Usikkert som banken
Eg hadde ikkje trudd at eg skulle vere ein av dei som lèt seg svindle. Men kven ventar seg vel eigentleg å bli svindla?
Økonomi
peranders@dagogtid.no
Den skakande beskjeden kom ut av det blå ein torsdag ettermiddag i januar. Eg stod midt i middagslaginga, ungane var nett komne heim frå skulen, eit heilt normalt kvardagskaos. Telefonen ringde, eit 55-nummer på skjermen, altså nokon i Bergen. Ein høfleg mann presenterte seg som tilsett i bedrageriavdelinga til Sbanken og spurde meg om det stemte at eg hadde konto der. Det stadfesta eg, og kjende på ei stigande uro.
Mannen fortalde at banken hadde registrert mistenkjelege rørsler på kontoen min denne torsdagen, mellom anna ei overføring på fleire tusen kroner til ein pornonettstad i Litauen tidleg om morgonen. Det var òg kjøpt elektronisk utstyr på nett for eit større beløp.
Om eg kjende til desse transaksjonane? Nei, det gjorde eg ikkje. «Da er det dessverre grunn til å tru at uvedkomande har tilgang til kontoen din», sa mannen. Uroa mi steig. Eg hadde eit sekssifra beløp ståande på konto i denne banken akkurat da. Slike summar skal ein jo ikkje ha på lønskontoen sin, særleg ikkje i ei inflasjonstid, men dette var pengar eg trong å ha tilgjengeleg til eit oppussingsprosjekt.
Samtidig med uroa kom mistanken: Eg kunne jo ikkje vite sikkert at det faktisk var banken min som ringde? Tenk om dette var lureri? Medan vi snakka, tok eg fram laptopen, gjekk inn på 1881 og sjekka nummeret mannen ringde frå. Berre eitt av dei siste siffera var ulikt sentralbordet til Sbanken. OK, da kunne eg rekne med at oppringinga faktisk kom frå banken. Da var det alvor. Helvete.
Men korleis kunne nokon ha fått tilgang til kontoen min, spurde eg. Eg hadde ikkje mista noko kort eller gjeve frå meg kontoopplysningar til framande, etter det eg visste? Det var fleire moglege forklaringar, sa mannen. Nokon kunne ha fått tak i kredittkortnummeret mitt under ein netthandel, eller kanskje hadde nokon klart å kopiere informasjon frå bankkortet mitt. Det kan skje ved betaling i ein kortautomat, og det kan til og med gjerast trådlaust av nokon du er i nærleiken av, forklarte han.
Uansett spelte ikkje dette noka rolle der og da. Det viktige var å hindre at kontoen min vart tappa enda meir, og det hasta. Mannen skulle sperre kontoen straks, og trong i tillegg å logge på for å prøve å spore dei stolne pengane vidare. Så over telefonen hjelpte eg han med pålogginga med BankID, og vi avtalte at eg skulle ringe han på same nummer neste morgon for å høyre korleis det hadde gått. I mellomtida kom ikkje kontoen min til å vere tilgjengeleg. Eg takka for hjelpa, og vi la på.
Neste dag vart bekmørk. Da eg ringde attende til nummeret eg hadde blitt oppringt frå, kom eg ikkje til den tillitvekkande «bankmannen» frå dagen før, men til ei dame som ikkje ante kva eg snakka om. Og raset gjekk i hovudet mitt. Svindlaren var sjølvsagt den gode hjelparen som ringde meg dagen før. Og eg hadde gjeve han tilgang til pengane mine. Eg ringde sentralbordet til Sbanken utan håp, eg visste alt kva eg kom til å få høyre. Kontoen min var ikkje berre tom, men i minus: Svindlarane hadde teke ut maksimal kreditt òg.
Dei neste tunge stega gav seg sjølv. Eg forklarte forløpet til bedrageriavdelinga i banken, melde saka til politiet, og forbanna meg sjølv kvart vakne minutt for å ha late meg lure. Og eg bad til makter eg ikkje trur på, om at pengane skulle kome til rette att. Dette var ikkje ein slik sum eg hadde råd til å tape.
I tillegg byrja eg å setje meg inn i fenomenet nettbanksvindel, noko eg angra bittert på at eg ikkje hadde gjort før. Eg hadde vel sett medieoppslag om eldre som var blitt fråsvindla pengane sine, men utan å kjenne at det hadde særleg relevans for meg: Eg var ikkje meir enn 53 år gammal og har brukt datamaskiner sidan tenåra, eg hadde følgt med på digitaliseringa av samfunnet heile vegen, eg hadde brukt nettbank sidan det vart tilgjengeleg, og trudde eg var utrusta med kritisk sans som ville verne meg mot svindel. Så kvifor gjekk eg likevel fem på?
Ei av årsakene er at denne svindlaren var av eit heilt anna kaliber enn dei eg er vand med å bli oppringd av. Det er ikkje vanskeleg å gjennomskode folk som snakkar engelsk med tjukk indisk aksent og seier at dei skal hjelpe meg med å fikse datamaskina mi. Men den falske bankmannen som lurte meg, snakka ikkje berre aksentfri austlandsk. Han var høfleg og profesjonell i tonen, han var velformulert og kunnskapsrik, og svarte raskt og tillitvekkande på alt eg spurde om i løpet av den halvtimen samtalen varte. I tillegg kom det som vart tunga på vektskåla: Telefonnummeret som han tilsynelatande ringde frå, såg ut til å tilhøyre banken min.
Så kunne eg berre ønskje at eg hadde høyrt om fenomenet spoofing før eg fekk den fatale oppringinga i januar. For, som eg no har lært: Vi kan ikkje lenger ta for gjeve at folk ringer oss frå det nummeret du får opp på mobilskjermen. Med datateknologi kan svindlarar no tilsynelatande både ringe og sende deg tekstmeldingar frå telefonnummer som faktisk tilhøyrer banken din.
