Hovedprinsippet for kontohavers ansvar ved misbruk av konto er oppsummert slik i Ot.prp.nr.41 (1998-1999) side 105:

”Utgangspunktet er at kontohaveren ikke er ansvarlig for andres misbruk av kontoen. Dette gjelder likevel ikke dersom den som har foretatt disposisjonen har legitimert seg i samsvar med kontoavtalen, og belastningen har vært mulig som følge av forsett eller grov uaktsomhet fra kontohaveren. Tilsvarende gjelder ved forsett eller grov uaktsomhet fra noen som etter kontoavtalen har rett til å belaste kontoen. Departementet har føyd til « etter kontoavtalen » for å klargjøre at formuleringen ikke omfatter tilfeller der en betalingsmottaker har fått en belastningsfullmakt etter utkastet § 26 eller en enkeltstående fullmakt fra kontohaveren til å belaste kontoen”.

Banken, kredittkortselskapet mv. er fullt ut ansvarlig for tap som skyldes uautoriserte betalingstransaksjoner, med mindre pin-kode er benyttet og/eller kontohaver har opptrådt grovt uaktsomt eller forsettlig/svikaktig. En betalingstransaksjon er uautorisert dersom kunden ikke har gitt samtykke til transaksjonen, jf. finansavtaleloven § 24 annet ledd:

”En betalingstransaksjon anses bare som autorisert dersom betaleren har gitt samtykke til transaksjonen. Samtykket kan gis før betalingstransaksjonen gjennomføres, eller, dersom det er avtalt mellom betaleren og dennes institusjon, etter gjennomføringen”.

En forutsetning for at misbruksreglene skal komme til anvendelse, er at man finner det bevist at transaksjonen er uautorisert, det vil si foretatt uten kontohavers samtykke. Dersom man kommer til at kortholder selv har autorisert transaksjonen, men ikke husker dette mv., vil det ikke foreligge noe kortmisbruk. Det samme vil også gjelder dersom kontohaver er klar over at en annen benytter seg av kortet/nettbank, og han aksepterer bruken. En forutsetning for at det skal være snakk om misbruk, er således at kort eller nettbank mv. er brukt uten kontohavers uttrykkelige eller implisitte samtykke.

Dersom en uautorisert transaksjon er gjennomført ved at korrekt pin-kode eller riktig kode på sikkerhetsanordning er benyttet, må kontohaver alltid betale et minstebeløp på kr. 1.200,-, jf. finansavtaleloven § 35 annet ledd. Det er uten betydning at kontohaver har beskyttet pin-koden korrekt, så lenge pin-koden eller annen riktig kode er benyttet, slik at den som har tatt ut pengene er ansett som legitimert overfor banken. Forarbeidene i NOU 1994:19 s. 144 uttaler at ansvaret for dette minstebeløpet er objektivt når pinkode er benyttet, og er begrunnet slik:

”Det objektive ansvaret etter første ledd gjelder bare for betalingskort som har tilknyttet personlig kode eller annen lignende sikkerhetsprosedyre. Det typiske ved slik identifikasjon er at dersom en utenforstående har kode og kort, vil vedkommende kunne benytte kortet uten å være berettiget til det. I ettertid vil det ofte kunne være vanskelig å føre bevis for hvem som har brukt kortet. Dersom personavhengig identifikasjon som for eksempel signatur, stemmeprøve eller fingeravtrykk, er brukt, vil det objektive ansvar etter første ledd ikke gjelde. Ved disse typer identifikasjon vil en i utgangspunktet ikke få tilgang til systemene uten å være berettiget. Ved signatur kan nok en falsk underskrift i første omgang slippe gjennom et system, men slik identifikasjon gir forholdsvis god bevissikring i ettertid”.

Etter finansavtaleloven § 35 tredje ledd må kontohaveren selv dekke tapet med inntil kr 12.000,- for tap som skyldes andres urettmessige bruk av betalingskort, dersom misbruket er muliggjort ved grov uaktsomhet fra kontohaverens side eller dersom kontohaveren har unnlatt å varsle banken snarest mulig etter å ha fått kjennskap til at betalingskortet er kommet bort, jf. vilkårene i finansavtaleloven § 34 første ledd.

Kontohaveren må imidlertid dekke inntil 12.000,- kroner for andres urettmessige bruk av et elektronisk betalingsinstrument, dersom kontohaveren ved grov uaktsomhet har unnlatt å oppfylle en eller flere av sine forpliktelser etter § 34 første ledd og på den måten muliggjort misbruket, jf. finansavtaleloven § 35 tredje ledd. Begrensningen på kr. 12.000,- gjelder imidlertid bare når elektronisk betalingsinstrument er benyttet, og hovedregelen er at kunden svarer for hele tapet ved andre uautoriserte betalingstransaksjoner dersom tapet skyldes at kunden ved grov uaktsomhet har unnlatt å oppfylle en eller flere av sine forpliktelser etter § 34 første ledd.

