femte ledd annet punktum foran.

I annet ledd er det gitt en nærmere definisjon av hva som menes med nettbasert betalingsover­føring. Slik overføring skal forstås som overføring av betalingsmidler fra innskuddskonto i henhold til betalingsoppdrag sendt til, og mottatt av, institusjonen gjennom Internett eller annet elektronisk nettverk. Det vises for øvrig til finansavtaleloven § 9 første ledd om virkeområde for kapitlet. En nærmere definisjon av «betalingsmidler» er videre gitt i finansavtaleloven § 12 første ledd bokstav b). Etter denne bestemmelsen omfatter betalings­midler blant annet innskudd og kreditt på konto i en finansinstitusjon eller en lignende institusjon som kan disponeres ved bruk av betalingsinstrumenter, herunder nettbaserte betalingstjenester, jf. bestemmelsens bokstav c).

I tredje ledd er det bestemt at nettbasert betalingstjeneste skal forstås som ordning for nettbasert betalingsoverføring i henhold til avtale mellom kontohaveren og institusjonen. Nettbank- og telefonbanktjenester er inntatt som eksempler på slike tjenester. På nåværende tidspunkt er det nettopp nettbank og telefonbank som brukes mest av norske bankkunder. Disse tjenestene er koblet opp mot henholdsvis Internett og telefonnettet, og begge fanges opp av definisjonen i annet ledd. Med formuleringen «annet elektronisk nettverk» er formålet at også andre og fremtidige betalingstjenester som er knyttet opp til et nettverk, skal omfattes av bestemmelsene. Bestemmelsene er således ment å kunne følge den teknologiske utviklingen uten at den skal være begrenset til de nåværende mest brukte nettbaserte betalingstjenestene.

Fjerde ledd første punktum fastslår at bestemmelsene i §§ 37b til 37d ikke kan fravikes ved avtale til skade for kontohaveren. Hovedregelen er dermed at bestemmelsene ikke kan fravikes uavhengig av om kontohaveren skal anses å være en forbruker eller ikke. Etter annet punktum er det imidlertid bestemt at dersom en institusjon som tilbyr nettbasert betalingstjeneste, også har etablert en særskilt nettbasert betalingstjeneste bare for næringslivskunder, kan bestemmelsene i §§ 37b til 37d alltid fravikes i avtalen mellom institusjonen og kontohaveren om tilgang til slik særskilt betalingstjeneste uavhengig av om kontohaveren i det enkelte tilfelle opptrer som forbruker eller i næringsvirksomhet. Etter hovedregelen i finansavtaleloven § 2 om ufravikelighet, må det i det enkelte tilfelle avgjøres om kontohaveren har handlet ut fra formål som hovedsakelig ikke er knyttet til næringsvirksomhet. Dette kan imidlertid skape uklare avgrensningsspørsmål i forhold til de nettbaserte betalingstjenestene, fordi enkeltpersoner kan opptre dels som forbruker og dels som næringsdrivende ved bruk av slike betalingstjenester. Bestemmelsen i fjerde ledd annet punktum klargjør at vedkommende alltid anses å opptre i næringsvirksomhet ved bruk av en særskilt nettbasert betalingstjeneste bare for næringsdrivende.

Til § 37b. Utilsiktet og urettmessig bruk av nettbasert betalingstjeneste

Bestemmelsen fastslår spesialregler for nettbasert betalingsoverføring som ikke er betalingskort. På nåværende tidspunkt er det særlig nettbank og telefonbank som utpeker seg. På samme vis som ved betalingskortreglene har Banklovkommisjonen sett det som nødvendig at bestemmelsen ikke kun er begrenset til vedkommende som har inngått avtale om nettbasert betalingstjeneste. Ansvarsreglene gjelder både i forhold til kontohaveren, men også andre som vedkommende kontohaver har gitt tilgangsrett til, jf. ordene «noen som nødvendig brukerlegitimasjon er overlatt til». I tillegg gjelder reglene i forhold til handlemåten til andre som kontohaveren har overlatt den nødvendige brukerlegitimasjon til.