For den som har blitt svindla, er det lite trøyst i å vite at svindlaren var dyktig. Tida som følgde etter den fatale telefonsamtalen, var fylt av sjølvklander og tunge tankar. Eg var til overmål klar over at eg hadde gjort ein frykteleg tabbe, som kunne få store konsekvensar for økonomien min i lang tid framover.
Men kor store ville konsekvensane bli? Og kva rettar hadde eg eigentleg som svindeloffer? Forsikringa mi dekte ikkje slike tilfelle. Men forsikringsselskapet sette meg i kontakt med ein ekspert på feltet, som vart ein viktig og trøystefull rådgjevar dei neste månadene. I utgangspunktet var lova klar på dette feltet, forklarte han meg: Så lenge eg sjølv ikkje hadde autorisert overføringa av pengane, har banken berre to alternativ: å dekkje tapet innan fire veker, eller å sende inn saka til eit organ kalla Finansklagenemnda. Og i saker som mi ville nemnda nesten alltid gje kundane medhald, fortalde rådgjevaren min. Det normale er i så fall at banken må dekkje tapet, minus ein eigenandel på 12.000 kroner om kunden har vore det som blir kalla grovt aktlaus.
Men eg måtte ikkje gle meg for tidleg, forklarte han: Mange bankar ignorerer tilbakeføringsplikta som lova pålegg dei, og krev i staden at kundane sjølve må bere heile tapet. Dette kunne altså bli ein lang kamp.
Å lese seg opp på dette temaet var ikkje eintydig bra for nattesøvnen. I avisene fann eg historier om folk som var utsette for same type svindel som eg og hadde fått tapet dekt av banken, slik finansavtalelova seier at dei skal. Men det var òg tilfelle der banken heldt kunden ansvarleg for heile beløpet. Og i dei sakene som hadde hamna i retten, var rettspraksisen langt frå eintydig. I lågare domstolar hadde kundane i mange tilfelle tapt mot banken.
Men éi sak peika seg ut som viktigare enn andre. Ho handla om ei eldre kvinne på Austlandet som var svindla for over 150.000 kroner. Dette var ei av dei såkalla «Olga-sakene», som fekk namnet sitt fordi ein gjeng svindlarar målmedvite ringde til kvinner med litt gammalmodige namn og lurte dei til å oppgje kontoopplysningane sine. Sparebank1 Østlandet nekta å lyde Finansklagenemnda og kravde at kvinna skulle dekkje tapet sjølv. Saka hamna i tingretten i 2020, og der fekk banken medhald. Men med hjelp frå Forbrukarrådet anka kvinna til lagmannsretten, der ho vann i november 2021. «Nå har lagmannsretten fastslått hvordan loven skal forståes, og vi håper banken tar det til etterretning», sa Tone Molvær Berset, juridisk direktør i Forbrukarrådet etter dommen.
Men nei da. I januar i år anka Sparebank1 saka til Høgsterett, og i februar aksepterte ankeutvalet at banken skulle få fremje saka si der. Om Høgsterett gav banken medhald, ville det truleg føre til at alle som vart utsette for denne typen svindel, heretter måtte ta heile tapet sjølve. Og der kom ikkje dette spørsmålet til å bli handsama før i august.
I mellomtida kunne eg håpe at banken min var blant dei som dekte tapet for kunden i slike saker –?eller det aller beste: at saka vart oppklart, at pengane kom til rette og at svindlarane vart tekne. Men dei håpa brast.
Tidleg i februar kom det først ein liten opptur: Banken hadde spora opp ein del av dei stolne pengane og førte dei attende til kontoen min. Men det aller meste var å rekne som tapt. Og etter fire veker vart ikkje resten av pengane tilbakeførte, slik lova tilsa. Det varte og rakk før den juridiske avdelinga i banken konkluderte. Ikkje før 18. mars, nesten to månader etter svindelen, kom svaret – og det var slik eg frykta. «Etter vår vurdering av saken har banken grunnlag for å holde deg ansvarlig for tapet som har oppstått», heitte det i brevet. «Sbanken vil gi uttrykk for både forståelse og medfølelse for din situasjon», stod det mot slutten. Men den medkjensla kunne eg ikkje betale rekningar med.
Det sentrale ordet i den juridiske argumentasjonen til banken var forsettlig: Banken meinte at eg med forsett hadde brote med avtalevilkåra for BankID da eg oppgav påloggingsinformasjon til gjerningsmannen over telefon, for slik informasjon skal ein ikkje dele med nokon andre – heller ikkje med sin eigen bank. Difor var eg sjølv ansvarleg for heile tapet, skreiv bankjuristen, og viste til «finansavtaleloven § 35, 3. ledd, 3. punktum».
Her skal eg ikkje pine lesaren gjennom alle dei juridiske detaljane. Men da eg finlas argumenta til bankjuristen, kunne eg ikkje utan vidare seie at dei var dårlege. Det var ein logikk i det han skreiv. Eg hadde jo brote med avtalevilkåra for BankID og dermed sleppt svindlaren til. Og hadde eg ikkje visst betre, hadde eg kanskje lagt meg flat og bite i meg det bitre tapet. Men trøysta mi var dommen frå lagmannsretten i «Olga-saka» i fjor, der det stod: «Forsett krever at kunden forsto at den faktiske handlingen innebar et pliktbrudd.» Altså: For at ei handling skal vere forsettleg, må ein skjøne kva det faktisk er ein gjer i den konkrete situasjonen, slo lagmannsretten fast. Og i somme slike saker kan ulike tolkingar av ordet forsettleg innebere skilnaden på økonomisk ruin og eit trygt og godt liv.
Det neste steget for min del var openbert: Eg sende saka til Finansklagenemnda, der eg kunne rekne med å få medhald (om da ikkje Høgsterett rakk å omkalfatre rettspraksisen først). Så handla det berre om å vente, for det kan ta mange månader før nemnda handsamar ei sak. Om ventetida kan eg seie dette: Ho var ikkje god.
