– En grunnplikt å formidle om urett jeg har oppdaget

Det var etter å ha fullført doktorgraden sin, at Marte Eidsand Kjørven i 2016–2017 jobbet i Lov­avde­lingen i Justisdepartementet med å gjennomføre et nytt betalings­tjeneste­direktiv i finansavtaleloven. Departe­mentet ble kontaktet av Jussbuss som hadde begynt å få inn veldig mange lånesvindelsaker der BankID var blitt misbrukt til å ta opp lån i innehaverens navn.

– Denne henvendelsen havnet på mitt bord, og jeg ble raskt veldig nysgjerrig på de sakene, fordi det var noe som var veldig galt. Det kontraktsrettslige utgangspunktet er at avtalen ikke er bindende når det er snakk om falsk signatur. Det er jo en sterk ugyldighetsgrunn, sier Kjørven.

– Men så ble erstatningsreglene brukt som en slags omvei for å holde BankID-innehaverne ansvarlige for tapet, og da i praksis hele beløpet. Måten erstatningsreglene ble brukt av underdomstolene i disse sakene var helt fjern.

Sakene Kjørven kikket på, og som Jussbuss fikk inn mange av, var stort sett saker hvor noen har fått tilgang til en persons BankID og tatt opp lån i deres navn. Hvordan det hadde gått til var noe varierende, men i starten var det flest tilfeller hvor svindleren var nærstående til den som ble svindlet, som for eksempel samboere, barn, foreldre, venner og kollegaer.

– Det var også en litt pussig forskjell mellom reglene for betalingstransaksjoner og lån, sier Kjørven.

Hun peker på at det siden 1999 har vært regler i Finansavtaleloven som sier at banken i utgangspunktet må ta tapet om noen misbruker din identitet til å overføre penger ut av kontoen din. Ved grov uaktsomhet har det vært en egenandel på 12.000 kroner og fullt ansvar ved forsett.

– Men det man så i disse låne­svindelsakene, var at de falt utenfor den reguleringen fordi dette ikke var betalingstransaksjoner ut fra konto, men signering av et lån. Og da ble plutselig BankID-innehaveren ansvarlig for hele det lånet via erstatningsreglene, allerede ved simpel uaktsomhet, forklarer professoren.

Og beløpene ble gjerne mye større når svindlerne tok opp lån i stedet for å tappe kontoen.

– Vi har sett eksempler på mennesker som har mistet boligen sin og endt opp med stor gjeld resten av livet, sier Kjørven.

Startet rettshjelpsklinikk

I Lovavdelingen var Kjørven med på å lage forslag til ny regulering av tap ved lånesvindel og betalingstransaksjoner. Da hun etter et års tid var tilbake til en jobb på universitetet bestemte hun seg for å grave enda mer i temaet. Men å få tak i dommer og kartlegge hvordan disse sakene ble behandlet i retten og hvor mange det var snakk om, viste seg å være vanskeligere enn hun hadde regnet med.

– Å finne ut av hvordan sakene ble løst i domstolene og forliksrådene viste seg å være veldig vanskelig. De fleste tingrettsdommer ligger ikke på Lovdata og for å finne dem må man i utgangspunktet vite at de eksisterer, altså ha navn på partene eller ­saksnummeret, sier Kjørven, og fortsetter:

– Så når man i forskning­søyemed skal kartlegge en rettspraksis, er det veldig vanskelig rett og slett. Det er et rettssikkerhetsproblem i seg selv – at det skal være så vanskelig å finne ut hva som skjer i førsteinstansene og forliksrådene.

Utfordringene førte imidlertid til at professoren begynte å samarbeide med Jussbuss og JURK, som får inn en ganske stor andel av den typen saker. Etter hvert dukket ideen om å starte et større forskningsprosjekt med egen rettshjelpsklinikk opp, og ID-juristen ble til, som del av forskningsprosjektet Samfunnssikkerhet og digitale ­identi­teter.

– Det var for å få en bedre innsikt i hvordan domstolene, eller ­bankene i første omgang, håndterte disse sakene. Hvor mange saker er det snakk om, hva som kjennetegner dem, hvor butter det?

Forskeren snakket også med gjeldsrådgivere i NAV, hvor 45 ­prosent hadde opplevd at brukere som kom til dem med økonomiske problemer hadde havnet i disse vanskelighetene fordi de hadde blitt utsatt for BankID-svindel.

I perioden fra 2013 til 2019 fikk Jussbuss, JURK og Gatejuristen inn rundt 300 saker om lånesvindel. I sakene hvor kvinner var blitt ­svindlet, var det i 52,8 prosent av ­tilfellene en nærstående som stod bak. For mennene som ble svindlet var tallet 13,3 prosent.

