Edison-saken: Høyesterett tolker PSD II-direktivet

Edison-saken: Høyesterett tolker PSD II-direktivet

Les i Lovdata Pro

Redaktører: Simen Bjørneboe, Savvas Julian Johnstad Gabor, Lene Marita Berg Hermann.

Sakens bakgrunn

Daglig leder i energiselskapet Edison Norge AS [Edison Norge] ble i 2019 lurt av svindlere til å overføre til sammen 130 millioner kroner fra selskapets konto i Danske Bank til to kontoer i Hong Kong, gjennom 13 separate betalinger. Svindlerne utga seg for å være daglig leder i morselskapet Edison International S.p.A, som har hovedkontor i Italia. Gjennom e-post ble den daglige lederen av Edison Norge fortalt om et oppkjøp i Kina. Alle transaksjonene ble gjennomført ved at daglig leder – som hadde signaturrett og prokura for Edison Norge – ga skriftlige betalingsinstrukser per e-post til Danske Bank.

Edison Norge mente banken var ansvarlig for tapet og krevde beløpet erstattet. Prinsipalt ble det anført at betalingen ikke var autorisert av Edison Norge, og subsidiært ble det anført at Danske Bank hadde opptrådt uaktsomt. Edison Norge fikk medhold i den subsidiære anførselen både i tingretten og lagmannsretten. I Høyesterett ble derimot Danske Bank fullt ut frifunnet.

Denne omtalen vil kun omhandle spørsmålet om uaktsomhet.

Høyesteretts vurdering

Uaktsomhetsansvar – rettslige utgangspunkter

I vurderingen av om det er mulig å etablere et ansvarsgrunnlag for banken, tar Høyesterett utgangspunkt i det ulovfestede uaktsomhetsansvaret utenfor kontrakt, men presiserer at det ikke er et vanntett skille mellom culpa i og utenfor kontrakt.

Det avgjørende spørsmålet var om Danske Bank eller ansatte i banken burde handlet annerledes. Det vil si, om banken har en plikt til å overvåke transaksjonene og å treffe tiltak dersom det var noe som kunne tyde på svindel, selv om det var på det trene at betalingen skjedde etter instruks fra daglig leder i Edison Norge.

Høyesterett presiserer at det er tale om et formuestap, samtidig som den påståtte skadevoldende handlingen er en unnlatelse som ikke knytter seg til en risiko som banken selv har skapt. Etter dette vil uaktsomhetsansvar utenfor kontrakt bare være aktuelt dersom det foreligger et brudd på en etablert handlingsnorm. Spørsmålet er etter dette om lov, forskrift eller direktiv stiller krav til banker om vern mot svindel ved autoriserte betalinger.

Finansavtaleloven og PSD II-direktivet

På bedrageritidspunktet var det finansavtaleloven 1999 som var gjeldende rett – finansavtaleloven 2020 trådte først i kraft i 2023. Finansavtaleloven 1999 § 40 forutsetter at banken skal gjennomføre transaksjoner som er satt i verk av kunden, men indikerer ingen plikt til overvåkning av transaksjoner. Tvert imot mener Høyesterett at finansavtaleloven 1999 § 43 (2) tilsier at utgangspunktet etter loven er at kunden har ansvaret for egne feil.

Høyesterett går så videre til å vurdere om det kan utledes en overvåkningsplikt av PSD II-direktivet, som er gjennomført i forskrift 15. februar 2019 nr. 152 om systemer for betalingstjenester. I så fall må en slik plikt gjelde tilsvarende i norsk rett, enten gjennom tolkning etter presumsjonsprinsippet eller direkte gjennom EØS-loven § 2.

Innledningsvis presiserer retten at departementet i forarbeidene til finansavtaleloven 1999 har tatt utgangspunkt i at direktiv 2007/64/EF [PSD I-direktivet] – forgjengeren til PSD II-direktivet – bygget på utgangspunktet om at kunden var ansvarlig for å dekke tapet for egne feil. Dette synes Høyesterett også å legge til grunn, spørsmålet er om PSD II har endret på dette utgangspunktet.