Men denne saka handlar om langt meir enn mi eiga ulukke. For da eg sette meg inn i denne materien, oppdaga eg at det er snakk om eit alvorleg samfunnsproblem. Nettbanksvindel råkar mange tusen menneske årleg. Somme misser alle sparepengane sine, eldre folk er spesielt utsette, og det verka klart at bankane i mange tilfelle ikkje fortel svindeloffera kva rettar dei har. Og vi som har late oss lure av svindlarane, blir aldri ei politisk pressgruppe. Vi veit jo altfor godt at vi har gjort ein forferdeleg tabbe. Vi sit der kvar for oss og skjemmest intenst, og vil helst ikkje at andre skal få vite kor dumme vi har vore.
Men i realiteten burde det ikkje overraske at så mange av oss blir svindla. Overgangen til digitale banktenester har gjeve store vinstar – ikkje minst for bankane, som sparer milliardar årleg på at kundane gjer nesten alle transaksjonar sjølve. Og digitaliseringa har på mange måtar gjort livet enklare også for kundane. Få av oss saknar papirgiroane, få av oss har lyst til å stå i ein kø i banken.
Men prisen vi betaler, er at vi blir meir sårbare når vi går rundt med alle pengane våre tilgjengelege heile tida. Vi har ikkje så mykje val heller: Å klare seg utan BankID i samfunnet er ikkje lett. Vi brukar denne digitale reiskapen til å identifisere oss i ei rekkje samanhengar i kvardagen, noko som i seg sjølv gjer oss enda meir sårbare. Og dei siste åra har svindlarane blitt langt flinkare til å lure oss. Gløym dei gamle Nigeria-breva, vi snakkar no om eit heilt anna raffinement.
Det er særleg såkalla phishing-åtak som er i rask vekst. Phishing vil seie sosial manipulering for å få tilgang til kontoopplysningar og påloggingsinformasjon, og det kan gjerast på ein myriade av måtar: med telefonoppringingar, med SMS, e-post, Messenger eller via andre kommunikasjonskanalar. Ved hjelp av spoofing, altså forfalska avsendarnummer, kan svindlarar sende deg ei tekstmelding som legg seg inn i same tråd som dei ekte meldingane frå banken din. Meldinga inneheld kanskje ei lenkje til nettside som liknar til forveksling på sida til banken din, der du så skal logge på med personopplysningar. Når metodane er så avanserte, er det ikkje rart at stadig fleire bit på.
Det finst ingen sikre tal på kor mange som blir utsette for nettbanksvindel i Noreg. Ifølgje Finanstilsynet vart det registrert 3938 tilfelle av svindel med kontobetalingar i Noreg i fjor. Men det talet er basert på rapporteringa frå bankane, og det er truleg altfor lågt. DNB publiserer ein eigen rapport om svindel mot kundane. I fjor vart 3121 DNB-kundar utsette for phishing og svindla for til saman 120 millionar kroner. Om vi reknar med at tala for andre bankar er tilsvarande, og tek utgangspunkt i marknadsdelen til DNB på bankinnskot, tilseier det at over 8000 menneske vart rana ved hjelp av phishing i fjor.
Og statistikken til banken fortel noko verkeleg illevarslande: Dette er ei næring i eksplosiv vekst. Talet på phishing-åtak mot DNB-kundar vart nesten sjudobla frå 2020 til 2021. I tillegg blir utbyta per svindel større i snitt. «Summene som stjeles har endret seg drastisk. Der det før var 5 til 15.000 kroner, er det nå helt vanlig med saker som involverer over 200.000 kroner», fortalde Sebastian Claydom Takle, fagleiar for trusseletterretning i DNB, til NRK i februar. Phishingsvindlarar stel truleg fleire hundre millionar kroner frå norske bankkundar i år.
Om vi tek utgangspunkt i at over 8000 nordmenn truleg vart fråstolne pengane sine gjennom phishingsvindel i fjor – kor mange av desse fekk dekt tapet av banken, slik lova tilseier at dei skulle? Og kor mange måtte i staden bere heile tapet sjølve? Det er det dessverre heilt umogleg å vite. Finanstilsynet har ikkje oversikt over dette.
I arbeidet med denne artikkelen spurde eg DNB og Sbanken om kva praksis dei har hatt, men ingen av bankane ville opplyse om det. Men det er fleire teikn som tyder på at norske bankar i ein stor del av tilfella har late kunden ta tapet. Ein indikasjon på dette er at så få slike saker kjem opp for Finansklagenemnda. I fjor fekk nemnda inn berre 251 phishingsaker, ein forsvinnande liten del av totalen. Det kan sjølvsagt vere at nesten alle dei andre svindeloffera fekk pengane tilbakeført av banken, men det verkar ikkje truleg.
«Inntrykket er faktisk at brudd på tilbakeføringsplikten er normen, heller enn unntaket», skreiv jurist Petter Omland i Dagens Næringsliv 26. august. Omland arbeider for ID-juristen, eit rettshjelpsprosjekt for folk som er utsette for ID-svindel. I vår sende ID-juristen brev til Forbrukartilsynet og Finanstilsynet for å varsle om praksisen til bankane. I brevet heiter det at «flere finansforetak har en innarbeidet, lovstridig praksis» på dette feltet. Forbrukartilsynet arbeider no med å kartleggje korleis desse sakene har blitt handterte av bankane.
Men kva gjer politiet med desse mange tusen brotsverka, undrar kanskje den merksame lesaren. Og kva skjedde med etterforskinga av saka mi? Burde det ikkje vere enkelt å spore kvar digitale transaksjon og slå kloa i mottakarane av dei stolne pengane? Ja, det skulle ein kanskje tru. Eg har sjølv innbilt meg at det var vanskelegare å drive med økonomisk kriminalitet i ei digital verd. Men i røynda forsvinn som regel utbytet frå nettbanksvindel svært raskt. Pengane blir flytta frå konto til konto – gjerne via såkalla muldyr, mellommenn i systemet – før dei kanskje blir tekne ut som kontantar i mindre porsjonar, overførte til utlandet eller veksla inn i kryptovaluta. Å følgje pengane heilt til mål er altså ikkje så enkelt.
