512 Henrik Udsen SvJT 2023 underskrive med NemID er derfor, at man kender brugernavn og adgangskode og er besiddelse af nøglekortet eller en kopi heraf.
    NemID er under udfasning og ved at blive erstattet af MitID, der har været i brug siden oktober 2021. I en overgangsperiode kan begge løsninger bruges, men fra juli 2023 vil MitID fuldt ud afløse NemID. MitID er baseret på krypteringsteknologi på samme måde som NemID, men den underliggende sikkerhed er øget, og det fysiske nøglekort er erstattet af en app, hvorfra brugeren skal bekræfte brugen af MitID i den enkelte situation. Underskrift med MitID forudsætter derfor adgang til den enhed, hvor brugeren har MitID-appen liggende, kendskab til brugernavn og adgangskode eller den biometriske identifikator (f.eks. ansigt), der låser den enhed op, hvor MitID-appen ligger. I praksis betyder dette, at det er vanskeligere at misbruge MitID end NemID.

3 Aftaleretlig hæftelse ved misbrug af digital signatur — højesteretspraksis
Højesteret har i en række afgørelser taget stilling til om og under hvilke betingelser, indehaveren af en digital signatur kan blive aftaleretligt forpligtet, når en tredjepart underskriver et digitalt aftaledokument med signaturen, uden at indehaveren har haft en vilje til at blive bundet af aftalen. Alle afgørelserne omhandler NemID men de principper, Højesteret lægger til grund for sine afgørelser, vil finde tilsvarende anvendelse for andre typer af digitale signaturer.

3.1 De to første afgørelser fra Højesteret
I de to første afgørelser afsagt den 8. januar 2019, sagsnr. 82/2018 (U.2019.1192 HK) og sagsnr. 87/2018 (U.2019.1197 HK), nåede Højesteret frem til, at signaturindehaverne blev bundet af låneaftaler, som en tredjepart havde indgået i deres navn ved brug af deres NemID. I den førstnævnte afgørelse var en person med en narkogæld på 15.000 kr. ifølge sin forklaring blevet presset af en narkosælger til at udlevere kreditkortoplysninger, betalingskort, kopi af pas og kopi af NemIDnøglekortet og den tilhørende kode. Narkosælgeren brugte efterfølgende disse oplysninger til bl.a. at optage et lån på ca. 50.000 kr. i NemID-indehaverens navn. NemID-indehaveren anmeldte forholdet til politiet ca. en måned senere. I den anden sag udleverede en ung mand (NemID-indehaveren) sit nøglekort sammen med brugernavn og adgangskode til en tredjepart, som uden hans viden underskrev et digitalt gældsbrev og optog et lån på 40.000 kr. i NemID-indehaverens navn og fik beløbet overført til NemID-indehaverens konto. Efterfølgende hævede NemID-indehaveren de 40.000 kr. fra sin konto og gav dem til tredjeparten og fik 3.000 kr. herfor. Første senere samme dag blev NemID-indehaveren klar over, at der var tale om penge, som var udbetalt via et gældsbrev oprettet i hans navn. Den følgende dag anmeldte han forholdet til politiet. Det fremgår af sagen, at NemID-

SvJT 2023 Aftaleretlig hæftelse ved misbrug … 513 indehaveren følte sig truet/presset til at udlevere NemID-oplysningerne.
    De to afgørelser blev behandlet samtidigt i Højesteret og præmisserne i afgørelserne er enslydende. I sin vurdering inddrager Højesteret en betænkning fra 20043 afgivet af et udvalg under Justitsministeriet, som havde fået i opdrag at vurdere, om der var behov for lovregulering af digitalt signerede meddelelsers retsvirkning. I betænkningen drøftes bl.a., hvornår en signaturindehaver kan blive aftaleretligt bundet ved tredjeparters misbrug af den digital signatur.4 Højesteretskendelserne gengiver dele af betænkningens drøftelse heraf, herunder følgende afsnit:

Det klare udgangspunkt i dansk ret er, at man ikke bliver aftaleretligt forpligtet af en erklæring, der uberettiget afgives i ens navn (falsk) eller ændres efter afgivelsen (forfalskning). Falsk og forfalskning kan gøres gældende som ugyldighedsgrund også over for en løftemodtager i god tro. Et løfte binder med andre ord kun den, der har afgivet det, eller som har givet en anden fuldmagt til at afgive det. Der kan dog rent undtagelsesvist tænkes at opstå situationer, hvor den pågældende uanset falsk eller forfalskning bliver aftaleretligt forpligtet, nemlig i tilfælde, hvor den pågældende har foretaget en handling eller undladelse, som af løftemodtageren kan opfattes som indforståelse med at være bundet. Den, der ikke i rimeligt omfang søger at modvirke, at andre afgiver falske eller forfalskede erklæringer i sit navn, kan endvidere efter omstændighederne herved tænkes at pådrage sig erstatningsansvar over for den, der i god tro modtager og stoler på sådanne erklæringer. I sammenhæng hermed er det omdiskuteret, i hvilket omfang der i relation til falske /forfalskede erklæringer gælder en reklamationspligt. Disse almindelige aftaleretlige regler gælder også for aftaler, retshandler eller meddelelser, som uberettiget underskrives med en andens digitale signatur. Certifikatindehaveren vil således som altovervejende hovedregel ikke være bundet af en erklæring, som er afgivet af en tredjemand, der uberettiget har fået adgang til den private nøgle. Det er principielt uden betydning for den aftaleretlige bundethed, om certifikatindehaveren reklamerer over for modtageren af erklæringen, altså giver denne meddelelse om, at der foreligger falsk. For så vidt angår spørgsmålet om, i hvilke tilfælde en certifikatindehaver bliver bundet ved efterfølgende at have godkendt en (uberettiget) disposition i certifikatindehaverens navn, ses der ikke at være særlige forhold, der gør sig gældende for dispositioner, der er foretaget ved brug af digital signatur […] Det er kun uberettiget brug af en andens underskrift eller digitale signatur, som bevirker, at dokumenter, herunder elektroniske dokumenter, er falske. Har certifikatindehaveren givet den anden person fuldmagt til at anvende sin digitale signatur til at indgå det pågældende retsforhold i certifikatindehaverens navn ved hjælp af dennes digitale signatur, og er modtageren af erklæringen i god tro, vil certifikatindehaveren i overens-

3 Betænkning 1456/2004 om e-signaturers retsvirkning. 4 Spørgsmålet var på daværende tidspunkt også behandlet hos Udsen, Den digitale signatur — ansvarsspørgsmål, Forlaget Thomson, 2002, hvis konklusioner betænkningen i det væsentlige tilslutter sig.

514 Henrik Udsen SvJT 2023 stemmelse med almindelige regler om fuldmagtsforhold kunne blive forpligtet. Det samme gælder, hvis certifikatindehaveren efterfølgende godkender dispositionen enten udtrykkeligt eller ved ord eller handlinger, som af løftemodtageren med rette må opfattes som en sådan godkendelse. Det er mere uklart, hvornår en certifikatindehavers handlinger, der sætter tredjemand i stand til at identificere sig som certifikatindehaveren, vil kunne tages som udtryk for en tilkendegivelse fra certifikatindehaveren om, at den pågældende tredjemand udstyres med en bemyndigelse til at disponere på certifikatindehaverens vegne. Om der er tale om et fuldmagtsforhold, må således i første række bero på en nærmere fortolkning af aftaleforholdet mellem certifikatindehaveren og den person, som uberettiget benytter den digitale signatur. Den blotte overgivelse af den private nøgle med tilhørende adgangskode til en anden antages næppe i sig selv at indebære, at den pågældende herved får fuldmagt eller i øvrigt kan anses som legitimeret til at indgå aftaler på certifikatindehaverens vegne. Der skal formentlig mere til, f.eks. at den uberettigede bruger i forvejen er fuldmægtig for certifikatindehaveren, eller at certifikatindehaveren ved sin adfærd har givet tredjemand (modtageren) grund til at tro, at der foreligger et fuldmagtsforhold, f.eks. ved at hovedmanden accepterer, at en person optræder på en sådan måde, at tredjemand får indtryk af, at den pågældendes dispositioner binder hovedmanden. Der vil i praksis normalt være tale om tilfælde, hvor der består et vist interessefællesskab mellem hovedmanden og mellemmanden, f.eks. i form af ægteskab, forretningsforbindelse eller ansættelsesforhold. Under alle omstændigheder kan spørgsmålet om, hvorvidt en certifikatindehavers adfærd vil bevirke en retlig forpligtelse over for godtroende løftemodtagere, ikke afgøres uden en samlet vurdering af det samlede hændelsesforløb, herunder kendskab til, hvilke oplysninger den enkelte løftemodtager måtte have været i besiddelse af om forholdet mellem certifikatindehaveren og den, der (uberettiget) har afgivet løftet ved brug af den digitale signatur. Hvis den private nøgle er kompromitteret som følge af certifikatindehaverens egen uagtsomhed, og certifikatindehaveren ikke efterfølgende sørger for at få spærret sin signatur, vil dette efter omstændighederne kunne indgå i den samlede vurdering af, om certifikatindehaveren bliver aftaleretligt forpligtet. Manglende spærring vil således efter omstændighederne kunne medføre, at certifikatindehaveren anses for at have givet besidderen af den private nøgle, der uhindret får mulighed for fortsat at anvende denne, fuldmagt hertil. Der skal dog formentlig temmelig meget til, og navnlig må det formentlig kræves, at certifikatindehaveren har viden om, at den private nøgle er kompromitteret.

