Den nya tidens rån börjar inte sällan oförargligt. En person ringer bankkunden och utger sig för att representera antingen banken eller en myndighet och berättar att kunden har blivit utsatt för ett bedrägeriförsök, eller liknande. Nu behöver kunden bara lämna ut sitt BankID för att identifiera sig och säkerställa att pengarna inte hamnar i orätta händer. Även om samtalet kom oväntat och det var något som kändes konstigt, gick allt så snabbt och personen i telefonen var så förtroendegivande. När det en stund efter samtalet gått upp för den drabbade kunden att det kan ha handlat om ett bedrägeri har pengarna redan lämnat kontot.
Detta är den nya tidens rån. Bedragarna har ändrat sitt beteende och blivit mer förslagna. Men hur kan man som bank skydda sig och sina kunder mot bedrägerier? Det första steget bör vara att ha koll på sina processer och att verkligen använda all den kompetens och kunskap som redan finns i banken.
Utfall i Högsta Domstolen
I juni i år prövades ett fall i Högsta Domstolen där en bankkund blivit utsatt för bedrägeri (Mål: T 4623-21). Kunden blev uppringd av en person som senare skulle visa sig vara bedragare. På uppmaning av personen lämnade kunden ut koden till sitt BankID och svarskoder från sin bankdosa. Det finns tre möjliga utfall vid en bedömning av den situation som bankkunden hamnade i:
- Kunden har agerat särskilt klandervärt och får därför stå för hela kostnaden som uppstått med anledning av bedrägeriet.
- Kunden har agerat grovt vårdslöst och får stå för en begränsad del av kostnaderna, upp till 12.000 kr.
- Om den bedrägliga transaktionen har kunnat genomföras på grund av att kunden inte har skyddat sin personliga behörighetsfunktion, så som BankID och/eller personliga koder, får kunden stå för maximalt 400 kr.
Att lämna ut sin kod till BankID och svarskoder från bankdosan har i många fall hittills betraktats som ett särskilt klandervärt beteende. Därmed har kunden blivit betalningsansvarig för hela transaktionen i samband med bedrägeriet. I den aktuella HD-domen blev utfallet dock ett annat. Det fastställdes att kunden hade blivit utsatt för ett förslaget bedrägeri och att det inte kunde bevisas att kunden skulle haft insikt om att denne lämnade ut koderna till en obehörig person. Kundens agerande bedömdes därför vara grovt vårdslöst och denne fick stå för 12.000 kr. Resterande belopp fick banken stå för. I det aktuella fallet var transaktionsbeloppet närmare 400.000 kr.
Utfallet i HD-domen pekar mot flera saker;
För det första bekräftar domen bilden av att bedragarna är mer utvecklade idag, och att det kan vara svårt att i stunden förstå att det är ett bedrägeri som äger rum.
För det andra pekar domen mot att kostnaden för bedrägerier till största delen bör absorberas av banken eller det aktuella finansiella institutet i sådana särskilt förslagna fall. Till syvende och sist blir det alltså aktieägarna som står för dessa kostnader.
Åtgärder för att stärka arbetet mot bedrägerier
Banker och finansiella institutioner har många anledningar till att bekämpa bedrägerier. Arbetsinsatser på området behövs både för kundernas och investerarnas skull, men givetvis också som ett led i det samhällsekonomiska och brottsförebyggande ansvar som träffar betaltjänstleverantörer och banker.
Den enklaste vägen att stärka arbetet mot bedrägerier kan tyckas vara att bygga vidare på avdelningen som redan arbetar med bedrägeribekämpning, genom nyrekryteringar. En sådan åtgärd riskerar dock synnerligen tandlös om man inte från början har identifierat och etablerat sina verksamhetsprocesser.
Att anställa fler personer till Anti-Financial Crime-avdelningen riskerar att bli en tandlös åtgärd om man inte har identifierat och etablerat sina verksamhetsprocesser.
En process är etablerad när alla i verksamheten är överens om vad som görs, men också vad som inte görs, i den kedja av händelser som tillsammans utgör processen. Det är också genom att titta på processen som man får en klar överblick över både manuell hantering och alla IT-system eller applikationer som ingår. Båda dessa parametrar, människa och IT-system, behöver tas i beaktande i syfte att förhindra bedrägerier. Genom att samla diversifierade kompetenser, som oftast sitter på olika avdelningar, kring en visualisering av de etablerade verksamhetsprocesserna, kan man komma långt i arbetet med att täppa till kryphål där bedragare annars skulle kunna ta sig in. En process manager eller process expert leder arbetsgruppen genom processen och faciliterar dialogen. Förutsättningen för att den bedrägeribekämpande enheten ska kunna ta sitt ansvar och utföra sitt jobb är med andra ord att hela verksamheten har klart för sig hur verksamhetsprocesserna ser ut. I annat fall har man en avdelning som kan identifiera bedrägerier men har svårt att kunna vara behjälpliga i att identifiera de korrekta motåtgärderna.
Sammanfattning
Banker och finansiella institut har stora möjligheter att kunna bedriva ett effektivt arbete mot bedrägerier genom sin befintliga organisation och befintliga medarbetare. Förutsättningen är dock att verksamhetsprocesserna är identifierade och etablerade, men även visualiserade. Mindbanque har erfarenheter både på djupet och bredden inom bank och finans för att hjälpa er att lyckas med att ta fram- eller genomlysa verksamhetsprocesserna och på så sätt facilitera arbetet mot bedrägerier.
Åsa Wilk
Senior Business Consultant & Process Manager
2022-11-10