Men det første leddet i den kriminelle kjeda burde i det minste vere lett å ta, tenkte eg da eg melde saka til politiet i januar. I bankutskrifta mi står namnet til den første mottakaren av dei stolne pengane. Eit nettsøk fortel at han er ein 23 år gammal mann, busett i Oslo, og har eit lite selskap som visstnok driv med klesdesign og musikk. Månader gjekk utan at eg høyrde noko frå politiet om saka, men eg tok det for gjeve at dei etterforska dette så godt det lét seg gjere, sidan det handla om eit nokså stort beløp. Der tok eg feil.
Etter eit halvt år tok eg til slutt kontakt med etterforskaren som vart sett på saka i januar, og spurde kva som hadde skjedd. Ingenting, var svaret. Oslo-politiet har ei lita avdeling som skal drive med slike saker, men dei har slett ikkje kapasitet til å handtere omfanget, forklarte etterforskaren. På ei veke kjem det kanskje inn fem nye phishingsaker til avdelinga, og etterforskinga er tidkrevjande. Difor vart saka mi sendt over til Majorstua politistasjon, fordi den første mottakaren av pengane var busett på vestkanten av Oslo. Og der hadde absolutt ingenting skjedd. Politiet hadde ikkje ein gong avhøyrt den første mottakaren av pengane.
Så fekk eg snakke med etterforskaren på Majorstua som hadde fått saka mi. Han beklaga og erkjente at det hadde skjedd ein glepp – for denne saka skulle eigentleg vore lagd vekk for lengst. Det var som regel det politiet gjorde med slike saker. Dette forstod eg lite av. Alvorleg økonomisk kriminalitet som i verste fall ruinerer folk, ei rekkje elektroniske?spor i banksystema, og politiet legg vekk sakene utan å etterforske dei? Ja, slik var det. Politiet har ikkje ressursar nok til å forfølgje alle phishingtilfella og legg helst vekk saker der det er usikkert om dei får til ein fellande dom. Og Økokrim vil heller ikkje ta denne typen saker, det blir for smått for dei, forklarte politimannen.
Denne erfaringa styrkte ikkje trua mi på rettstryggleiken i Noreg. Men ho fortalde meg mykje om kvifor denne typen kriminalitet veks så raskt. Kvifor handle med narkotika når du kan tene mykje meir på nettbanksvindel, og med langt mindre risiko for å bli straffa?
For min eigen del fekk denne historia ein lukkeleg slutt. 14. september kom Høgsterett med ein klar konklusjon i «Olga-saka»: Anken til Sparebank1 Østlandet vart forkasta, og banken måtte dekkje tapet for den eldre kvinna. «Ho trudde ho snakka med ein representant for banken og var ikkje medviten om at ho etter avtala ikkje hadde høve til å gje kode og passord til tilsette i banken i ein slik situasjon. Det manglande medvitet om pliktbrotet inneber at A ikkje kan reknast for å ha handla forsettleg etter finansavtalelova § 35 tredje ledd tredje punktum», heitte det i dommen. Eg sende e-post til min eigen bank og gjorde han merksam på kva Høgsterett hadde sagt, og nokre dagar etter fekk eg tilbakeført dei tapte pengane, minus eigenandelen.
Men sjølv om eg slapp relativt billeg frå det, står det framleis mange spørsmål att. Kva skjer med dei fleire tusen andre som har opplevd phishingsvindel dei siste åra? Mange av desse er blitt fråstolne hundretusenvis av kroner. Og truleg har mange blitt overtydde av eit brev frå banken med spissfindige juridiske argument for at dei må bere heile tapet sjølve.
Kor mange av desse bankkundane har fanga opp høgsterettsdommen i september? Kjem dei bankane som har late kundane ta støyten, til å kontakte svindeloffera, be om orsaking og tilbakeføre pengane? Og kjem alle bankar i Noreg heretter til å følgje lova på dette punktet?
Dei som skreiv den gjeldande finansavtalelova, erkjente at digitale banktenester innebar nye former for risiko, og lova var meint å plassere storparten av den risikoen hos finansinstitusjonane. Tilbakeføringsplikta har vore norsk lov sidan 1999, likevel har bankane i mange tilfelle ignorert ho.
Ei ny finansavtalelov trer i kraft på nyåret, og ho gjer rettane til kundane enda tydelegare. Så står det att å sjå korleis praksisen til bankane utviklar seg. «Vi ser en stor ubalanse i styrkeforholdet mellom kunden som er blitt svindlet og bankene med ressurser og innsikt», sa Tone Molvær Berset, juridisk direktør i Forbrukarrådet, til Finansfokus i august. Den ubalansen blir ikkje borte med det første.
Er du abonnent? Logg på her for å lese vidare.
Digital tilgang til DAG OG TID – heilt utan binding
Prøv ein månad for kr 49.
Deretter kr 199 per månad. Stopp når du vil.
Økonomi
peranders@dagogtid.no
Den skakande beskjeden kom ut av det blå ein torsdag ettermiddag i januar. Eg stod midt i middagslaginga, ungane var nett komne heim frå skulen, eit heilt normalt kvardagskaos. Telefonen ringde, eit 55-nummer på skjermen, altså nokon i Bergen. Ein høfleg mann presenterte seg som tilsett i bedrageriavdelinga til Sbanken og spurde meg om det stemte at eg hadde konto der. Det stadfesta eg, og kjende på ei stigande uro.
Mannen fortalde at banken hadde registrert mistenkjelege rørsler på kontoen min denne torsdagen, mellom anna ei overføring på fleire tusen kroner til ein pornonettstad i Litauen tidleg om morgonen. Det var òg kjøpt elektronisk utstyr på nett for eit større beløp.