Med henvisning til betænkningen anførte Højesteret herefter, at ”afgørelsen af, om indehaveren bliver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens digitale signatur, må træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb. I denne vurdering indgår bl.a., under hvilke omstændigheder tredjemand er kommet i besiddelse af indehaverens nøgle (brugernavn, adgangskode og nøglekort til NemID), om indehaveren har haft kendskab til, at tredjemand er kommet i besiddelse af de pågældende oplysninger, og om indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at spærre sit NemID så hurtigt som muligt”. På den baggrund fastslog Højesteret, at NemID-indehaveren

SvJT 2023 Aftaleretlig hæftelse ved misbrug … 515 havde ”udvist en sådan grad af uagtsomhed, at han i forhold til Basisbank hæfter for låneoptagelsen på aftaleretligt grundlag, selv om underskriften ikke er tilføjet digitalt af ham selv”.
    Med disse to afgørelser blev det fastslået, at en signaturindehaver efter dansk ret kan blive aftaleretligt bundet af en aftale underskrevet af en tredjepart ved misbrug af den digitale signatur, hvis signaturindehaveren har udvist en tilstrækkelig grad af uagtsomhed i omgangen med den digital signatur. Højesteret fastslog dog også, at afgørelsen må træffes på baggrund af en konkret vurdering af det samlede hændelsesforløb.

3.2 Efterfølgende afgørelser
I tiden efter de to første højesteretsafgørelser traf de underliggende retsinstanser en række afgørelser om aftaleretlig hæftelse ved tredjeparts misbrug af NemID i sager om uberettiget låneoptagelse. I alle sagerne tog retterne udgangspunkt i det af Højesteret fastslåede kriterie, om NemID-indehaveren havde udvist ”en sådan grad af uagtsomhed” i omgangen med NemID, at det statuerede aftaleretlig hæftelse. Tre af de efterfølgende sager nåede frem til Højesteret.
    Den første af disse tre sager blev afgjort af Højesteret ved dom af 26. februar 2021 (BS-10923/2020-HJR, U.2021.2320 H). I sagen havde NemID-indehaverens samlever optaget lån i NemID-indehaverens navn uden hendes viden og accept. Samleveren var kommet i besiddelse af hendes nøglekortoplysninger ved at tage nøglekortet fra hendes pung og fotografere det. Han havde fået adgang til hendes brugernavn og adgangskode via familiens fælles tablet, hvor oplysningerne var lagret. Han havde endvidere udfoldet betydelige bestræbelser på at skjule NemID-misbruget, bl.a. ved at ændre indstillinger i NemIDindehaverens e-Boks, så hun ikke modtog løbende advisering fra kreditorerne og ved løbende at slette meddelelser fra långivere i hendes e-Boks. Landsretten var nået frem til, at NemID-indehaveren var bundet af låneaftalen. Højesteret fandt imidlertid ikke, at NemIDindehaveren havde udvist en sådan grad af uagtsomhed, at hun hæftede for låneforholdet på aftaleretligt grundlag og afviste også at pålægge NemID-indehaveren et erstatningsansvar.
    De to seneste afgørelser fra Højesteret er begge afsagt den 17. november 2021 men er af ganske forskellige karakter.
    I den ene af afgørelserne, sagsnr. 61/2021 (U.2022.411 HK), havde NemID-indehaveren udleveret NemID-oplysningerne til en kvinde, han havde kommunikeret med via Messenger, men ikke mødt fysisk. Han var angiveligt bekendt med, at hun skulle bruge oplysningerne, fordi hun manglede penge til at betale en regning, og han håbede at modtage en belønning i form af fysisk samvær for at give hende oplysningerne. På den baggrund fastslog Højesteret, at NemID-indehaveren havde udvist en sådan grad af uagtsomhed, at han som udgangspunkt hæftede på aftaleretligt grundlag. Da NemID-indehaveren var psykisk