I første ledd første punktum foreslår Banklovkommisjonen at kontohaveren skal ha et objektivt ansvar i form av en selvrisiko begrenset oppad til en egenandel på 1.200 kroner for tap som følge av utilsiktet eller urettmessig betalingsoverføring ved feilbruk eller misbruk av nettbasert betalingstjeneste. Forutsetningen for slikt ansvar er at personlig kode og annen lignende sikkerhetsprosedyre eller sikkerhetsverktøy er brukt for å få utført et betalingsoppdrag. Dette omfatter alle former for nødvendig brukerlegitimasjon for å kunne benytte seg av den nettbaserte betalingstjenesten. Det kan for eksempel ikke utelukkes at nettbaserte betalingstjenester med tiden knyttes opp mot andre sikkerhetskrav enn koder mv., for eksempel stemme eller fingeravtrykk. De ulike risikofaktorene som knytter seg til selve bruken av slike betalingstjenester, tilsier at det ikke bør foretas et skille her.

Dersom nødvendig brukerlegitimasjon er benyttet må imidlertid kunden, uavhengig av om denne er å bebreide, dekke tap opp til 1.200 kroner. Motstykket til dette er at kontohaveren, utover denne egenandelen, ikke kommer i ansvar, med mindre noen av unntakene i bestemmelsene kommer til anvendelse. Det vises for øvrig til avsnitt 6.3.1 foran.

I annet punktum er det for det første bestemt at kontohaveren likevel ikke svarer for slik egenandel dersom tapet skyldes at institusjonen ikke byr den sikkerhet mot feilbruk eller misbruk som en bruker eller allmennheten med rimelighet kunne vente. Regelen er utformet etter modell av produktansvarsloven av 23. desember 1988 nr. 104 § 2-1. Det sentrale innholdet er at vurderingen er frigjort fra en vurdering av institusjonens forhold. Det kan således foreligge en sikkerhetsmangel selv om institusjonen har gjort hva man med rimelighet kan forlange av institusjonen. Kriteriene refererer seg til forventningene hos den typiske bruker av produktet og hos det alminnelige publikum som utsettes for den risiko produktet frambyr. Banklovkommisjonen viser ellers til Ot.prp. nr. 48 (1987-1988) side 125 flg. Det bør avgjøres konkret om banken i en gitt situasjon kunne ha oppdaget og avverget feilen. Her må det legges vekt på om bankens system tilfredsstiller de krav det er naturlig å stille ut fra foreliggende kunnskap på tidspunktet hvor den utilsiktede eller urettmessige betalingsoverføringen ble gjennomført. Bestemmelsen vil kunne omfatte de tilfeller hvor det har forekommet urettmessig bruk uten at nødvendig brukerlegitimasjon er benyttet, for eksempel dersom tredjemann «direkte» utnytter bankinstitusjonens systemer og urettmessig disponerer kontohaveres bankkonti.

Videre er det bestemt at kontohaveren ikke svarer for egenandelen på 1.200 kroner dersom tapet skyldes at en tredjemann ved inntrenging i elektronisk nettverk, grov tvang eller lignende handlemåte urettmessig har skaffet seg tilgang til nødvendig brukerlegitimasjon eller endret det betalingsoppdrag kontohaveren har gitt. Bestemmelsen gjør et unntak fra første punktum ved at kunden i visse tilfeller ikke kan holdes ansvarlig selv om nødvendig brukerlegitimasjon er brukt. Det omfatter både de tradisjonelle urettmessige fremgangsmåtene til å tilegne seg nødvendig brukerlegitimasjon som de nettbaserte fremgangsmåtene, i tillegg til andre avanserte former for misbruk av en kundes nettbaserte betalingstjeneste. Det vises til avsnitt 5.6.2 foran. I slike tilfeller har Banklovkommisjonen funnet det urimelig at kunden skal kunne holdes ansvarlig. Dersom den urettmessige tilegnelsen av nødvendig brukerlegitimasjon har oppstått som følge av grov uaktsomhet, vil imidlertid kunden måtte svare for en større egenandel.