Om eg kjende til desse transaksjonane? Nei, det gjorde eg ikkje. «Da er det dessverre grunn til å tru at uvedkomande har tilgang til kontoen din», sa mannen. Uroa mi steig. Eg hadde eit sekssifra beløp ståande på konto i denne banken akkurat da. Slike summar skal ein jo ikkje ha på lønskontoen sin, særleg ikkje i ei inflasjonstid, men dette var pengar eg trong å ha tilgjengeleg til eit oppussingsprosjekt.
Samtidig med uroa kom mistanken: Eg kunne jo ikkje vite sikkert at det faktisk var banken min som ringde? Tenk om dette var lureri? Medan vi snakka, tok eg fram laptopen, gjekk inn på 1881 og sjekka nummeret mannen ringde frå. Berre eitt av dei siste siffera var ulikt sentralbordet til Sbanken. OK, da kunne eg rekne med at oppringinga faktisk kom frå banken. Da var det alvor. Helvete.
Men korleis kunne nokon ha fått tilgang til kontoen min, spurde eg. Eg hadde ikkje mista noko kort eller gjeve frå meg kontoopplysningar til framande, etter det eg visste? Det var fleire moglege forklaringar, sa mannen. Nokon kunne ha fått tak i kredittkortnummeret mitt under ein netthandel, eller kanskje hadde nokon klart å kopiere informasjon frå bankkortet mitt. Det kan skje ved betaling i ein kortautomat, og det kan til og med gjerast trådlaust av nokon du er i nærleiken av, forklarte han.
Uansett spelte ikkje dette noka rolle der og da. Det viktige var å hindre at kontoen min vart tappa enda meir, og det hasta. Mannen skulle sperre kontoen straks, og trong i tillegg å logge på for å prøve å spore dei stolne pengane vidare. Så over telefonen hjelpte eg han med pålogginga med BankID, og vi avtalte at eg skulle ringe han på same nummer neste morgon for å høyre korleis det hadde gått. I mellomtida kom ikkje kontoen min til å vere tilgjengeleg. Eg takka for hjelpa, og vi la på.
Neste dag vart bekmørk. Da eg ringde attende til nummeret eg hadde blitt oppringt frå, kom eg ikkje til den tillitvekkande «bankmannen» frå dagen før, men til ei dame som ikkje ante kva eg snakka om. Og raset gjekk i hovudet mitt. Svindlaren var sjølvsagt den gode hjelparen som ringde meg dagen før. Og eg hadde gjeve han tilgang til pengane mine. Eg ringde sentralbordet til Sbanken utan håp, eg visste alt kva eg kom til å få høyre. Kontoen min var ikkje berre tom, men i minus: Svindlarane hadde teke ut maksimal kreditt òg.
Dei neste tunge stega gav seg sjølv. Eg forklarte forløpet til bedrageriavdelinga i banken, melde saka til politiet, og forbanna meg sjølv kvart vakne minutt for å ha late meg lure. Og eg bad til makter eg ikkje trur på, om at pengane skulle kome til rette att. Dette var ikkje ein slik sum eg hadde råd til å tape.
I tillegg byrja eg å setje meg inn i fenomenet nettbanksvindel, noko eg angra bittert på at eg ikkje hadde gjort før. Eg hadde vel sett medieoppslag om eldre som var blitt fråsvindla pengane sine, men utan å kjenne at det hadde særleg relevans for meg: Eg var ikkje meir enn 53 år gammal og har brukt datamaskiner sidan tenåra, eg hadde følgt med på digitaliseringa av samfunnet heile vegen, eg hadde brukt nettbank sidan det vart tilgjengeleg, og trudde eg var utrusta med kritisk sans som ville verne meg mot svindel. Så kvifor gjekk eg likevel fem på?
Ei av årsakene er at denne svindlaren var av eit heilt anna kaliber enn dei eg er vand med å bli oppringd av. Det er ikkje vanskeleg å gjennomskode folk som snakkar engelsk med tjukk indisk aksent og seier at dei skal hjelpe meg med å fikse datamaskina mi. Men den falske bankmannen som lurte meg, snakka ikkje berre aksentfri austlandsk. Han var høfleg og profesjonell i tonen, han var velformulert og kunnskapsrik, og svarte raskt og tillitvekkande på alt eg spurde om i løpet av den halvtimen samtalen varte. I tillegg kom det som vart tunga på vektskåla: Telefonnummeret som han tilsynelatande ringde frå, såg ut til å tilhøyre banken min.
Så kunne eg berre ønskje at eg hadde høyrt om fenomenet spoofing før eg fekk den fatale oppringinga i januar. For, som eg no har lært: Vi kan ikkje lenger ta for gjeve at folk ringer oss frå det nummeret du får opp på mobilskjermen. Med datateknologi kan svindlarar no tilsynelatande både ringe og sende deg tekstmeldingar frå telefonnummer som faktisk tilhøyrer banken din.
For den som har blitt svindla, er det lite trøyst i å vite at svindlaren var dyktig. Tida som følgde etter den fatale telefonsamtalen, var fylt av sjølvklander og tunge tankar. Eg var til overmål klar over at eg hadde gjort ein frykteleg tabbe, som kunne få store konsekvensar for økonomien min i lang tid framover.
Men kor store ville konsekvensane bli? Og kva rettar hadde eg eigentleg som svindeloffer? Forsikringa mi dekte ikkje slike tilfelle. Men forsikringsselskapet sette meg i kontakt med ein ekspert på feltet, som vart ein viktig og trøystefull rådgjevar dei neste månadene. I utgangspunktet var lova klar på dette feltet, forklarte han meg: Så lenge eg sjølv ikkje hadde autorisert overføringa av pengane, har banken berre to alternativ: å dekkje tapet innan fire veker, eller å sende inn saka til eit organ kalla Finansklagenemnda. Og i saker som mi ville nemnda nesten alltid gje kundane medhald, fortalde rådgjevaren min. Det normale er i så fall at banken må dekkje tapet, minus ein eigenandel på 12.000 kroner om kunden har vore det som blir kalla grovt aktlaus.
