Nettsvindel: Hva er ditt ansvar?

Blir kredittkortinformasjonen din nettfisket, stjålet og misbrukt på nettet, er du derimot rimelig trygg på at du ikke sitter ribbet tilbake.

Norske nettbanker er blant de sikreste i verden. Det betyr ikke at de ikke kan bli ranet. Med nye spesialsydde virus er det i hvert fall en teoretisk mulighet. Passer du ikke på sikkerhetskoder og sikkerhetskort, er det heller ikke bare en teori.

Trusselen som er mest utbredt er likevel tyveri av person- og kredittkortinformasjon på nettet. Såkalt phishing, eller nettfisking, er den mest vanlige metoden for å få tak i slik informasjon. Ved å bruke falske nettsider som du tror er ekte, kan skurkene hente ut informasjonen de trenger for å bruke dine betalingskort.

Spørsmålet vi har stilt er hvor mye penger vi kan forvente å tape hvis vi blir lurt, både i forhold til bruk av nettbank, handel på nettet og i hvilken grad er vi beskyttet av finansinstitusjonene selv.

Konklusjonen er muligens som forventet: Det finnes ingen enkle svar. Mange banker har egne nettvettregler som de legger ut på sine sider, men det finnes ingen klare retningslinjer for når kundene trår over grensen til grov uforstand. Finansnæringens Hovedorganisasjon har heller ikke ett sett med slike retningslinjer. Noen svar har vi likevel fått.

Grov uforstand i dag og i morgen

Bankenes utgangspunkt er at det skal vises grov uforstand av kunden for at bankene selv ikke dekker tapene over egenadelen på 8.000 kroner. Det interessante er da hva bankene, og Bankklagenemda mener er grov uforstand.

Grensene for uforstand flytter seg. For noen år siden ble det å oppbevare PIN-kode sammen med betalingskortet sett på som grov uforstand. I dag er du ikke sikker hvis du har PIN-koden oppbevart skjult i mobiltelefonen og får den også stjålet. Har du lagt igjen kortet ditt i en bar og noen utnytter det, kan du være rimelig sikker på at du ikke får noe tilbake.

- Den generelle regelen er jo grov uaktsomhet. Det kan jo tenkes den flyttes litt etter hvert, men man må jo se an hvert enkelt tilfelle. Oppstår det nye, eller ukjente tilfeller, vil aktsomhetsgrensene være til fordel for kundene, sier sjef for it-sikkerhet i DnBNor Tor Erik Masserud.

Når konto er belastet av andre enn kontoinnehaver, er det rettslige utgangspunktet at det er bankens problem. Men bankene har en mulighet, etter paragraf 37 i finansavtaleloven, til å bringe tvistesaker for behandling i Bankklagenemda eller til doms i alminnelige domstoler.

Tar vi et blikk på de siste sakene som er behandlet av Banklagenemda handler de stort sett om betalingskort som er mistet eller frastjålet og hvor tyvene har klart å ta ut penger ved første forsøk på PIN-koden. I disse tilfellene fraskriver bankene sitt ansvar og får støtte av nemda. Da tar de det for gitt at PIN-koden har blitt oppbevart i for nær tilknytning til kortet. Kundenes protester faller da på stengrunn, selv om noen har spekulert i at det kan finnes metoder for å lese av PIN-koden i magnetstripen.

Innbrudd i nettbank

Denne praksisen kan være interessant i forhold til hvis det skulle skje et innbrudd i en nettbank. Klarer noen å lure seg inn på kontoen din via en trojaner kan det bli vanskelig å bevise at du ikke har gitt bort kodekortet eller kodekalkulator med PIN-kode til noen andre. Siden norske banker er ansett som meget sikre, er det slettes ikke umulig at det blir vanskelig å dokumentere et innbrudd.

- Hvis du og jeg skulle få tappet banken ved at noen har hacket seg inn og bankene da ikke har noen holdepunkter på hva som har skjedd, kan de hevde at du har gitt bort dine digitale pass til noen, akkurat som de sier med minibank-kortet, sier Anne Sofie Faye-Lund i Forbrukerrådet. Hun er også rådets representant i Bankklagenemda.

