-
Uaktsomheten består i all hovedsak av å la en tredjepart få tilgang til passord, enten ved å ha det nedskrevet sammen med id-brikken, gi det til et svikaktig familiemedlem eller ved å la seg observere i bruk av id-brikke, skriver BI-professor Gisle James Natvik i innlegget. (Foto: Torbjørn Brovold).
Økonomi

Bankene bør ta mer av tapene ved id-tyveri

Gisle James Natvik

Når bankene ikke tar nok av tapene ved identitetstyveri, blir utlånsgiveren for sterk og bankhåndverket svakt.

Elektronisk identifikasjon, gjerne via BankID, muliggjør kraftige reduksjon i transaksjonskostnader. Men for at denne teknologien skal utnyttes effektivt, må tapene ved identitetstyveri fordeles rett. Det skjer ikke i dag.

For noen år siden kom en interessant sak opp for Finansklagenemnda Bank. Klagen ble ført på vegne av en person over 90 år med Alzheimer som ble holdt ansvarlig for et forbrukslån tatt opp i sitt navn. Banken som utstedte lånet, visste at søkeren var over 90 år og hadde hjelpeverge og dermed var ute av stand til å styre egen økonomi.

Banken utstedte likevel automatisk et usikret lån på 140.000 kroner fordi søkeren var identifisert med BankID.

En relatert sak kom opp for Hålogaland lagmannsrett i fjor. To familiemedlemmer hadde sammen søkt om et usikret lån på rundt en halv million kroner. Identifikasjon ble gjort med BankID. Søknaden inneholdt flere feil i kontaktinformasjonen om den ene låntageren. Den andre søkeren hadde en kjent historie hos banken med ti nylig avslåtte lånesøknader i sitt navn.

Den nye lånesøknaden ble innvilget uten at banken sikret annen identifikasjon av søkerne enn BankID.

Bør denne typen lånesøknader innvilges uten nevneverdig identifikasjon utover BankID?

I begge sakene over viste det seg å ligge identitetstyveri bak lånesøknadene. I begge sakene har bankene krevd lånet tilbakebetalt fra offeret for identitetstyveriet fordi offeret har opptrådt uaktsomt med sin bank-id. Lignende saker florerer.

Uaktsomheten består i all hovedsak av å la en tredjepart få tilgang til passord, enten ved å ha det nedskrevet sammen med id-brikken – Alzheimer-lånet nevnt ovenfor – bevisst gi det til et svikaktig familiemedlem – familielånet ovenfor – eller ved å la seg observere i bruk av id-brikke – en rekke andre saker i nære relasjoner.

Sakene er som karikerte eksempler i en økonomilærebok om hvordan kontrakter gir incentiver og fordeler risiko. I korthet sier læreboken at kontrakter bør utformes med henblikk på hvordan de motiverer til innsats og fordeler tap ved uflaks.

Til det første hensynet: For å fremme effektivitet må en kontrakt fordele incentiver ut fra hvor billig partene kan påvirke utfall av verdi. I denne saken er utfallet svindel. Spørsmålet blir da: Hvor billig kan enkeltpersoner og banker påvirke sannsynligheten for id-svindel?

Opptil et visst punkt kan individer utrette mye uten særlig kostnad, som ved å oppbevare id-brikker trygt og ikke oppgi passord til fremmede. Deretter stiger kostnaden. Av og til er det veldig praktisk å få hjelp av en ektefelle til å utføre banktransaksjoner. Bor man i en liten leilighet eller jobber i et åpent kontorlandskap, kan det være vanskelig å taste inn et passord uten at andre har mulighet til å observere.

Har man Alzheimer, kan det være greit å skrive ned passord.

Tilsvarende gjelder trolig for banker. Et varslingssystem som bryter den automatiserte søkeprosessen når id-svindel er sannsynlig, er neppe særlig kostbart. Indikatorer kan for eksempel være at søkere har hjelpeverge eller sliter med å oppgi korrekt kontaktinformasjon.

Finansnæringen har allerede rik erfaring med slike system fra kredittkort. Ved mistenkelig kortbruk vil banker ofte ringe kortholdere eller sperre kort. For eksempel ble jeg selv oppringt fra banken da jeg flyttet til California. Jeg hadde ikke varslet den om det, derfor sperret den kortet da det plutselig ble hyppig brukt der borte.

Lignende rutiner bør være enkle å implementere ved forbrukslån, gjerne med videosamtale for å bekrefte identitet.

Men slike oppfølgingstiltak blir dyre om alarmen går for ofte. Derfor er det trolig ineffektivt å benytte et system som avslører alle svindelforsøk. Dette taler for at bankene ikke bør bære tapene fra id-svindel til fulle.

Til det andre hensynet: En kontrakt skal fordele tap fra uflaks ut fra partenes evne til å bære risiko. Bankers risikobærende evne skal være enkeltindividers evne overlegen. Risikodeling tilsier derfor at banker bør bære mer av tapet ved id-svindel enn det incentivargumenter alene tilsier.

Gjeldende regulering og rettspraksis gir banker minimalt av tapene ved id-svindel. Som tatt ut av læreboken gjør bankene derfor minimalt for å verifisere hvem de låner penger til.

Forslaget til ny Finansavtalelov retter opp systemsvikten med et tak på svindelofres tap. Det er et godt forslag, i tråd med standard økonomisk teori.

Finans Norge ser ut til å ha problemer med å forstå logikken. Jeg håper denne teksten kan hjelpe.

Referanse

Innlegget ble først publisert på DN.no 26.01.20.

Publisert 29. januar 2020

Du kan også se alle nyheter her .