Men eg måtte ikkje gle meg for tidleg, forklarte han: Mange bankar ignorerer tilbakeføringsplikta som lova pålegg dei, og krev i staden at kundane sjølve må bere heile tapet. Dette kunne altså bli ein lang kamp.
Å lese seg opp på dette temaet var ikkje eintydig bra for nattesøvnen. I avisene fann eg historier om folk som var utsette for same type svindel som eg og hadde fått tapet dekt av banken, slik finansavtalelova seier at dei skal. Men det var òg tilfelle der banken heldt kunden ansvarleg for heile beløpet. Og i dei sakene som hadde hamna i retten, var rettspraksisen langt frå eintydig. I lågare domstolar hadde kundane i mange tilfelle tapt mot banken.
Men éi sak peika seg ut som viktigare enn andre. Ho handla om ei eldre kvinne på Austlandet som var svindla for over 150.000 kroner. Dette var ei av dei såkalla «Olga-sakene», som fekk namnet sitt fordi ein gjeng svindlarar målmedvite ringde til kvinner med litt gammalmodige namn og lurte dei til å oppgje kontoopplysningane sine. Sparebank1 Østlandet nekta å lyde Finansklagenemnda og kravde at kvinna skulle dekkje tapet sjølv. Saka hamna i tingretten i 2020, og der fekk banken medhald. Men med hjelp frå Forbrukarrådet anka kvinna til lagmannsretten, der ho vann i november 2021. «Nå har lagmannsretten fastslått hvordan loven skal forståes, og vi håper banken tar det til etterretning», sa Tone Molvær Berset, juridisk direktør i Forbrukarrådet etter dommen.
Men nei da. I januar i år anka Sparebank1 saka til Høgsterett, og i februar aksepterte ankeutvalet at banken skulle få fremje saka si der. Om Høgsterett gav banken medhald, ville det truleg føre til at alle som vart utsette for denne typen svindel, heretter måtte ta heile tapet sjølve. Og der kom ikkje dette spørsmålet til å bli handsama før i august.
I mellomtida kunne eg håpe at banken min var blant dei som dekte tapet for kunden i slike saker –?eller det aller beste: at saka vart oppklart, at pengane kom til rette og at svindlarane vart tekne. Men dei håpa brast.
Tidleg i februar kom det først ein liten opptur: Banken hadde spora opp ein del av dei stolne pengane og førte dei attende til kontoen min. Men det aller meste var å rekne som tapt. Og etter fire veker vart ikkje resten av pengane tilbakeførte, slik lova tilsa. Det varte og rakk før den juridiske avdelinga i banken konkluderte. Ikkje før 18. mars, nesten to månader etter svindelen, kom svaret – og det var slik eg frykta. «Etter vår vurdering av saken har banken grunnlag for å holde deg ansvarlig for tapet som har oppstått», heitte det i brevet. «Sbanken vil gi uttrykk for både forståelse og medfølelse for din situasjon», stod det mot slutten. Men den medkjensla kunne eg ikkje betale rekningar med.
Det sentrale ordet i den juridiske argumentasjonen til banken var forsettlig: Banken meinte at eg med forsett hadde brote med avtalevilkåra for BankID da eg oppgav påloggingsinformasjon til gjerningsmannen over telefon, for slik informasjon skal ein ikkje dele med nokon andre – heller ikkje med sin eigen bank. Difor var eg sjølv ansvarleg for heile tapet, skreiv bankjuristen, og viste til «finansavtaleloven § 35, 3. ledd, 3. punktum».
Her skal eg ikkje pine lesaren gjennom alle dei juridiske detaljane. Men da eg finlas argumenta til bankjuristen, kunne eg ikkje utan vidare seie at dei var dårlege. Det var ein logikk i det han skreiv. Eg hadde jo brote med avtalevilkåra for BankID og dermed sleppt svindlaren til. Og hadde eg ikkje visst betre, hadde eg kanskje lagt meg flat og bite i meg det bitre tapet. Men trøysta mi var dommen frå lagmannsretten i «Olga-saka» i fjor, der det stod: «Forsett krever at kunden forsto at den faktiske handlingen innebar et pliktbrudd.» Altså: For at ei handling skal vere forsettleg, må ein skjøne kva det faktisk er ein gjer i den konkrete situasjonen, slo lagmannsretten fast. Og i somme slike saker kan ulike tolkingar av ordet forsettleg innebere skilnaden på økonomisk ruin og eit trygt og godt liv.
Det neste steget for min del var openbert: Eg sende saka til Finansklagenemnda, der eg kunne rekne med å få medhald (om da ikkje Høgsterett rakk å omkalfatre rettspraksisen først). Så handla det berre om å vente, for det kan ta mange månader før nemnda handsamar ei sak. Om ventetida kan eg seie dette: Ho var ikkje god.
Men denne saka handlar om langt meir enn mi eiga ulukke. For da eg sette meg inn i denne materien, oppdaga eg at det er snakk om eit alvorleg samfunnsproblem. Nettbanksvindel råkar mange tusen menneske årleg. Somme misser alle sparepengane sine, eldre folk er spesielt utsette, og det verka klart at bankane i mange tilfelle ikkje fortel svindeloffera kva rettar dei har. Og vi som har late oss lure av svindlarane, blir aldri ei politisk pressgruppe. Vi veit jo altfor godt at vi har gjort ein forferdeleg tabbe. Vi sit der kvar for oss og skjemmest intenst, og vil helst ikkje at andre skal få vite kor dumme vi har vore.