I tillegg har praksis fra Bankklagenemnda lagt til grunn at kontohavers ansvar i tilfellene med simpel uaktsomhet også vil være begrenset til det som er mulig å ta ut på kortet etter avtalte periodebeløp og uttaksgrenser mv., jf. NOU 1994:19 s. 145:

”Det kan nevnes at Bankklagenemnda i sin praksis har lagt til grunn at de avtalte eller opplyste periodebeløp, uttaksgrenser etc, kan danne et øvre tak for kortholders ansvar i uaktsomhetstilfellene, jf blant annet nemndas uttalelser i sak nr. BKN-1990-1, BKN-1990-2, BKN-1990-23, BKN-1990-30 og BKN-1991-106. Nemnda har begrunnet dette med at så lenge kontohaveren ikke er opplyst om annet, er det grunn til å oppfatte periodebeløpet som en maksimalgrense ved misbruk”.

Forpliktelsene etter finansavtaleloven § 34 innebærer for kunden som nevnt ovenfor å bruke og oppbevare sikkerhetskoder på foreskreven måte, og varsle umiddelbart om tap av kort, sikkerhetskort, koder mv. Grov uaktsomhet er en kvalifisert form for uaktsomhet, som innebærer et markert avvik fra vanlig forsvarlig handlemåte, jf. NOU 1994:19 side 144. Hva grov uaktsom oppførsel i så måte innebærer i forhold til vanlig simpel uaktsomhet er definert i Rt. 2004 s. 499, der det ble uttalt i avsnitt 32:

”Uttrykket « grov uaktsomhet » innebærer at det må være utvist en kvalifisert form for uaktsomhet. A har vist til Høyesteretts kjennelse i Rt-1970-1235 hvor det uttales at det må « foreligge en kvalifisert klanderverdig opptreden som foranlediger sterke bebreidelser for mangel på aktsomhet ». Denne kjennelsen gjaldt imidlertid forståelsen av dette uttrykket i en straffebestemmelse, og kjennelsen er følgelig av mindre interesse i vår sak. - I Høyesteretts dom gjengitt i Rt-1989-1318, uttales at en grov uaktsom oppførsel må representere « et markert avvik fra vanlig forsvarlig handlemåte », og at det må dreie seg om « en opptreden som er sterkt klanderverdig », hvor vedkommende er « vesentlig mer å klandre enn hvor det er tale om alminnelig uaktsomhet ». I den saken var uttrykket anvendt i vilkår om ansvarsforsikring. Jeg viser videre til Rt-1995-486 hvor det ble vist til dommen fra 1989. Også i forarbeidene til bestemmelsen i finansavtaleloven § 35, NOU 1994:19 side 144, er det uttalt at det kreves et markert avvik fra vanlig forsvarlig handlemåte for at en handling eller unnlatelse skal kunne kvalifiseres som grovt uaktsom. Jeg legger dette til grunn i den videre drøftelse, og kan således ikke se at det, slik anført av DnB Kort AS, kan være grunn til å statuere et utvidet ansvar for kortholderen allerede ved en mer beskjeden form for uaktsomhet enn dette”.

I RG 2002 s.1273 (Borgarting lagmannsrett LB-2001-1419) ble kontohaver dømt til å erstatte bankens tap etter misbruk av betalingskort som følge av tyveri. Papirlapp med kodene var kamuflert som telefonnumre til Eva og Victor med 22 og 55 foran koden, og 00 etter. Papirlappen lå i samme lommebok som kortene. Kamufleringen av kodene var gjort på en så gjennomskuelig måte at vedkommende sterkt måtte bebreides:

”Det er forståelig at A følte behov for å nedtegne koden til sitt MasterCard, som hun tidligere ikke hadde benyttet, til eventuell bruk under sin utenlandsferie våren 2000. Selv om dette var i strid med kortvilkårenes punkt 8.0, kan nedtegning av koden i en slik situasjon ikke i seg selv karakteriseres som grovt uaktsom. A skrev imidlertid ned begge PIN-kodene på en lapp som hun la i sin pengebok, der hun også oppbevarte kortene. Kodene var riktignok søkt kamuflert som telefonnumre, men de telefonnumrene som ble valgt gjorde det meget enkelt å avdekke kamuflasjen, bl.a ved at begge telefonnumrene sluttet på 00, mens de første sifrene var henholdsvis 22 og 55. Visakoden var dessuten inntatt i det telefonnummeret som angivelig gjaldt « Victor ». A har forklart at « Eva » sto for Eurocard, som hun hadde hatt før hun fikk MasterCard. Selv om det også lå andre papirlapper med telefonnumre i pengeboken, må det ha vært nærliggende for en utenforstående å fatte mistanke til de to telefonnumrene og at de fire midterste sifrene kunne inneholde kortkodene. Den omstendighet at det første kortmisbruket skjedde bare noen minutter etter at vesken ble stjålet viser da også at tyven ikke har hatt problemer med å avdekke kamuflasjen. Etter lagmannsrettens oppfatning må As handlemåte, ved at hun skrev ned begge kortenes PIN-koder på samme papirlapp i en så dårlig kamuflert form som nevnt og ved at hun oppbevarte lappen i pengeboken sammen med bankkortene, der de ble værende også etter at hun kom tilbake fra sin utenlandsferie, klart karakteriseres som grovt uaktsom. Ved bedømmelsen av uaktsomhetens grovhet har lagmannsretten tatt hensyn til at banken hadde sendt sine kortkunder advarsel både i 1998 og i 1999 mot kamuflasje av PIN-koder i form av telefonnummer. Selv om A i sin pengebok hadde fire-fem andre liknende papirlapper med oppskrevne reelle telefonnumre, var forsøket på kamuflasje så dårlig og gjennomskuelig at hun sterkt må bebreides både for denne måten å skrive kodene ned på og ikke minst at hun lot papirlappen bli liggende i samme pengebok som kortene”.

