Nätbanksdosor som försvinner vid inbrott. Mobiltelefoner som försvinner under krogkvällen. Bedragare som luras via Facebook-chattar. Det är några exempel på när svenska banker anser att deras kunder har varit för slarviga för att de ska få ersättning.

Det visar PC för Allas genomgång av ärenden till Allmänna reklamationsnämnden, ARN, dit kunder kan vända sig när de inte kommer överens med sin bank eller kort­företag. Det är alltså bara i de fall då banken har sagt nej som nämnden över huvud taget kopplas in.

400 000 kronor borta

Historierna som framträder i anmälningarna är av vitt skilda slag. Det troligtvis mest omfattande började med ett inbrott hemma hos Margareta i Linköping. Det var i december 2011 och hon var på en kortare resa till Stockholm. Efter att en granne hade kontaktat henne och berättat om inbrottet polisanmälde hon det via telefon. Med sig på resan hade hon plån­boken med sina kontokort, så hon såg ingen anledning att spärra dem.

Tre dagar senare fick Margareta ett brev från Forex, där företaget hävdade att hon hade ansökt om 10 000 kronor i kredit. Först då insåg hon att passet var borta. Men även en pärm med papper från Åtvidabergs Sparbank var försvunnen, och inte minst – dosan som hon använde för att logga in på sin internetbank. Den hade förvarats i en hurts, och i en annan låda låg koden.

Den värsta överraskningen kom när Margareta granskade sitt bankkonto. Mer än 400 000 kronor hade plockats ut. Av dessa kunde 82 750 kronor spärras med åklagarens och polisens hjälp. Mer pengar ville inte banken stå för. I stället hänvisade Åtvidabergs Sparbank till villkoren för internetbanken, som säger att kunden har ansvar för att kontrollera om dosan har försvunnit efter ett inbrott. Dessutom får du inte anteckna din kod på ett sådant sätt att det är uppenbart att det är just en säkerhetskod till en internetbank det rör sig om.

För övrigt vägde tidsaspekten tungt i beslutet. Att inte omedelbart spärra dosan beskrivs av banken som att hon ”varit likgiltig till att inbrott begåtts genom att man inte omedelbart gjorde klart för sig vad som stulits”. ARN gav banken rätt.

Slutsats: Kontokort är inte det enda som kan behöva spärras efter en stöld. Glömmer du bankdosan till nätbanken riskerar du att åka på en rejäl ekonomisk smäll – betydligt mer omfattande än flera kortbedrägerier.

Koden fanns i mobilen

Efter en kväll på krogen återvände stockholmaren Anders till sitt hem i sällskap med en kvinna. Senare på kvällen ringde hon en bekant för att bli upphämtad och sa samtidigt åt Anders att dricka upp sitt vin. Strax därefter somnade han, uppger han i sin anmälan till ARN. När han ­vaknade var saker i hans bostad försvunna. Bland annat saknades hans ­American Express-kort och mobiltelefon, där han hade kortets kod noterad. Själv tror han att kvinnan hade spetsat vinet med något som fick honom att falla i djup sömn, vilket gav henne tid att plocka med sig värdesaker. 7 000 kronor hann tas ut från kontot innan han spärrade kortet.

”Grovt oaktsamt”, svarar American Express och pekar på flera punkter: Att i berusat tillstånd ta med en främmande människa hem, fortsätta dricka och sedan somna med både kort och mobil­telefon i hemmet är nog för att han inte ska få tillbaka pengar. Men kanske ännu allvarligare var att pin-koden kunde hittas i mobilen. ”Den omständigheten att kvinnan eventuellt spetsat [mannens] vin ska inte påverka bedömningen.”

American Express linje fick gehör hos ARN som slog fast att pengarna inte behöver betalas tillbaka.

Slutsats: Att lagra koden i en mobiltelefon medför att man måste hålla koll på den. Försvinner den tillsammans med kortet kan du inte räkna med att få tillbaka pengar.

Fick falskt mejl – inga pengar tillbaka

Johanna i Umeå fick hösten 2011 ett mejl som såg ut att komma från Swedbank, och där avsändaren informerade om att hennes konto skulle stängas av på grund av oregelbunden användning. För att åtgärda problemet uppmanades hon att klicka på en länk i mejlet.