Men i realiteten burde det ikkje overraske at så mange av oss blir svindla. Overgangen til digitale banktenester har gjeve store vinstar – ikkje minst for bankane, som sparer milliardar årleg på at kundane gjer nesten alle transaksjonar sjølve. Og digitaliseringa har på mange måtar gjort livet enklare også for kundane. Få av oss saknar papirgiroane, få av oss har lyst til å stå i ein kø i banken.
Men prisen vi betaler, er at vi blir meir sårbare når vi går rundt med alle pengane våre tilgjengelege heile tida. Vi har ikkje så mykje val heller: Å klare seg utan BankID i samfunnet er ikkje lett. Vi brukar denne digitale reiskapen til å identifisere oss i ei rekkje samanhengar i kvardagen, noko som i seg sjølv gjer oss enda meir sårbare. Og dei siste åra har svindlarane blitt langt flinkare til å lure oss. Gløym dei gamle Nigeria-breva, vi snakkar no om eit heilt anna raffinement.
Det er særleg såkalla phishing-åtak som er i rask vekst. Phishing vil seie sosial manipulering for å få tilgang til kontoopplysningar og påloggingsinformasjon, og det kan gjerast på ein myriade av måtar: med telefonoppringingar, med SMS, e-post, Messenger eller via andre kommunikasjonskanalar. Ved hjelp av spoofing, altså forfalska avsendarnummer, kan svindlarar sende deg ei tekstmelding som legg seg inn i same tråd som dei ekte meldingane frå banken din. Meldinga inneheld kanskje ei lenkje til nettside som liknar til forveksling på sida til banken din, der du så skal logge på med personopplysningar. Når metodane er så avanserte, er det ikkje rart at stadig fleire bit på.
Det finst ingen sikre tal på kor mange som blir utsette for nettbanksvindel i Noreg. Ifølgje Finanstilsynet vart det registrert 3938 tilfelle av svindel med kontobetalingar i Noreg i fjor. Men det talet er basert på rapporteringa frå bankane, og det er truleg altfor lågt. DNB publiserer ein eigen rapport om svindel mot kundane. I fjor vart 3121 DNB-kundar utsette for phishing og svindla for til saman 120 millionar kroner. Om vi reknar med at tala for andre bankar er tilsvarande, og tek utgangspunkt i marknadsdelen til DNB på bankinnskot, tilseier det at over 8000 menneske vart rana ved hjelp av phishing i fjor.
Og statistikken til banken fortel noko verkeleg illevarslande: Dette er ei næring i eksplosiv vekst. Talet på phishing-åtak mot DNB-kundar vart nesten sjudobla frå 2020 til 2021. I tillegg blir utbyta per svindel større i snitt. «Summene som stjeles har endret seg drastisk. Der det før var 5 til 15.000 kroner, er det nå helt vanlig med saker som involverer over 200.000 kroner», fortalde Sebastian Claydom Takle, fagleiar for trusseletterretning i DNB, til NRK i februar. Phishingsvindlarar stel truleg fleire hundre millionar kroner frå norske bankkundar i år.
Om vi tek utgangspunkt i at over 8000 nordmenn truleg vart fråstolne pengane sine gjennom phishingsvindel i fjor – kor mange av desse fekk dekt tapet av banken, slik lova tilseier at dei skulle? Og kor mange måtte i staden bere heile tapet sjølve? Det er det dessverre heilt umogleg å vite. Finanstilsynet har ikkje oversikt over dette.
I arbeidet med denne artikkelen spurde eg DNB og Sbanken om kva praksis dei har hatt, men ingen av bankane ville opplyse om det. Men det er fleire teikn som tyder på at norske bankar i ein stor del av tilfella har late kunden ta tapet. Ein indikasjon på dette er at så få slike saker kjem opp for Finansklagenemnda. I fjor fekk nemnda inn berre 251 phishingsaker, ein forsvinnande liten del av totalen. Det kan sjølvsagt vere at nesten alle dei andre svindeloffera fekk pengane tilbakeført av banken, men det verkar ikkje truleg.
«Inntrykket er faktisk at brudd på tilbakeføringsplikten er normen, heller enn unntaket», skreiv jurist Petter Omland i Dagens Næringsliv 26. august. Omland arbeider for ID-juristen, eit rettshjelpsprosjekt for folk som er utsette for ID-svindel. I vår sende ID-juristen brev til Forbrukartilsynet og Finanstilsynet for å varsle om praksisen til bankane. I brevet heiter det at «flere finansforetak har en innarbeidet, lovstridig praksis» på dette feltet. Forbrukartilsynet arbeider no med å kartleggje korleis desse sakene har blitt handterte av bankane.
Men kva gjer politiet med desse mange tusen brotsverka, undrar kanskje den merksame lesaren. Og kva skjedde med etterforskinga av saka mi? Burde det ikkje vere enkelt å spore kvar digitale transaksjon og slå kloa i mottakarane av dei stolne pengane? Ja, det skulle ein kanskje tru. Eg har sjølv innbilt meg at det var vanskelegare å drive med økonomisk kriminalitet i ei digital verd. Men i røynda forsvinn som regel utbytet frå nettbanksvindel svært raskt. Pengane blir flytta frå konto til konto – gjerne via såkalla muldyr, mellommenn i systemet – før dei kanskje blir tekne ut som kontantar i mindre porsjonar, overførte til utlandet eller veksla inn i kryptovaluta. Å følgje pengane heilt til mål er altså ikkje så enkelt.
Men det første leddet i den kriminelle kjeda burde i det minste vere lett å ta, tenkte eg da eg melde saka til politiet i januar. I bankutskrifta mi står namnet til den første mottakaren av dei stolne pengane. Eit nettsøk fortel at han er ein 23 år gammal mann, busett i Oslo, og har eit lite selskap som visstnok driv med klesdesign og musikk. Månader gjekk utan at eg høyrde noko frå politiet om saka, men eg tok det for gjeve at dei etterforska dette så godt det lét seg gjere, sidan det handla om eit nokså stort beløp. Der tok eg feil.
