Vi har förtydligat vår personuppgiftspolicy. Vill du veta mer om hur vi hanterar personuppgifter och cookies - läs mer här.
Helsingborg

Bankernas ansvar utreds efter skicklig bluff

Genom en skicklig bluff blir bankkunder lurade på sina sparpengar. För första gången prövar Allmänna reklamationsnämnden (ARN) bankernas ansvar och beslutet väntas bli vägledande för om kunderna får någon ersättning. – Jag kan inte se hur allt ansvar kan landa på mig, säger en av dem som drabbats.

Håkan Bosäter drabbades av en ny och allt vanligare typ av bedrägerier där brottslingar lurar kunder att använda bank-id för att logga in på internetbank och sedan tömmer kontot.Bild: Andreas Hillergren
Efter samtalet får Håkan Bosäter från Helsingborg en dålig känsla. Han går tillbaka till datorn, loggar på nytt in på sin internetbank och ser att någon har swishat 5 000 kronor från hans lönekonto till en för honom okänd mottagare. Han ringer Nordea, men hamnar i en telefonkö och medan han väntar på att kundtjänst ska lyfta luren utspelar sig en märklig pingismatch med hans sparpengar: Bedragaren flyttar pengar från kapitalkontot till lönekontot, Håkan Bosäter flyttar dem tillbaka, men innan han kommer fram till banken och kan spärra sitt konto har 140 000 kronor försvunnit.
Han har blivit utsatt för en ny variant av så kallad spoofing, en allt vanligare form av bedrägeri.
– För mig är det viktigt att framhålla att det finns flera saker som borde fungera annorlunda, säger Håkan Bosäter till TT, ett drygt halvår efter händelsen.
I korthet går spoofing ut på att bedragare ringer upp bankkunder och utger sig för att komma från deras bank. Med teknikens hjälp kan de få det att se ut som att de ringer från bankens officiella telefonnummer och sedan påstår de att en misstänkt transaktion är på väg att göras från kundens konto. För att stoppa överföringen ber de bankkunden att identifiera sig mot bankens kundtjänst med sin bankdosa eller mobilt bank-id. Vad som egentligen händer är att bedragaren använder verifieringen för att logga in på internetbanken och får tillgång till kundens konton och Swish-uppgifter.
I Håkan Bosäters fall startades så kallade parallella sessioner. Han var redan inloggad på sin internetbank när bedragaren bad honom legitimera sig, men koden han slog in användes för att samtidigt öppna hans internetbank på ytterligare en dator.
– Jag tycker inte att det är märkligt att folk går på det här. Jag har haft en målsägande som jobbat på bank i 40 år, hon kände igen bankens nummer så det är klart att hon gick på det. När bankpersonal går på det här, hur ska man då kunna veta? säger polisen Stefan Larsson, som utreder en mängd ärenden av samma typ.
I många fall ersätter banker inte kunder som förlorat pengar genom spoofing, till skillnad från andra bedrägerier där till exempel kortuppgifter används för köp på internet. Eftersom kunderna har använt bankdosa eller bank-id för att öppna sina konton anser bankerna att de varit "grovt oaktsamma" eller till och med handlat "särskilt klandervärt".
Termerna är av stor betydelse för ARN som just nu, för första gången, behandlar sex olika ärenden där bankkunder vill få tillbaka sina pengar efter att ha utsatts för spoofing. Den som varit grovt oaktsam får själv stå för förluster upp till 12 000 kronor, medan den som handlat särskilt klandervärt inte får någon ersättning alls.
– Bankkunderna har upplevt det som att de har talat med banken, de är fullständigt övertygade om det och då är frågan om de kan anses vara grovt oaktsamma eller särskilt klandervärda, säger Cecilia Blomqvist som arbetar på Konsumenternas bank- och finansbyrå.
Hon menar att ARN:s beslut kan få stor betydelse för dem som har blivit lurade på pengar.
– ARN:s beslut är inte bindande för bankerna, men bankerna brukar alltid följa ARN:s riktlinjer.
"Vi har kommit fram till att vi vill invänta beskedet från Allmänna Reklamationsnämnden innan vi kommenterar ytterligare", skriver Nordea i ett mejl till TT, och samma svar ges från andra banker.
Håkan Bosäter tycker att skyddet för bankkunder borde vara bättre och poängterar att hans e-postkonto hos Google har ett starkare skydd än hans bankkonto. Han tycker att det måste framgå med större tydlighet vilken tjänst man signerar.
– Det måste framgå om jag signerar mot kundtjänst eller för att logga in. Vid inloggning måste man göras medveten om att man är på väg att logga in på en ny dator till sin internetbank. Alternativt att det inte är tekniskt möjligt överhuvudtaget med parallella sessioner.
ARN:s beslut väntas mot slutet av månaden och Håkan Bosäter hoppas att han ska få rätt mot banken.
– Det hade varit underbart att få ett avslut, det här har tagit extremt mycket energi, säger han.
Fakta

Så skyddar du dig

Bankernas och polisens råd:

Lämna aldrig ut personliga koder eller kontouppgifter

Använd aldrig bank-id på uppmaning av någon som kontaktar dig

Avsluta samtalet och slå själv in numret till bankens kundtjänst för att kontrollera

Polisanmäl alltid misstänkta brott. Anmäl både bedrägeriförsök och genomförda bedrägerier

Källor: Polisen, Swedbank

Läs alla artiklar om: Bank-id-bluffar
Gå till toppen