Lånesvindelsaker med ukjent gjerningsperson er noe Kjørven opplever at vi har sett overraskende lite av.

– Jeg har egentlig gått og ventet på at vi skal se flere slike saker. I prinsippet kan du bruke de samme metodene for å få signert et lån med noens BankID, som å få gjennomført en betalingstransaksjon. Så det er litt overraskende at det ikke er enda mer av det.

– Låneprosessen er jo heldigitalisert. Du trenger ikke sende inn lønnsslipper eller noe som helst, bankene henter ut all informasjon de trenger fra offentlige registre.

Mener bankene må rydde opp

Etter en stund begynte det å skje endringer. Kjørven trekker blant annet frem dommen hvor Easybank tapte i Høyesterett i 2020 i en BankID-svindelsak. Dommen var enstemmig og slo fast at en mann som hadde blitt utsatt for lånesvindel hadde «opptrådt noe uforsiktig ved sin oppbevaring av kodebrikken», men likevel ikke så uaktsomt at det utløser erstatningsansvar.

– Høyesterett tok da et oppgjør med rettspraksisen hvor folk hadde blitt holdt ansvarlig for lånene andre hadde tatt opp i deres navn ved å skaffe seg tilgang til deres BankID, sier Kjørven, som i forkant av dommen hadde uttalt seg mye om denne typen saker og argumentert for at reglene hadde blitt tolket feil.

I tillegg ble ny finansavtalelov vedtatt samme år, som likestilte lånesvindel med betalingssvindel. Ofrene fikk derfor samme vern, uavhengig av hva svindleren gjorde med BankID’en.

Etter Easybank-dommen og den nye finansavtaleloven så man en ganske umiddelbar nedgang i lånesvindelsaker, antakelig fordi bankene var nødt til å sette inn tiltak. Det er imidlertid ikke nok, mener Kjørven, og sikter til de mange hundre sakene som ble avgjort før 2020.

– Her mener jeg bankene burde ta initiativ til å rydde opp. Det sitter faktisk mange mennesker som har fått dommer mot seg, og som sitter og nedbetaler på disse lånene. Mange vil kanskje gjøre det resten av livet, sier hun.

Hun påpeker at man normalt sett ikke får gjenåpnet en sak på grunn av rettsutvikling, og at det er spesielt vanskelig med de sivile dommene. Prosessrisikoen er normalt for stor til at det gir mening å forsøke.

– I en sak viste en etterfølgende politietterforskning at pengene hadde forsvunnet til navngitte personer i utlandet som var etterlyst internasjonalt. Da var det snakk om nye opplysninger som gjorde det mulig å få saken gjenåpnet.

– Mens de som ikke har noe nytt faktum å komme med får ikke gjort noe med sakene sine, hvis ikke bankene selv tar initiativ til å rydde opp.

– Hva tenker du at bankene bør gjøre?

– De bør gå gjennom tidligere saker og frafalle de kravene som er basert på feil forståelse av erstatningsreglene.

– Jeg mener hvordan lånesvindelsakene ble behandlet fra 2017 til 2020 er en skandale. Det er en skandale at det fikk holde på i så mange år med domstolenes velsignelse. Hvordan kunne så mange dommer med så feil bruk av erstatningsreglene?

– Var det noen slike saker før 2017?

– Det er særlig i 2017 at det eskalerer. Det sammenfaller med at det ble åpnet for elektronisk signering av gjeldsbrev. Det ble heldigitale lånesøknader og man måtte ikke signere fysisk eller ha med vitner.

ID-juristen

Det var gjennom SODI-prosjektet (samfunnssikkerhet og digitale identiteter), at ID-juristen ble til. Marte Eidsand Kjørven leder prosjektet, som er finansiert av forskningsrådet. ID-juristen er et samarbeid mellom Jussbuss, JURK, Gatejuristen, For­bruker­rådet og CELL.  I tillegg bi­står syv advokatkontorer med pro bono-arbeid. Sakene de ser på handler enten om BankID-svindel i en eller annen form, eller personer som ikke får tilgang til BankID.

– Grunnen til at forskningsrådet finansierer et rettshjelpstiltak er fordi ID-juristen registrerer anonymiserte data fra alle sakene som kommer inn, så vi får empiriske data å jobbe videre med.

Prosjektet går over fire år, og rettshjelpstilbud har nå sluttet å ta inn saker, og til høsten begynner arbeidet med å analysere dataene. Forespørslene har hele tiden vært så mange, at også en del må avvises.