Bestemmelsen i annet ledd setter et tak for kontohaverens ansvar for tap som følge av utilsiktede eller urettmessige betalingsoverføringer ved feilbruk eller misbruk av nettbasert betalingstjeneste. Som ved bestemmelsen i første ledd omfatter dette bare de tilfeller hvor nødvendig brukerlegitimasjon er benyttet.

Etter annet ledd første punktum er egenandelansvaret utvidet dersom betalingsoverføringen er gjort mulig ved grov uaktsomhet av kontohaveren, eller av noen som nødvendig brukerlegitimasjon er overlatt til. Egenandelansvaret er i disse tilfellene satt til 12.000 kroner. Det vises for øvrig til avsnitt 6.3.2 foran.

Etter annet ledd annet punktum utvides egenandelansvaret tilsvarende dersom misbruk er muliggjort fordi kontohaveren eller noen nødvendig brukerlegitimasjonen er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at brukerlegitimasjonen er kommet bort eller må ha kommet på avveie, eller innen rimelig tid etter at dette burde være oppdaget. Det vises til avsnitt 6.3.4 foran.

Viktige momenter av om det foreligger grov uaktsomhet er nærmere omtalt i bestemmelsens tredje ledd. Det skal for øvrig ikke anses som en uttømmende angivelse. Her er det bestemt at det ved avgjørelsen om betalingsoverføringen er gjort mulig ved grov uaktsomhet som nevnt i annet ledd, skal det blant annet legges vekt på om slike krav til forsiktighet og egenkontroll som med rimelighet kan stilles til brukere av nettbasert betalingstjenester, er blitt klart tilsidesatt. Hvordan kunden har gått frem i oppbevaring av koder og i behandling av de enkelte betalingsoppdrag er viktige momenter i en vurdering av om kunden har opptrådt grovt uaktsomt. Som bestemmelsen viser vil krav til forsiktighet og egenkontroll kunne variere fra kunde til kunde. Det er derfor viktig å vurdere kundens kunnskap og innsikt i den enkelte betalingstjeneste. Banklovkommisjonen nevner at et viktig moment i denne vurderingen vil være hvordan selve tjenesten er utformet, herunder utformingen og tilretteleggingen av kontrollmekanismer for kunden. Videre vil det være av betydning hvilken veiledning og hjelp institusjonen gir kunden for å hindre at det oppstår tap, og på hvilken måte kunden på dette grunnlag har søkt å sette seg inn i den aktuelle betalingstjenesten.

Videre er det bestemt at det skal legges vekt på i hvilken utstrekning den nettbaserte betalingstjenesten gir slik sikkerhet mot feilbruk og misbruk som en bruker eller allmennheten med rimelighet kunne vente. Vurderingskriteriet må sees i sammenheng med første ledd annet punktum. I de tilfelle hvor tapet skyldes sikkerhetsmangel i tjenestene, vil institusjonen måtte holdes ansvarlig. Poenget etter tredje ledd er at dersom manglende sikkerhet ut fra de krav brukeren eller allmennheten med rimelighet kunne vente, kan sies å være en av faktorene til at tapet har oppstått, vil dette ha betydning i forhold til avgjørelsen av om kunden har opptrådt grovt uaktsomt eller ikke. Det vises for øvrig til avsnitt 6.3.2 foran.

Etter fjerde ledd første punktum er det bestemt at ansvarsbegrensningen etter første og annet ledd ikke gjelder tap som er oppstått ved feilbruk eller misbruk av den nettbaserte betalingstjenesten, og som er forsettlig voldt av kontohaveren eller noen nødvendig brukerlegitimasjon er overlatt til. Det vises til avsnitt 6.3.3 foran. Ved forsett bærer kontohaveren som hovedregel hele risikoen for den urettmessige belastningen, med mindre ansvaret kan lempes, se lovutkastet § 37c.