516 Henrik Udsen SvJT 2023 udviklingshæmmet og havde et mental niveau svarende til et 7-årigt barn, var han imidlertid efter værgemålsloven § 46 ikke bundet af aftalen.
    I den anden afgørelse, sagsnr. 11/2021 (U.2022.414 HK), blev to personer, der boede sammen, begge ringet op af en person, der udgav sig fra at være fra politiet og narrede dem til at udlevere deres NemIDoplysninger under påskud af, at deres Instagram-konto var blevet hacket. Efterfølgende optog svindleren en række lån i de to personers navn ved brug af deres NemID. Fogedretten fandt, at NemID-indehaverne havde udvist en sådan grad af uagtsomhed, at de var bundet af den indgåede låneaftale. Resultatet blev omgjort af landsretten, der fandt det ”betænkeligt” at fremme fogedsagen. Højesteret stadfæstede afgørelsen fra landsretten og fastslog, at NemID-indehaverne ikke havde udvist en sådan grad af uagtsomhed, at de var bundet af låneaftalerne. Højesteret indledte sine præmisser med at gentage de kriterier, der blev opstillet i de to første afgørelser (U.2019.1192 H og U.2019.1197 H), hvilket også var gjort i de øvrige afgørelser. Herefter anførte Højesteret imidlertid, at der som udgangspunkt ikke indtræder aftaleretlig hæftelse ved tredjeparters misbrug af en digital signatur: ”Af den nævnte betænkning fremgår bl.a., at det klare udgangspunkt i dansk ret er, at man ikke bliver aftaleretligt forpligtet af en erklæring, der uberettiget afgives i ens navn (falsk). Der kan dog rent undtagelsesvist tænkes at opstå situationer, hvor den pågældende uanset falsk eller forfalskning bliver aftaleretligt forpligtet. Det fremgår endvidere, at den blotte overgivelse af den private nøgle med tilhørende adgangskode til en anden næppe i sig selv er tilstrækkeligt til at indebære, at den pågældende bliver aftaleretligt forpligtet. I Højesterets kendelser af 9. januar 2019 var der tale om, at NemID-indehaveren i den ene sag havde overladt oplysningerne til en person, til hvem han havde en narkogæld, og i den anden sag til en ukendt person, hvor det drejede sig om, ´at få penge ud fra en konto´”. Det citerede er ikke gengivet i nogle af de tidligere højesteretsafgørelser og kan muligvis læses som et signal til de øvrige domstole om, at man i nogen sager gik for langt i at statuere aftaleretlig hæftelse — og til de långivende banker om, at de anlagde for mange sager.

3.3 Sammenfattende om retstilstanden på baggrund af Højesterets praksis
Med den foreliggende praksis fra Højesteret ligger det fast, at indehaveren af en digital signatur potentielt kan blive bundet af aftaler indgået af tredjeparter ved misbrug af signaturen.
    Afgørelsen af, om der indtræder aftaleretlig hæftelse, skal træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb, hvor det bl.a. skal vurderes under hvilke omstændigheder tredjeparten er kommet i besiddelse af de oplysninger, der muliggør brugen af den digitale signatur (i de konkrete sager NemID-oplysninger), om indehaveren har haft kendskab til, at tredjeparten er kommet i besiddelse