– Men den funksjonen ID-juristen har i forskningsprosjektet var jo ikke evig, så da blir det tilbudet dessverre borte. Men det må jeg jo si – jeg synes jo egentlig dette er et offentlig ansvar.

Selv om ikke dataanalysen er i gang helt ennå, kan man allerede se flere utviklingstrekk i type saker gjennom årene de har holdt på, forteller Kjørven.

– Vi ser at det er stadig færre lånesvindelsaker, sett bort fra en liten topp nå i det siste. Og så er det flere betalingstransaksjoner.

Olga-svindel

En etter hvert godt kjent variant av disse svindlene er såkalt «Olga­svindel». Svindelmetoden har fått navnet sitt etter at svindlere kontaktet eldre kvinner som de valgte ut ved å gå etter navn som er typiske for generasjonen.

Svindleren gir seg som regel ut for å være fra banken eller politiet, og sier at de har opplysninger om at kontoen til Olga kan være utsatt for svindel. For å hjelpe henne måtte hun oppgi BankID-opplysninger.

Når Olga gjorde det, mente bankene at det var forsettlig brudd på bankavtalen, hvor det står at man ikke skal gi fra seg sin BankID til noen.

– Hvis du tenker i strafferettslig forstand: hvis du slår til noen, så kan du straffes for det, selv om du ikke visste at det var forbudt. Og det var den typen argumentasjon bankene brukte. De mente det ikke spilte noen rolle at Olga ikke skjønte at det hun gjorde var et pliktbrudd, for hun var jo bevisst da hun gav sikkerhetsinformasjon til «banken».

Men for å kunne stilles ansvarlig må det være snakk om forsettlig kontraktsbrudd, påpeker Kjørven.

– Det betyr at du bryter kontrakten med vilje. Det slo også Høyesterett fast i 2022. Etter det har vi sett en nedgang i den typen svindel.

Men nedgang i bestemte svindelmetoder betyr ikke at svindlerne forsvinner og slutter å svindle folk. Ikke lenge etter høyesterettsdommen dukket det opp flere tilfeller av lignende svindler, men hvor svindleren gikk frem på en litt annen måte: de oppga fortsatt å ringe fra politiet eller banken, men understrekte at den de ringte aldri måtte gi fra seg BankID-informasjonen sin. I stedet sa de at det var opprettet en «sikker konto», som Olga måtte føre over pengene sine til for å unngå å bli svindlet.

– Da dukket et nytt spørsmål opp: er dette en godkjent transaksjon eller ikke? spør Kjørven.

– Reglene om at banken som hovedregel må ta tapet, bortsett fra 12.000 kroner ved grov uaktsomhet, gjelder bare for såkalte ikke-godkjente betalingstransaksjoner, det vil si transaksjoner kunden ikke har samtykket til. Bankene vil ofte argumentere med at kundene i «sikker konto»-sakene har samtykket til transaksjonen, og at de derfor må bære tapet selv. 

Deep fake og nye svindelmetoder

Svindlerne finner imidlertid stadig nye metoder, og Kjørven forteller at man for eksempel nylig har sett at svindlerne fysisk tropper opp hos «Olgaer» i politiuniform.

– En ble til og med kidnappet til Dubai, men det var en veldig spesiell sak. Det er typisk formuende eldre kvinner uten barn som utsettes for denne typen svindel, forteller hun.

Kunstig intelligens gir også nye muligheter for svindlere, og mange eksperter advarer nå også om svindel­metoden deepfake, som har vært en del brukt i utlandet og nå også i Norge. Teknologimetoden får det til å høres ut som det er en av dine nærmeste som ringer. Det kan høres ut som moren din, ektefellen eller barnet ditt som ringer og ber deg om å overføre penger.

– Og da er man igjen på et sted hvor man kanskje ikke er beskyttet, for du har jo overført disse pengene selv. Alt koker ned til at vi har digitalisert og fjernet menneskemøter, så vi går alle rundt med dollartegn på hodet og med en veldig verdifull universalnøkkel som åpner både bankhvelvet og døra til velferdsstaten, og derfor gir uante svindelmuligheter for kriminelle.

– Det har åpnet opp for et vell av nye svindelmetoder, og det er ikke gjennomtenkt fra lovgivers side hvordan man skal avverge og håndtere den risikoen. Og så er man hele tiden bakpå, og bare slukker noen branner når de oppstår, sier Kjørven.

Hun mener det trengs en ordentlig gjennomgang av hele feltet, og beskriver dagens situasjon som spillet «whack-a-mole», hvor det hver gang man klarer å slå ned en muldvarp, så spretter det opp en ny.