Etter annet punktum gjelder heller ikke ansvarsgrensene ved feilbruk som følge av at kontohaveren eller noen som nødvendig brukerlegitimasjon er overlatt til, da betalingsordren ble gitt, bevisst har oversett en særskilt varslingsordning etablert for å hindre slik feilbruk. Det vises til avsnitt 6.3.3 foran.

Etter tredje punktum gjelder heller ikke ansvarsgrensene for tap som har oppstått som følge av at kontohaveren eller noen som nødvendig brukerlegitimasjon er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at det har skjedd feilbruk eller misbruk av den nettbaserte betalingstjenesten. I en slik situasjon fremstår det som urimelig at korthaveren skal være beskyttet av den aktuelle beløpsgrensen. I et system hvor banken er pliktig til å tilbakeføre overført beløp som kunden hevder er urettmessig eller utilsiktet, vil det være av viktighet at institusjonen så tidlig som mulig blir varslet om forholdet og kan iverksette de tiltak som er nødvendig for å forsøke å rette opp situasjonen, slik at tapet om mulig kan begrenses.

I utkastets femte ledd er det slått fast at § 34 tredje og fjerde ledd gjelder tilsvarende. Det vises til avsnitt 6.3.3 og 6.3.4 foran.

Sjette ledd første punktum bestemmer at institusjonen kan kreve tilbakebetaling av tredjemann av betalingsmidler som denne urettmessig har mottatt som følge av feilbruk eller misbruk av nettbasert betalingstjeneste. Etter annet punktum skal tilbakebetalt beløp som overstiger institusjonens tap, benyttes til å dekke kontohaverens egenandel av tapet. Regelen skal forhindre at kunden – på uhensiktsmessig vis – blir straffet for sin skjødesløse handlingsmåte ved behandling av betalingsoppdraget når bankinstitusjonen har lykkes i å inndrive pengene. I forhold til tilfelle av urettmessig bruk antar Banklovkommisjonen at regelen ikke er like anvendelig som for de utilsiktede betalingstransaksjonene. Misbruk av nettbaserte betalingsoverføringer er ofte et utslag av et målrettet angrep hvor gjerningspersonen(e) har sørget for at kundens penger blir flyttet til konto i utlandet som de norske bankinstitusjoner nærmest har ingen mulighet til å spore opp og få tilbakeført. De utilsiktede transaksjonene vil på den annen side normalt manifestere seg i overføringer til en intetanende bankkunde uten i utgangspunktet kriminelle hensikter. Her vil antagelig bankinstitusjonen med enklere midler ha mulighet til å inndrive pengene.

Banklovkommisjonen har sett det som rimelig at bankinstitusjonen får dekket sitt økonomiske tap som følge av inndrivelsen, slik at det kun er tilbakebetalt beløp som overstiger institusjonens tap som skal benyttes til å dekke kontohaverens egenandel av tapet. Dette kan være arbeid for å få til et forlik med den uberettigede mottakeren og andre kostnader i tilknytning til tilbakeføring av pengene til kunden.

Til § 37c. Lemping av kontohaverens ansvar

Etter første ledd første punktum kan ansvaret etter § 37b lempes dersom ansvaret etter forholdene vil virke urimelig tyngende for kunden. Det skal her tas hensyn til om måten kontoen kan disponeres på ikke er betryggende, og om den nettbaserte betalingstjenesten er i samsvar med forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner, dersom den utilsiktede eller urettmessige betalingsoverføringen har sammenheng med slike forhold. Denne vurderingen vil kunne knyttes opp mot avgjørelsen av om kunden har opptrådt grovt uaktsomt. Dersom det har vært en viss usikkerhet med henhold til i hvilken utstrekning den nettbaserte betalingstjenesten gir slik sikkerhet mot feilbruk eller misbruk som en bruker eller allmennheten med rimelighet kan vente, antar Banklovkommisjonen at et ansvar på grunnlag av grov uaktsomhet, enten etter annet eller fjerde ledd, lettere vil kunne lempes.