SvJT 2023 Aftaleretlig hæftelse ved misbrug … 517 af oplysningerne, og om indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at spærre adgangen til brug af den digitale signatur så hurtigt som muligt.
    I alle sager har Højesteret begrundet resultatet med, om NemIDindehaveren havde udvist en sådan grad af uagtsomhed, at der indtrådte aftalehæftelse. En vurdering af, i hvilket omfang signaturindehaveren gennem sin — uagtsomme — adfærd har muliggjort misbruget, er således helt central for den aftaleretlige vurdering. I flere afgørelser fra de underliggende retter blev dette uagtsomhedskrav sat lavt, og man efterlades i enkelte tilfælde med et indtryk af, at der næsten er foretaget en uagtsomhedsvurdering svarende til den erstatningsretlige, hvorefter simpel uagtsomhed er tilstrækkeligt til at statuere ansvar. Med præciseringen af, at der som det klare udgangspunkt ikke indtræder aftaleretlig hæftelse i falsktilfælde i U.2022.414 HK, har Højesteret gjort det klart, at den aftaleretlige adfærdsvurdering har en helt anden karakter end den erstatningsretlige. Dette understreges af Højesterets angivelse af (med henvisning til betænkning 1456/2004), at den blotte overgivelse af den private nøgle med tilhørende adgangskode næppe i sig selv er tilstrækkeligt til, at der indtræder aftalehæftelse. Højesteret nævner i forbindelse baggrunden for, at der blev statueret aftaleretlig hæftelse i de to første højesteretsafgørelser (”… var der tale om, at NemID-indehaveren i den ene sag havde overladt oplysningerne til en person, til hvem han havde en narkogæld, og i den anden sag til en ukendt person, hvor det drejede sig om, ´at få penge ud fra en konto´”). Hermed synes Højesteret at tilkendegive, at NemIDindehaverne i de to første sager blev bundet af aftalerne, ikke kun fordi de overlod NemID-oplysningerne til en tredjepart, men fordi de gjorde det under omstændigheder, hvor de indså eller burde have indset, at tredjeparten ville misbruge deres NemID. Med disse præciseringer har Højesteret i realiteten sat barren ganske højt for, hvornår man kan blive aftalebundet ved misbrug af den digitale signatur — hvilket er helt i overensstemmelse med det anførte aftaleretlige udgangspunkt i falsksituationer.
    På et mere teoretisk plan, kan det noteres, at Højesteret ikke baserer den aftaleretlige hæftelse på en fuldmagtfigur. Højesteret bruger således ikke ordet ”fuldmagt” noget sted i præmisserne i sine afgørelser (hvorimod betænkning 1456/2004 synes at anvende en fuldmagtsfigur, om end det ikke er helt klart). Hermed synes Højesteret i realiteten at tage udgangspunkt i en bredere aftaleretlig grundsætning om uagtsomhed som grundlag for aftalehæftelse,5 om end dette ikke er adresseret i afgørelserne. Det er dog samtidig klart, at den af Højesteret introducerede helhedsvurdering (en konkret vurdering af det samlede hændelsesforløb) giver rum for at inddrage andre aspekter i den aftaleretlig bedømmelse, jf. også herom afsnit 5 nedenfor.

5 Se nærmere hertil Udsen, Uagtsomhed som aftalestiftende retsfaktum: Et bidrag til den aftaleretlige forpligtelseslære, Tidsskrift for Rettsvitenskap, 2006, s. 104 ff.

518 Henrik Udsen SvJT 2023 4 Nordiske forskelle og ligheder
På tilsvarende vis som den danske Højesteret har højesteretterne i Sverige og Norge truffet afgørelse om ansvar for misbrug af digital signatur. Afgørelserne fra de tre højesteretter viser, at der er forskellige tilgange til spørgsmålet i disse nordiske lande.
    I en dom fra 21. december 2021 (T 930-21, ”Låneavtalet med Svea Ekonomi” NJA 2021 s. 1017) fastslog den svenske Högsta domstolen, at en mand blev bundet af den låneaftale, hans samlever uden hans viden havde indgået ved brug af hans BankID. Samleveren havde efterfølgende overført lånebeløbet på 20.000 kr. til sin egen konto. Misbruget var muliggjort ved, at BankID-indehaveren havde givet samleveren sin BankID med tilhørende kode, så samleveren løbende kunne betale hans andel af husholdningsomkostningerne. Högsta domstolen fastslog indledningsvist, at indehaveren af en e-legitimation ikke bliver bundet af aftaler, som en tredjepart indgår ved uberettiget brug af e-legitimationen. Dette indebærer bl.a., at indehaveren ikke bliver bundet, når en tredjepart har skaffet sig adgang til koder mv. ved tyveri eller ved at narre indehaveren til at udlevere koden eller ved andre former for vildfarelse hos indehaveren. Högsta domstolen anførte imidlertid også, at der ikke foreligger en uberettiget brug, hvis indehaveren har udstyret tredjeparten med en fuldmagt til at indgå retshandler på indehaverens vegne med brug af e-legitimationen. I forlængelse heraf fastslog Högsta domstolen, at der etableres en tillidsfuldmagt, når indehaveren overlader sin e-legitimation til en anden med henblik på, at denne skal foretage transaktioner på vegne af indehaveren ved brug af e-legitimationen. Indehaveren kan dermed potentielt blive bundet af de aftaler, tredjeparten indgår med elegitimationen, selvom aftalerne ligger udover den bemyndigelse, indehaveren har givet tredjeparten. Om indehaveren bindes i disse situationer afgøres af, om løftemodtageren med rimelighed kunne fæstne tillid til det afgivne løfte. Det afgøres bl.a. af aftalens omfang og karakter, hvor sædvanlig den er, og hvilke forpligtelser den indebærer. Således kan løftemodtageren normalt uden videre fæstne tillid til en digitalt signeret aftale om lån af mindre beløb, mens aftaler om større beløb i forbrugerforhold kan kræve, at løftemodtageren (långiveren) skal foretage yderligere kontroller.
    Den norske Høyesterett har også afsagt en dom om misbrug af BankID (sagsnr. 20-006911SIV-HRET). Sagen omhandler dog alene BankID-indehaverens potentielle erstatningsansvar, idet parterne var enige om, at sagen skulle afgøres på baggrund af de erstatningsretlige regler. Hermed foreligger ingen højesteretspraksis fra Norge, der forholder sig til spørgsmålet om aftalebinding ved misbrug af en digital signatur. I den konkrete sag havde to personer misbrugt indehaverens BankID ved at stjæle den fysiske kodebrik, som lå i en ulåst skuffe i et kontor i indehaverens virksomhed. De to personer arbejdede i virksomheden og havde dermed adgang til kontoret i en periode, hvor inde-