Etter eit halvt år tok eg til slutt kontakt med etterforskaren som vart sett på saka i januar, og spurde kva som hadde skjedd. Ingenting, var svaret. Oslo-politiet har ei lita avdeling som skal drive med slike saker, men dei har slett ikkje kapasitet til å handtere omfanget, forklarte etterforskaren. På ei veke kjem det kanskje inn fem nye phishingsaker til avdelinga, og etterforskinga er tidkrevjande. Difor vart saka mi sendt over til Majorstua politistasjon, fordi den første mottakaren av pengane var busett på vestkanten av Oslo. Og der hadde absolutt ingenting skjedd. Politiet hadde ikkje ein gong avhøyrt den første mottakaren av pengane.
Så fekk eg snakke med etterforskaren på Majorstua som hadde fått saka mi. Han beklaga og erkjente at det hadde skjedd ein glepp – for denne saka skulle eigentleg vore lagd vekk for lengst. Det var som regel det politiet gjorde med slike saker. Dette forstod eg lite av. Alvorleg økonomisk kriminalitet som i verste fall ruinerer folk, ei rekkje elektroniske?spor i banksystema, og politiet legg vekk sakene utan å etterforske dei? Ja, slik var det. Politiet har ikkje ressursar nok til å forfølgje alle phishingtilfella og legg helst vekk saker der det er usikkert om dei får til ein fellande dom. Og Økokrim vil heller ikkje ta denne typen saker, det blir for smått for dei, forklarte politimannen.
Denne erfaringa styrkte ikkje trua mi på rettstryggleiken i Noreg. Men ho fortalde meg mykje om kvifor denne typen kriminalitet veks så raskt. Kvifor handle med narkotika når du kan tene mykje meir på nettbanksvindel, og med langt mindre risiko for å bli straffa?
For min eigen del fekk denne historia ein lukkeleg slutt. 14. september kom Høgsterett med ein klar konklusjon i «Olga-saka»: Anken til Sparebank1 Østlandet vart forkasta, og banken måtte dekkje tapet for den eldre kvinna. «Ho trudde ho snakka med ein representant for banken og var ikkje medviten om at ho etter avtala ikkje hadde høve til å gje kode og passord til tilsette i banken i ein slik situasjon. Det manglande medvitet om pliktbrotet inneber at A ikkje kan reknast for å ha handla forsettleg etter finansavtalelova § 35 tredje ledd tredje punktum», heitte det i dommen. Eg sende e-post til min eigen bank og gjorde han merksam på kva Høgsterett hadde sagt, og nokre dagar etter fekk eg tilbakeført dei tapte pengane, minus eigenandelen.
Men sjølv om eg slapp relativt billeg frå det, står det framleis mange spørsmål att. Kva skjer med dei fleire tusen andre som har opplevd phishingsvindel dei siste åra? Mange av desse er blitt fråstolne hundretusenvis av kroner. Og truleg har mange blitt overtydde av eit brev frå banken med spissfindige juridiske argument for at dei må bere heile tapet sjølve.
Kor mange av desse bankkundane har fanga opp høgsterettsdommen i september? Kjem dei bankane som har late kundane ta støyten, til å kontakte svindeloffera, be om orsaking og tilbakeføre pengane? Og kjem alle bankar i Noreg heretter til å følgje lova på dette punktet?
Dei som skreiv den gjeldande finansavtalelova, erkjente at digitale banktenester innebar nye former for risiko, og lova var meint å plassere storparten av den risikoen hos finansinstitusjonane. Tilbakeføringsplikta har vore norsk lov sidan 1999, likevel har bankane i mange tilfelle ignorert ho.
Ei ny finansavtalelov trer i kraft på nyåret, og ho gjer rettane til kundane enda tydelegare. Så står det att å sjå korleis praksisen til bankane utviklar seg. «Vi ser en stor ubalanse i styrkeforholdet mellom kunden som er blitt svindlet og bankene med ressurser og innsikt», sa Tone Molvær Berset, juridisk direktør i Forbrukarrådet, til Finansfokus i august. Den ubalansen blir ikkje borte med det første.
Fleire artiklar
Dei siste par åra har den norske bonden fått kjenne konsekvensane av å produsere i eit system der utgiftene er styrte av marknaden, medan inntektene er styrte av politikarane, skriv Siri Helle.
Foto: Heiko Junge / NTB
Effektivisering er ikkje berginga
Korleis gje bønder rettferdig inntekt når dei framleis skal vere sjølvstendig næringsdrivande?
Judith Butler er filosof og ein frontfigur innanfor kjønnsteori.
Foto: Thomas Lohnes / NTB
Paven midt imot
Alle lèt til å misforstå kvarandre i kjønnsdebatten. Judith Butler blir både dyrka og demonisert av folk som ikkje har lese eit ord av bøkene hen skriv.
Bondelagsleiar Bjørn Gimming talar til demonstrantane utanfor Stortinget torsdag morgon. Bønder frå heile landet protesterer mot måten bondeinntekta blir rekna ut på.
Foto: Heiko Junge / NTB
Jordskjelvet
Senterpartiet ville løfte bøndene, men har skaka sitt eige grunnfjell.
Abortutvalet saman med helseminister Ingvild Kjerkol under overrekkinga av rapporten. Utvalet føreslår å flytte grensa for sjølvbestemt abort til veke 18.
Foto: Heiko Junge / NTB
Moralske kvalar
Å leggje restriksjonar på abort, er ein måte å anerkjenne menneskeverdet på, seier Morten Magelssen i abortutvalet. Han tok dissens.
Villreinbestanden i Noreg i dag er på rundt 25.000 dyr vinterstid. Sidan 2021 har villreinen vore klassifisert som nær truga på den norske raudlista.
Foto: Paul Kleiven / NTB
Villrein i eit villnis
Stortingsmeldinga om villrein er ikkje til å verte særleg klok av.
Papiravisa