Dersom tapet skyldes at kunden forsettlig har unnlatt å oppfylle forpliktelsene etter § 34 første ledd, skal kunden bære hele tapet. Hvis kunden har oppbevart koden sammen med kortet med benevning PIN-kode og uten forsøk på å skjule koden, vil det kunne sees som et forsettlig brudd. Det samme gjelder dersom tapet skyldes at kunden har opptrådt svikaktig, typisk ved å be en kamerat om å ta ut pengene og påberope seg misbruk av kort mv.

Finansavtaleloven § 35 har følgende ordlyd:

”§ 35. Misbruk av konto og betalingsinstrument (1) Institusjonen er ansvarlig for tap som skyldes uautoriserte betalingstransaksjoner, med mindre noe annet følger av paragrafen her. En betalingstransaksjon er uautorisert dersom kunden ikke har gitt samtykke til transaksjonen, jf. § 24. (2) Kunden svarer med inntil kr 1.200 for tap ved uautoriserte betalingstransaksjoner som skyldes bruk av et tapt eller stjålet betalingsinstrument dersom personlig sikkerhetsanordning er brukt, eller som skyldes uberettiget tilegnelse av et betalingsinstrument dersom kunden har mislyktes i å beskytte de personlige sikkerhetsanordningene og personlig sikkerhetsanordning er brukt. (3) Kunden svarer for hele tapet ved uautoriserte betalingstransaksjoner dersom tapet skyldes at kunden ved grov uaktsomhet har unnlatt å oppfylle en eller flere av sine forpliktelser etter § 34 første ledd. Dersom betalingstransaksjonen har skjedd ved bruk av et elektronisk betalingsinstrument, svarer kunden likevel bare med inntil kr 12.000. Dersom tapet skyldes at kunden forsettlig har unnlatt å oppfylle forpliktelsene etter § 34 første ledd, skal kunden bære hele tapet. Det samme gjelder dersom tapet skyldes at kunden har opptrådt svikaktig. (4) Kunden svarer ikke for tap som skyldes bruk av tapt, stjålet eller uberettiget tilegnet betalingsinstrument etter at kunden har underrettet institusjonen i samsvar med § 34 første ledd annet punktum, med mindre kunden har opptrådt svikaktig. Kunden svarer heller ikke for tap som nevnt i første punktum hvis institusjonen ikke har sørget for at kunden kan foreta slik underretning, jf. § 34 annet ledd annet punktum. (5) Dersom kunden nekter for å ha autorisert en betalingstransaksjon, jf. § 24 annet ledd, skal bruken av et betalingsinstrument ikke i seg selv anses som tilstrekkelig bevis for at kunden har samtykket til transaksjonen, eller for at kunden har opptrådt svikaktig eller forsettlig eller grovt uaktsomt unnlatt å oppfylle en eller flere av sine forpliktelser etter § 34 første ledd. Det påhviler institusjonen å bevise at transaksjonen er autentisert, korrekt registrert og bokført og ikke rammet av teknisk svikt eller annen feil. (6) Det kan avtales at bestemmelsene i første til tredje ledd samt femte ledd ikke skal gjelde for småpengeinstrumenter som anvendes anonymt, eller dersom institusjonen av andre grunner knyttet til betalingsinstrumentets karakter ikke vil kunne bevise at en betalingstransaksjon ble autorisert. Det kan avtales at fjerde ledd ikke skal gjelde for småpengeinstrumenter som ikke kan sperres for bruk. For elektroniske penger som definert i lov 13. desember 2002 nr. 74 om e-pengeforetak § 1-1 annet ledd gjelder likevel første til fjerde ledd med mindre institusjonen ikke kan sperre kontoen eller betalingsinstrumentet”.

© Advokatfirmaet RUV (Org nr.: 996 276 155)