SvJT 2023 Aftaleretlig hæftelse ved misbrug … 519 haveren var bortrejst. Det var uklart, hvordan de to personer havde skaffet sig adgang til det password, der også skulle bruges. Sagen adskiller sig dermed fra de to første danske højesteretsafgørelser og den svenske højesteretsdom derved, at BankID-indehaveren ikke havde overgivet BankID-oplysningerne til tredjeparten. Alligevel er det nok illustrativt, at parterne i højesteretssagen var enige om at lade den afgøre efter de erstatningsretlige regler. Således synes det at være den herskende opfattelse i norsk juridisk teori, at der er mindre rum (om noget overhovedet) for at pålægge indehaveren aftalebinding ved misbrug af digital signatur, end hvad der følger af den beskrevne højesteretspraksis fra Danmark og Sverige.6 Der foreligger enkelte domme fra norske tingretter, der har statueret aftaleretlige hæftelse ved misbrug af BankID, men disse har begrænset præjudikatsværdi.
    Hermed er der valgt forskellige tilgange til spørgsmålet om aftaleretlig hæftelse i Danmark, Sverige og Norge. I Danmark har Højesteret fastslået, at spørgsmålet skal afgøres af en samlet vurdering af de konkrete forhold, hvor navnlig signaturindehaverens adfærd har været afgørende for vurderingen. I Sverige har Högsta domstolen anvendt en fuldmagtsfigur (tillidsfuldmagt) og opstillet som et grundlæggende krav for aftalehæftelse, at signaturindehaveren har overladt signaturen til tredjeparten med henblik på, at denne indgik retshandler på vegne af signaturindehaveren. I Norge har Høyesterett ikke taget stilling til spørgsmålet om aftalehæftelse, men der synes at være større tilbøjelighed til at anvende erstatningsregler, og muligvis er der mindre rum for aftaleretlig hæftelse, end hvad der følger af afgørelserne fra Danmark og Sverige — det synes i hvert fald at være en udbredt opfattelse i den norske juridiske teori.
    I realiteten er retstilstanden i de tre lande nok ikke så forskellig, som forskellene i de valgte tilgange umiddelbart kunne give indtryk af. Særligt er der næppe langt mellem retstilstanden i Danmark og Sverige. Med den danske Højesterets præcisering i U.2022.414 HK, vil aftalehæftelse i dansk ret meget sjældent komme på tale, hvis ikke signaturindehaveren har overladt signaturen til en person, som indehaveren indså eller burde have indset ville misbruge signaturen. Hermed ligger den danske retstilstand ganske tæt på det resultat, som følger af Högsta domstolens afgørelse, om end den svenske afgørelse i højere grad og mere eksplicit fokuserer på, hvad løftemodtageren med rimelighed kunne forvente. Der er oplagt, at der vil være forskelle i retstilstanden, hvis der efter norsk ret ikke kan statueres aftaleretlig hæftelse i sådanne situationer — hvad den norske Høyesterett dog som nævnt endnu ikke haft anledning til at tage stilling til. Selv da vil retstilstanden dog på mange punkter minde om hinanden. Sagerne om

6 Jf. Norland og Kjørven, Elektroniske signaturer og avtalebinding, s. 8 med yderligere henvisninger i Kjørven, Hjort Astrup og Wærstad (red.), Bruk og misbrug av elektronisk identifiasjon, Karnov Group Norway.