Edison anførte at PSD II artikkel 95 om styring av operasjonelle risikoer og sikkerhetsrisikoer tilsa at bankene hadde plikt til å overvåke transaksjoner. Etter artikkel 95 (1) skal medlemsstatene sikre at betalingstjenesteytere fastsetter en ramme med egnede risikoreduserende tiltak og kontrollordninger for å styre de operasjonelle risikoene og sikkerhetsrisikoene knyttet til betalingstjenestene de yter. Som en del av denne rammen skal betalingstjenesteyterne innføre og opprettholde effektive framgangsmåter for å håndtere hendelser, herunder for å avdekke og klassifisere større operasjonelle hendelser og sikkerhetshendelser. Etter artikkel 95 (3) kan European Banking Authority (EBA) utarbeide retningslinjer i medhold av bestemmelsen. EBA har imidlertid ikke lagt frem retningslinjer som omhandlet svindelovervåkning hvor kunden selv har stått for overføringen.

Videre viser førstvoterende til EBAs rapport EBA/REP/2022/14 der sosial manipulering omtales som et område «where further improvements ... are needed», jf. rapporten på s. 81. I tillegg kommer EBA med noen forslag til hva som kan gjøres for å redusere risikoen for slik manipulering. Ut ifra dette slutter Høyesterett at EBA ikke kan ha ment at banker har en plikt til å utvikle systemer og prosedyrer for å hindre eller redusere risikoen for svindel ved autoriserte betalinger.

Til sist vises det til at EU-kommisjonen i juni 2023 la frem et forslag til ny forordning om betalingstjenester, COM (2023) 367. I fortalen avsnitt 79 fremgår det blant annet:

«Forbrugerne bør beskyttes tilstrækkeligt i forbindelse med visse svigagtige betalingstransaktioner, som de har givet tilladelse til uden at vide, at disse transaktioner var svigagtige. Antallet af «social engineering»-sager, hvor forbrugere vildledes til at godkende en betalingstransaktion til en svindler, er steget markant i de senere år. «Spoofing»-tilfælde, hvor svindlere foregiver at være ansatte hos en kundes betalingstjenesteudbyder og misbruger betalingstjenesteudbyderens navn, postadresse eller telefonnummer til at vinde kundernes tillid og få dem til at udføre visse handlinger, bliver desværre mere udbredt i Unionen. Disse nye former for «spoofing»-svig udvisker forskellen i direktiv (EU) 2015/2366 mellem autoriserede og uautoriserede transaktioner. (...) Det er derfor ikke længere muligt, som det var tilfældet i direktiv (EU) 2015/2366, at begrænse tilbagebetalinger til uautoriserede transaktioner. Det ville imidlertid være uforholdsmæssigt og økonomisk meget dyrt for betalingstjenesteudbyderne at åbne enhver svigagtig transaktion, hvad enten de er autoriserede eller uautoriserede, for en systematisk ret til tilbagebetaling. Det kan også medføre moralsk risiko og mindske kundens årvågenhed.»

EU-kommisjonen antyder her at PSD II-direktivet ikke er tilstrekkelig for å beskytte forbrukere mot de såkalte «spoofing»-tilfellene. På denne bakgrunn foreslår kommisjonen å innføre en ny erstatningsregel i artikkel 59 (1) i de tilfellene der svindlerne gir seg ut for å være ansatte i banken. Lovforslaget gjelder forbrukere og ville ikke hatt betydning i denne saken. Forslaget indikerer likevel at PSD II-direktivet ikke oppstiller en plikt til svindelovervåkning ved autoriserte betalinger.

På denne bakgrunn er konklusjonen at PSD II-direktivet ikke gir grunnlag for å hevde at det foreligger en slik overvåkningsplikt.

Det forelå heller ikke noen brudd på hvitvaskingsreglene, bransjepraksis eller interne rutiner. Det forelå derfor ikke noe ansvarsgrunnlag, og derav heller ikke et erstatningsansvar for Danske Bank.

Høyesteretts konklusjon

  1. Danske Bank frifinnes.

  2. Den avlede anken forkastes.

Kommentar

Direktiv (EU) 2015/2366 (betalingstjenestedirektivet/PSD 2) er vedtatt inntatt i EØS-avtalen vedlegg IX Finansielle tjenester, se EØS-komiteens beslutning nr. 165/2019. Norske bestemmelser som gjennomfører direktivets offentligrettslige regler, samt de viktigste privatrettslige bestemmelsene er gjennomført i norsk rett ved lov 10. april 2015 nr. 17 om finansforetak og finanskonsern (finansforetaksloven), lov 18. desember 2020 nr. 146 om finansavtaler (finansavtaleloven) og forskrift 19. september 2022 nr. 1612 om finansavtaler (finansavtaleforskriften).

PSD II-direktivet er en totalharmonisering av betalingstjenester i det indre marked, jf. artikkel 107.

(HR-2024-990-A)

SB

Publisert: 27.09.2024
Utgave: 2024-11