– Man får slått ned på noe, men det bare fortsetter å poppe opp nye varianter andre steder.

– Bremser for digitalisering vanskeliggjør svindel

Og det mangler dessverre ikke ­eksempler på nye muldvarper. Marte Eidsand Kjørven trekker frem en rekke variasjoner. Blant annet har man den siste tiden sett mye svindel knyttet til selskaper. En typisk variant er fremmedarbeidere som blir hentet inn til landet av kriminelle for at de skal kunne misbruke identiteten deres til å opprette selskaper.

– Selskapene svindler både banker og andre selskaper, og hvitvasker penger. Når selskapene faller sammen og kreditorene skjønner at det ikke blir betalt står man kun igjen med navnet til stråpersonen som har blitt lurt eller presset, forteller Kjørven.

– Slike situasjoner og ansvarsspørsmålene rundt dette har vi ikke tenkt gjennom. Det er ganske komplekse svindler som involverer flere selskaper og stråpersoner. I verste fall sender man folk i fengsel basert på at de er innehaver av et selskap hvor det har skjedd masse kriminelt.

Igjen peker hun på digitaliseringen som årsaken til at slik svindel lar seg gjennomføre, og mener lovgiver har vært for opptatt av å fjerne juridiske hindre for digitalisering.

– Ta bort vitnekrav, få inn digitalt førstevalg, bort med at du må sende inn dokumenter og vedlegg. Alle disse tingene har riktignok vært bremser for digitalisering, men de gjorde det også vanskeligere å svindle.

Kjørven er tydelig på at lignende svindel skjedde også før den voldsomme digitaliseringen, men at det tross alt var litt vanskeligere å måtte møte opp i banken med en falsk signatur og legitimasjon.

– Det var mer som måtte klaffe for å få det til rett og slett. Når vi har fjernet juridiske hindre for digitalisering har vi i noen tilfeller samtidig fjernet sikkerhetsmekanismene mot svindel. Og det er kanskje ikke så lurt.

Hun har likevel ikke tro på at man bør gå tilbake, men er opptatt av at det er mulig å sørge for bremser i systemet selv med digitalisering.

– Man kan for eksempel ha elektronisk signering av vitner også. Vi må ikke fjerne vitnekrav selv om vi har digitalisert. Og så må vi ha ansvarsfordelingsregler som gir insentiver til de rette aktørene til å innføre ytterligere sikkerhetskrav.

– I dag er det slik at hvis du har blitt registrert som styreleder i et selskap du aldri har hørt om, så er det vanskelig å få fjernet deg selv fra det selskapet uten å ha en straffedom. Og det er det jo ikke sikkert du får, for politiet henlegger de aller fleste sakene. Vi har ikke tenkt gjennom hvordan vi skal kunne rydde opp etter at svindel har skjedd.

Ikke alle har tilgang

Mens noen opplever å få BankID-en sin misbrukt, er det også mennesker i samfunnet som rett og slett ikke får BankID og derfor faller utenfor det digitale.

– Dette er jo et kjempestort problem, og det er ganske store grupper i Norge som ikke har tilgang til BankID, forteller Kjørven.

Det kan være papirløse flyktninger, psykisk utviklingshemmede, fosterbarn og eldre som bli fratatt BankID’en sin. Blir du syk eller kommer på sykehus og trenger hjelp av andre til å håndtere det digitale kan utfordringene bli store, forklarer hun.

Alle helseopplysninger kommer inn på Helsenorge, hvor du må logge inn med BankID. Er du ikke i stand til å håndtere det selv, kan den bli sperret, og da har du heller ikke tilgang til helseinformasjonen din.

– Det er veldig alvorlig. Jeg tror ikke folk er klar over hvor hemmende det er å ikke ha tilgang til BankID. Du får i noen sammenhenger ikke kastet avfall på kommunale avfallsplasser, du får ikke kjøpt deg bussbillett, billetter til idrettsarrangementer eller pølse på loppemarkedet, fordi de bruker Vipps, og der må du ha registrert deg med BankID. Noen fastlegekontor har sluttet å ta imot betaling med betalingskort, så du får ikke betalt.

– Dette skaper ganske åpenbare diskrimineringsproblemer. Diskrimi­nerings­nemnda har også fått utrolig mange klager på dette fra forskjellige grupper mennesker, men det er bare en pulverisering av ansvar hvor nemnda i flere tilfeller sier at «dette er feil innklaget».