520 Henrik Udsen SvJT 2023 misbrug af digitale signatur har handlet om indgåelse af låneaftaler, og i det væsentlige er resultatet derfor blevet det samme, om signaturindehaveren er blevet forpligtet til at betale lånet eller betale erstatning til långiveren for dennes tab ved ikke at kunne gøre låneaftalen gældende. Uanset om sagerne afgøres aftaleretligt eller erstatningsretligt bliver det centralt at vurdere, om signaturindehaveren gennem sin adfærd kan bebrejdes, at andre har haft mulighed for at misbruge signaturen. I sidste ende vil den enkelte sag i høj grad blive afgjort af, om det findes rimeligt at placere risikoen for tredjemands misbrug hos signaturindehaveren eller løftemodtageren — hvilket har en direkte sammenhæng med vurderingen af signaturindehaverens adfærd.
    Selvom de forskellige udgangspunkter for behandlingen af ansvaret for misbrug af digital signatur langt hen ad vejen kan føre samme sted hen, er det dog ikke uden betydning, hvilken tilgang, der vælges. Det vil særligt i nogle tilfælde kunne få betydning, om man vælger en aftaleretlig eller erstatningsretlig tilgang. Bliver signaturindehaveren bundet af aftalen, har det den åbenbare konsekvens, at aftalens bestemmelser om eksempelvis forrentning vil gælde. Det indebærer endvidere, at långiveren kan søge tvangsfuldbyrdelse i det fogedretlige system, mens et erstatningskrav først skal fastslås ved dom (i praksis begrænses forskellen dog af, at fogedrettens afgørelse om aftalehæftelse kan kæres, hvorved der også sker sagsbehandling i flere retsinstanser). Den erstatningsretlige tilgang har den fordel, at den giver mulighed for at fordele tabet mellem signaturindehaveren og långiveren (gennem en reduktion af erstatningen), hvor dette resultat forekommer rimeligt. Dette er vanskeligere med den aftaleretlige tilgang. Omvendt kan den erstatningsretlige tilgang være mindre egnet, når der ikke er tale om låneaftaler, hvor aftalehæftelsen og erstatning ofte vil føre til stort set samme resultat. I Sverige kan sondringen også få betydning, fordi der er begrænset mulighed for at kræve erstatning for ren formueskade. Dette gælder ikke tilsvarende for Danmark og Norge.

5 Afsluttende bemærkninger
Den ovenfor gennemgåede praksis fra Højesteret viser, at indehaveren af en digital signatur i dansk ret potentielt kan blive bundet af aftaler indgået af tredjeparter ved misbrug af signaturen, og at dette navnlig afgøres af, om signaturindehaveren gennem sin adfærd har muliggjort misbruget. Anvendelsen af løftegiverens adfærd som kriterie for aftaleretlig hæftelse er forankret i den grundlæggende aftaleretlige forpligtelseslære. At falsk historisk stort set ikke har ført til aftalehæftelse, skyldes derfor heller ikke nødvendigvis, at dette aftaleretligt er udelukket, men at pseudoløftegiveren i den analoge verden i praksis meget sjældent kan gardere sig mod eller i øvrigt bebrejdes falsksituationen. Dette har ændret sig med den teknologiske udvikling og muligheden for at underskrive med en digital signatur. Højesterets praksis er en illustration af dette.