Etter annet punktum kan det også tas hensyn til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den urettmessige eller utilsiktede betalingsoverføringen ble utført. Manglende eller utilstrekkelig veiledning fra institusjonens side vil her kunne være en relevant faktor. Igjen vil dette være et forhold som kan trekkes inn allerede i vurderingen av om kunden har opptrådt grovt uaktsomt og medføre lemping av kundens eventuelle forhøyede egenandel.

Banklovkommisjonen viser for øvrig til avsnitt 6.3.5 foran.

Til § 37d. Reklamasjon. Tilbakeføring

Bestemmelsen svarer hovedsakelig til finansavtaleloven § 37. Ettersom regelen om reklamasjon og tilbakeføring gjelder for både de utilsiktede og urettmessige transaksjonene, har Banklovkommisjonen imidlertid ansett det nødvendig å utdype kravet til dokumentasjon noe.

Etter første ledd er det bestemt at tilbakeføring av et beløp kunden bestrider å ha ansvar for forutsetter at kunden fremsetter et begrunnet krav om slik tilbakeføring. Kontohaveren plikter i tillegg å gi opplysninger til institusjonen om, og på hvilken måte, det er gjort forsøk på å få betalingsmottakeren til å tilbakeføre beløp som utilsiktet eller urettmessig er overført til mottakeren, jf. annet ledd. Det vises for øvrig til avsnitt 6.3.6 punkt 2) foran. Ut fra en slik reklamasjon vil institusjonen ha et bedre vurderingsgrunnlag i forhold til om kunden kan sies å ha gått frem på en måte som enten anses som unnskyldelig, grov uaktsom eller forsettlig, og vil dessuten avhjelpe institusjonens vurdering av om saken bør bringes inn for nemnd- eller domstolsbehandling.

10 Utkast til endring i finansavtaleloven av 25. juni 1999 nr. 46 kapittel 2

[Banklovkommisjonens utkast til endring er markert med kursiv.]

V. Andres misbruk av konto mv.

§ 34.Misbruk av konto m.v.

(1) Kontohaveren er ikke ansvarlig for andres urettmessige uttak eller annen belastning med mindre den som har foretatt disposisjonen, har legitimert seg i samsvar med reglene i kontoavtalen, og belastningen har vært mulig som følge av forsett eller grov uaktsomhet fra kontohaveren eller fra noen som etter kontoavtalen har rett til å belaste kontoen.

(2) Ansvaret etter første ledd er begrenset til disponibelt beløp på kontoen på belastningstidspunktet. Er misbruk skjedd ved bruk av elektroniske betalingsinstrumenter innenlands, kan ansvaret heller ikke overskride belastningsgrenser som gjelder for den eller de bruksmåter som er benyttet. Begrensningene i leddet her gjelder ikke dersom kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, har medvirket forsettlig til at vedkommende kunne legitimere seg.

(3)Kontohaveren svarer ikke for andres urettmessige bruk som finner sted etter at institusjonen har fått varsel om forhold som skaper særlig fare for misbruk, som f.eks. at et betalingsinstrument er kommet bort eller at kode eller annen sikkerhetsprosedyre kan ha blitt tilgjengelig for uvedkommende. Kontohaveren er likevel ansvarlig dersom kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, forsettlig har muliggjort bruken.

(4)Uten hensyn til reglene i denne paragrafen er kontohaveren i alle tilfelle ansvarlig for tap som skyldes at kontohaveren eller noen som etter kontoavtalen har rett til å belaste kontoen, har utvist eller medvirket til svik mot institusjonen.