– Vi har laget oss et system hvor ingen har ansvar, eller hvor ingen tar ansvar. Offentlige myndigheter har en plikt til å gi likeverdige tjenester til sine borgere, men det gjør de ikke når tilgang til tjenestene avhenger av at du inngår en privatrettslig avtale om BankID eller annen eID.

Det offentlige tilbyr en eID som heter MinID, men her er utfordringen at den er på et sikkerhetsnivå som er lavere enn BankID. Resul­tatet er at du kan bruke den til noe, som å søke videregående skole, men mange tjenester hos f.eks. NAV og Helsenorge krever at du logger deg inn med en eID som har høyere sikkerhetsnivå.

– Dette er et myndighetsansvar. Å basere digitaliseringen av offentlig forvaltning på at folk inngår en privat avtale om finansielle tjenester med en bank eller annen privat aktør er ikke greit når ikke alle har lik tilgang.

Kjørven forteller at de har fått inn en del saker hos ID-juristen fra folk som har fått avslag på BankID. Ofte er ikke avslaget begrunnet i noen lovregler. De opplever for eksempel ofte at utlendinger som har D-nummer i stedet for fødselsnummer får avslag selv om det er ingenting i lovverket som sier at de ikke skal kunne få BankID, påpeker Kjørven.

– Men bankene gir likevel avslag. Og så har man ikke noe klagesystem. Ofte får man ikke engang en begrunnelse på hvorfor man får avslag.

Formidling eller aktivisme

Professor Kjørven har også stått på barrikadene for de som ikke får tilgang til BankID i det hele tatt. Hun ble denne høsten tildelt Rettssikkerhetsprisen for 2024 og juryen for prisen trekker frem at digitalt utenforskap ofte rammer de svakeste i samfunnet, som eldre, en del personer med funksjonsnedsettelser og flyktninger.

Det trekkes frem at Kjørven gjennom det tverrfaglige SODI-prosjektet har «avdekket uheldige sider ved eksisterende ID-løsninger og reguleringen av disse. Gjennom omfattende formidling og vitenskapelige publikasjoner har prisvinneren bidratt til økt forståelse for og innsikt i diskriminerings- og rettssikkerhetsutfordringene ved elektronisk ID.»

Juryen mener også at hennes engasjement går «langt utover det som er vanlig og som kan forventes av rettsforskere.»

Kjørven har gjennom hele karrieren vært mye i media og vært opptatt av formidling og å få frem problemstillingene hun har jobbet med. Hun legger imidlertid ikke skjul på at det til tider kan være både utfordrende og slitsomt, og at det har vært noen «stormer» underveis.

– Personlig synes jeg ikke alltid det er så gøy. Dette er problemer som må formidles slik at alle forstår det, og det er vanskelig å balansere, for man føler jo litt på en frykt for å bli oppfattet som unyansert av andre jurister, sier hun.

– Men sånn er det. Man må godta at man ikke får frem alle nyansene hele tiden. Jeg har jo gjort mye vitenskapelig arbeid på dette feltet også, så jeg tenker at da får juristene gjerne lese det. Vi kan i hvert fall ikke alltid formidle på juriststandens premisser.

– Har du fått kritikk av andre jurister?

– Ja, det er jo en litt underlig oppfatning blant visse deler av juriststanden og i akademia, at med en gang man tar stilling og mener noe, så er det «aktivisme» som ikke er forenelig med «nøytral» forskning.

Hun forteller at da Olgasvindel­saken var i Høyesterett hadde en av bankens advokater bemerket at man ikke kunne ta argumentasjonen i hennes vitenskapelige arbeider på alvor fordi hun bedrev aktivisme.

– Men hva er kandidatløftet vårt? Det er jo blant annet å fremme rett og hindre urett. Så når jeg formidler om urett jeg har oppdaget, så ser jeg på det som en grunnplikt.

– Har slike opplevelser og kritikk gjort at du kvier deg for å uttale deg i media eller tenkt at det blir for mye?

– Svaret på det er nok ja. Det har vært slitsomt å oppleve at man blir mistenkeliggjort. Så derfor setter jeg jo veldig stor pris på også denne prisen og anerkjennelsen som ligger i den, sier hun om tildelingen av Rettssikkerhetsprisen.

– Men så må jeg bare få sagt at det er ikke slik at jeg holder på med dette alene. Det er viktig for meg å få frem. Selv om jeg er prosjektleder, og dette prosjektet er min baby på et vis, så er vi mange involvert. Og jeg tenker at prisen også går til alle de andre i prosjektet.

Prisen deles ut til Marte Eidsand Kjørven under Rettssikkerhetskonferansen.