SvJT 2023 Aftaleretlig hæftelse ved misbrug … 521 Det meget eksplicitte fokus på signaturindehaverens adfærd rummer dog faldgruber. For det første er der en risiko for, at uagtsomhedsvurderingen flyder sammen med den mere velkendte erstatningsretlige uagtsomhedsvurdering med den konsekvens, at der for ofte statueres aftaleretlig hæftelse. Dette synes at være sket i nogle af underinstansafgørelserne i Danmark som beskrevet ovenfor. Højesterets præcisering af, at falsk som det klare udgangspunkt ikke udløser aftalebinding i U.2022.414 HK, kan muligvis læses som en reaktion på dette og gør det klart, at der er tale om to meget forskellige vurderinger.
    For det andet kan en for ensidig fokus på signaturindehaverens adfærd bevirke, at der ikke lægges tilstrækkelig vægt på løftemodtagerens forhold. Det følger af almindelige aftaleretlige principper, at en løftemodtager i ond tro ikke kan støtte ret på løftet. Den mere ”klassiske” ond tros-vurdering vil se på, om der foreligger konkrete omstændigheder, som giver modtageren af et digitalt signeret løfte viden eller burde viden om, at signaturen er blevet misbrugt af en tredjepart. I de fleste situationer vil det ikke være tilfældet, bl.a. fordi aftaleindgåelse i digitale miljøer sker uden fysisk møde. Det kan imidlertid overvejes om ikke ond tros-vurderingen i forbindelse med digital aftaleindgåelse bør inkludere overvejelser om ”systemisk ond tro”, hvorved menes, at den aftalepart, der har indrettet systemet til digital aftaleindgåelse kunne og burde have indrettet systemet anderledes. Der kan opstilles mange hypoteser om, hvad der kunne være sket, hvis løftemodtageren havde gennemført en anden systemkontrol. Generelt bør man være tilbageholdende med at inddrage sådanne kontrafaktiske forhold, som let kan få en spekulativ karakter. Meget taler alligevel for ikke kun at inddrage de faktiske systemforanstaltninger, der er etableret for at hindre og opdage misbrug af den digitale signatur, men også de foranstaltninger som kunne og måske burde have været etableret. Sådanne betragtninger synes også inddraget i højesteretsafgørelserne fra Sverige og Norge, der begge angiver, at långiverens kontrolmuligheder må medtages i vurderingen.7 I den norske dom førte det til, at BankID-indehaveren ikke blev erstatningsansvarlig, selvom han fandtes at have handlet uagtsomt. I den svenske dom blev BankID-indehaveren bundet af aftalen, men Högsta domstolen anfører også, at havde der været tale om et større lånebeløb, ville aftalehæftelse forudsætte yderligere kontroltiltag fra långiveren. Tilsvarende betragtninger er ikke — i hvert fald eksplicit — inddraget i den danske højesteretspraksis, men da aftalehæftelsen beror på en samlet vurdering, vil det være muligt at inddrage samme betragtninger i dansk ret. Dette vil kun være relevant i situationer, hvor løftemodtageren har ansvaret for det system, hvori aftalerne indgås og/eller eksekveres. Om systemejeren kunne og burde have gjort mere for at hindre eller opdage et misbrug må bero på en konkret vurdering, hvor der bl.a. kan lægges vægt på systemejerens størrelse og

7 Se også om sådanne kontrolforpligtelser for modtageren Norland og Kjørven, note 4 ovenfor, s. 7 og Giertsen, Avtaler, 4. udgave, Universitetsforlaget, s. 223.

522 Henrik Udsen SvJT 2023 position og transaktionens omfang og karakter, som også anført af Högsta domstolen, og på systemejerens kendskab til tidligere misbrugsmønstre. Denne vurdering stiller krav til den juridiske sagsbehandling og afgørelsesvirksomhed, der ikke kun må forholde sig til, hvad der faktisk er sket, men nogle gange også til, hvordan det digitale aftalesystem kunne og burde være indrettet. ”Systemisk” ond tro i den anførte betydning kan få betydning ikke kun ved misbrug af digitale signaturer men ved digital aftaleindgåelse i det hele taget. Spørgsmålet kan i særlig grad få betydning ved forskellige former for misbrug og svindel i digitale betalingssystemer (hvor svindleren kan opnå en umiddelbar økonomisk gevinst). I Danmark er ældre borgere eksempelvis i en række sager blevet ringet op af svindlere, der narrer den ældre person til at overføre penge fra sin konto til svindlerens konto. Der er ikke tale om misbrug af en digital signatur eller et betalingsmiddel, da den ældre person selv overfører pengene, men når denne form for svindel medfører usædvanlige transaktioner, der potentielt kunne være hindret gennem systemindstillinger, og problemet i øvrigt er velkendt og stigende, kan man overveje, om ikke pengeinstitutterne har en vis forpligtelse til at imødegå svindelrisikoen gennem systemindstillinger. Med den konsekvens, at der foreligger en form for systemisk ond tro i behandlingen af kundens transaktionsanmodning, når pengeinstituttet ikke varetager sin pligt til behørig systemindretning.
    Hermed bliver spørgsmålet om aftaleretlig hæftelse ved misbrug af den digitale signatur i realiteten afgjort af en helhedsvurdering, hvor der både lægges vægt på signaturindehaverens adfærd, løftemodtagerens potentielle kontrolmuligheder og transaktionens omfang og karakter8 — men fortsat med det klare udgangspunkt, at der ikke indtræder aftaleretlig hæftelse ved falsk.

8 Se også hertil Bryde Andersen, Grundlæggende aftaleret, Gjellerup, 2021, s. 50 f. med en beskrivelse af, hvad forfatteren betegner ”den integrerede afvejningsteori”.