(5)Ansvaret ved misbruk av betalingskort er regulert i § 35. Ansvaret ved utilsiktet eller urettmessig betalingsoverføring ved bruk av annen nettbasert betalingstjeneste er regulert i § 37a til § 37d.

Va. Feilbruk og misbruk av ordninger for nettbasert betalingsoverføring

§ 37a.Virkeområde

(1)Bestemmelsene i dette avsnitt gjelder betalingsoverføring ved bruk av nettbaserte betalingstjenester, unntatt betalingsoverføring ved bruk av betalingskort.

(2)Med nettbasert betalingsoverføring forstås her overføring av betalingsmidler fra innskuddskonto i henhold til betalingsoppdrag sendt til og mottatt av institusjonen gjennom Internett eller annet elektronisk nettverk.

(3)Med nettbasert betalingstjeneste forstås her ordning for nettbasert betalingsoverføring i henhold til avtale mellom kontohaveren og institusjonen, herunder nettbank- og telefonbanktjenester.

(4)Bestemmelsene i §§ 37b til 37d kan ikke fravikes ved avtale til skade for kontohaveren. Dersom en institusjon som tilbyr nettbasert betalingstjeneste, også har etablert en særskilt nettbasert betalingstjeneste bare for næringslivskunder, kan bestemmelsene i §§ 37b til 37d likevel fravikes i avtalen mellom institusjonen og kontohaveren om tilgang til slik særskilt betalingstjeneste. Kongen kan i forskrift fastsette nærmere regler om hvilke kontohavere som her skal regnes som næringslivskunder.

§ 37b.Utilsiktet og urettmessig bruk av nettbasert betalingstjeneste

(1)Kontohaveren svarer med en egenandel på inntil kr 1.200 for tap som følge av utilsiktet eller urettmessig betalingsoverføring ved feilbruk eller misbruk av nettbasert betalingstjeneste når personlig kode og annen lignende sikkerhetsprosedyre eller sikkerhetsverktøy (nødvendig brukerlegitimasjon) er brukt for å få utført et betalingsoppdrag. Dette gjelder likevel ikke dersom tapet skyldes at institusjonens nettbaserte betalingstjeneste ikke byr den sikkerhet mot feilbruk eller misbruk som en bruker eller allmennheten med rimelighet kunne vente, eller at en tredjemann ved inntrenging i elektronisk nettverk, grov tvang eller lignende handlemåte urettmessig har skaffet seg tilgang til nødvendig brukerlegitimasjon eller endret det betalingsoppdrag kontohaveren har gitt.

(2)Kontohaveren svarer med inntil kr 12.000 for tap som følge av utilsiktet eller urettmessig betalingsoverføring i tilfelle som nevnt i første ledd når betalingsoverføringen er gjort mulig ved grov uaktsomhet av kontohaveren, eller av noen som nødvendig brukerlegitimasjon er overlatt til. Det samme gjelder dersom misbruk er muliggjort fordi kontohaveren eller noen nødvendig brukerlegitimasjon er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at brukerlegitimasjonen er kommet bort eller må ha kommet på avveie, eller innen rimelig tid etter at dette burde være oppdaget

(3)Ved avgjørelsen av om betalingsoverføringen er gjort mulig ved grov uaktsomhet som nevnt i annet ledd, skal det blant annet legges vekt på om slike krav til forsiktighet og egenkontroll som med rimelighet kan stilles til brukere av nettbaserte betalingstjenester, er blitt klart tilsidesatt, og i hvilken utstrekning den nettbaserte betalingstjenesten gir slik sikkerhet mot feilbruk eller misbruk som en bruker eller allmennheten med rimelighet kunne vente.