Det har vært tilfeller der nettbanker har blitt ranet. Uranienborg menighet i Oslo mistet for eksempel over en million kroner på denne måten. Fordi banken og Bankklagenemda mente at tyvene måtte ha hatt tilgang til både sikkerhetskort og kode, var det vist grov uaktsomhet fra menighetens side. Alle pengene gikk dermed tapt. Menigheten hevdet at koden ikke var synlig notert.

Kommer uvedkommende seg inn i nettbanken gjelder heller ikke regelen om at banken dekker alt tap over 8.000 kroner. Tapper noen kontoen, og banken mener du har vist grov uforstand, får du ikke igjen et øre.

Cracking av nettbanker har trolig ennå ikke skjedd i Norge. Offentligheten vet i hvert fall ikke om det.

- Det kan hende det skjer svindel og misbruk av nettbank, men de sakene har ikke kommet til Bankklagenemda. I den grad det skjer tap og feil og svindel her vil jeg tro at bankene tar tapene, eller at de eventuelt har forhandlet med kunden, sier Per Fiskerud, sekretæriatsjef i Bankklagenemda.

Nettbank ulik tapte kredittkort

Forbrukerrådet og Forbrukerombudet har siden 2002 forsøkt å få endret reglene slik at bankene skal ta det samme ansvaret for tap også i nettbanker, men det ser ikke ut til at de kommer noen vei. Loven tvinger ikke bankene og Kredittilsynet mener at betaling over nettbank er noe helt annet enn tap av et minibankkort.

- På et bankkort har du en betalingsgrense på rundt 9000 kroner i uka. Det kan ligge flere hundre tusen kroner på kontoen på en nettbank, uten begrensinger. Da er det kanskje urimelig at bankene skal ta tapet hvis kunden har vist grov uforstand, sier spesialrådgiver Stig Ulstein i Kredittilsynet.

På den annen side, bankene vil være lite interessert i at det sås tvil om nettbankenes sikkerhet og kundenes trygghet. Skulle noen skrive et virus for en norsk nettbank som tapper kontoer i sanntid, er sannsynligheten stor for at banken tar tapet så lenge de faktisk vet at det er et virus som opererer.

Hva med phising?

De aller fleste nordmenn som er på nett har blitt utsatt for et phising-forsøk, enten de vet det eller ei. Det kan ha form som en e-post, angivelig sendt fra en seriøs kilde, for eksempel fra en bank. I teksten er det vanlig at avsenderne kommer med en oppfordring om at kontoinformasjon må av en eller annen grunn oppdateres og du henvises til en falsk nettside som ser seriøs ut. Der skal du som regel oppgi kredittkortinformasjon.

Det er mange variasjoner av nettfisking, felles for dem alle er at skurkene prøver å lure til seg informasjon som du absolutt ikke bør oppgi til folk som utgir seg for å være noe de ikke er. Blir du lurt og bankkontoen din begynner å oppføre seg merkelig, har du da vist grov uforstand?

Så langt ser det ut til at du som kunde er rimelig trygg. Bankklagenemda har ennå ikke hatt en tvistesak om dette på bordet, noe som tyder på at bankene eller kredittkortselskapene har ordnet opp i slike tilfeller.

- Jeg vil tro at dette er noe bankene tar som tap, men det er vanskelig å spekulere i dette før vi har en sak på bordet, sier Fiskerud i Bankklagenemda.

- Husk på at det skal mye til for det er snakk om grov uaktsomhet. Det skal være sterkt klandreverdig og vesentlig mer å bebreide enn hvor du har gjort mindre feil, sier han.

Husk å varsle

Anne Sofie Faye-Lund i Forbrukerrådet tror ikke phising-tilfellene vil være kundenes problem.

- I den grad kunden ikke kan verge seg mot det, vil de heller ikke få ansvar. Det er snarere tvert i mot. Ofte er det banken som oppdager at noe ikke er som det skal og ringer opp kunden for å dobbelsjekke, sier hun.

Det er praktisk talt umulig å ikke oppgi kortnummeret når du skal handle på nettet. Derfor er det ikke lett å beskylde deg for å være grovt uaktsom. Men Faye-Lund sier at du må passe på å varsle.

- Hvis du ikke varsler tidsnok når du oppdager noe er muffens, kan du være grovt uaktsom. Du har plikt til å begrense tapet mest mulig.

Les også: Nye virus tømmer kontoen dinSpesialsydde nettbank-trojanere vil øke