(4)Ansvarsgrensene etter første og annet ledd gjelder ikke tap som er oppstått ved feilbruk eller misbruk av den nettbaserte betalingstjenesten, og som er forsettlig voldt av kontohaveren eller noen som nødvendig brukerlegitimasjon er overlatt til. Ansvarsgrensen gjelder heller ikke ved feilbruk som følge av at kontohaveren eller noen som nødvendig brukerlegitimasjon er overlatt til, da betalingsordren ble gitt, bevisst har oversett en særskilt varslingsordning etablert for å hindre slik feilbruk. Det samme gjelder for tap som har oppstått som følge av at kontohaveren eller noen som nødvendig brukerlegitimasjon er overlatt til, har unnlatt å underrette institusjonen snarest mulig etter å ha fått kjennskap til at det har skjedd feilbruk eller misbruk av den nettbaserte betalingstjenesten.

(5)§ 34 tredje og fjerde ledd gjelder tilsvarende for kontohaverens ansvar etter paragrafen her.

(6)Institusjonen kan kreve tilbakebetaling av tredjemann av betalingsmidler som denne urettmessig har mottatt som følge av feilbruk eller misbruk av nettbasert betalingstjeneste som omfattes av paragrafen her. Tilbakebetalt beløp som overstiger institusjonens tap, skal benyttes til å dekke kontohaverens egenandel av tapet.

§ 37c.Lemping av kontohaverens ansvar

(1)Ansvaret etter § 37b kan lempes dersom ansvaret etter forholdene vil virke urimelig tyngende for kontohaveren. Det skal tas hensyn til om måten kontoen kan disponeres på ikke er betryggende, og om den nettbaserte betalingstjenesten er i samsvar med forsvarlige standarder for identifikasjons-, kontroll- og varslingsrutiner, dersom den utilsiktede eller urettmessige betalingsoverføringen har sammenheng med slike forhold. Det kan også tas hensyn til manglende aktsomhet eller andre forhold på institusjonens side som har medvirket til at den urettmessige eller utilsiktede betalingsoverføringen ble utført.

§ 37d.Reklamasjon. Tilbakeføring

(1)I den utstrekning kontohaveren bestrider å ha ansvar for en betalingsoverføring, skal institusjonen tilbakeføre beløpet etter fradrag av egenandelen etter § 37b første ledd, samt erstatte rentetap fra belastningstidspunktet, forutsatt at kontohaveren setter frem begrunnet krav om tilbakeføring uten ugrunnet opphold etter at denne ble eller burde ha blitt kjent med forholdet.

(2)Kontohaveren plikter å gi opplysninger til institusjonen om, og på hvilken måte, det er gjort forsøk på å få betalingsmottakeren til å tilbakeføre beløp som utilsiktet eller urettmessig er overført til mottakeren.

(3)Første ledd gjelder ikke dersom

  • a) kontohaveren skriftlig har erkjent ansvar for betalingsoverføringen, eller

  • b) institusjonen innen fire uker fra mottakelse av skriftlig innsigelse fra kontohaveren har anlagt søksmål eller brakt saken inn for en nemnd som nevnt i § 4 første ledd.

(4)Blir saken avvist av en nemnd eller en domstol, løper en ny frist på fire uker, fra den dagen institusjonen ble kjent med avvisningen.

Fotnoter

1.

Sparebankforeningens Nettbankundersøkelse 2008.

2.

Sparebankforeningens Nettbankundersøkelse 2008.

3.

Sparebankforeningens Nettbankundersøkelse 2008.

4.

For betalingsoverføring til mottaker i samme bank som kunden går dette langt raskere i visse banker, noen ganger umiddelbart og noen ganger på det tidspunkt for utkjøringsfristene i bankene, og korreksjonsadgangen må her anses som enda vanskeligere. Banklovkommisjonen drøfter ikke dette nærmere.

5.

Den ellers vanlige henvisning til Rt. 1970 side. 1235 angående kravet til grov uaktsomhet, er ikke like anvendelig her, ettersom den gjaldt forståelsen av dette uttrykket i en straffebestemmelse, sml. også førstvoterende (flertallets) uttalelse om denne saken i Rt. 2004 side 499.

Til forsiden