Ett klassiskt upplägg i den typ av bluffmejl som så gott som alla med en e-postadress får då och då. Men eftersom hon mycket riktigt var Swedbank-kund och använde sin nätbanksdosa oregel­bundet så klickade hon.

Det som dök upp på skärmen var en inloggningssida som i hennes ögon såg ut precis som den verkliga. Hon försökte logga in, men möttes av ett felmeddelande. Efter att ha letat sig fram till Swedbanks riktiga nätbank fungerade inloggningen. Väl inne kunde hon konstatera att 9 570 kronor hade tagits från kontot och skickats vidare till Western Union.

Johanna ringde banken, som uppmanade henne att polis­anmäla händelsen. Trots det ser Swedbank uttagen som legitima – att lämna ifrån sig två koder är att godkänna en transaktion. Slutsatsen är glasklar: Kunden ska själv stå för kostnaden, ­vilket ARN skriver under på.

”Det är allmänt känt att säkerheten på internet är bristfällig och att det förekommer falska meddelande”, skriver nämnden i sitt beslut.
Samma metod används inte sällan för att lura av människor kontokortsuppgifter. Då ser sidan i regel annorlunda ut, men bygger på samma princip – formulär att fylla i med känslig information som hamnar i händerna på bedragare. Inte heller då kan kunden räkna med att få tillbaka pengarna, särskilt om du lämnat ifrån dig kortnummer, säkerhetskod och giltighetsdatum – allt som krävs för att plocka pengar från kortet. Liknande situationer kan drabba användare vars datorer har infekterats av skadlig kod, till exempel trojaner. Sådana bedrägerier är knivigare att genomskåda, eftersom sidan du besöker är skickligare maskerad. Just därför har ­bankerna en mer generös inställning till att stå för smällen efter trojanbedrägerier – åtminstone än så länge.

Slutsats: Banker är inte alltid redo att ersätta kunder för nätbanksintrång. Som kund har du ansvar att granska mejl som dyker upp och att lyckas identifiera bluff­breven.

Lurad på Facebook – ingen ersättning

Bluffar via chattar har blivit vanligare. Dessutom är det ett tydligt exempel på när banken tycker att slarvet har gått för långt – den som går på bedrägeriet kan inte räkna med att få ersättning. Enligt Swedbank utsattes 200 av deras kunder för den här bedrägeritypen under 2012.

Tillvägagångssättet bygger på att bedragaren har kommit över ett användarnamn och lösenord som tillhör dina vänner. Facebook är ett vanligt mål, men det har även skett över chattjänster som MSN/Skype. Sätten att lura till sig lösenorden är flera, men ett sätt är e-postutskick som lurar användaren till en falsk inloggningssida som liknar Facebook, men i själva verket bara används för att samla in lösenord.

När kontot väl är kapat startar personen en chatt med dig, där han eller hon utger sig för att vara den verkliga ägaren. Snart styrs konversationen in på att vännen sitter och försöker betala sina räkningar, men inte hittar dosan till sin nätbank. Därför ombes du att hjälpa till genom att plocka fram din egen.

Den som går på tricket använder då sin dosa för att generera de koder som behövs för både inloggning och signering av räkningar. På andra sidan chatten tar bedragaren emot dem – och använder dem för att länsa kontot.

I verkligheten skulle det aldrig fungera att hjälpa en vän på detta sätt, eftersom dosorna och koderna är personliga och bara fungerar till ditt eget bankkonto. Men utrustade med flera kapade Facebook-
konton är det bara för hjärnan bakom kuppen att försöka om och om igen tills någon går på den.

Bankerna är försiktiga med att peka finger, men det är tydligt vad de försöker värja sig mot genom att inte ersätta
bedrägerier av den här typen. I bankkretsar är det välkänt att vissa försöker sig på ett omvänt bedrägeri – ”friendly fraud” på engelska. Det går ut på att man själv genomför köp med sitt kort, eller för
ut pengar från sin nätbank. När de väl är försvunna vänder man sig till banken eller handlaren och hävdar att det rör sig om ett bedrägeri. Bluffar av den typen skulle vara svåra, om inte omöjliga, att sätta stopp för om ersättning betalades ut för fall där uttagen har gjorts med den riktiga koden. Även om kunden hävdar att han eller hon lurades att lämna ifrån sig koden via en chatt.

Slutsats: Bankens besked till den som blir lurad är bistert: Du kan inte räkna med att få tillbaka pengarna, eftersom du själv har bidragit till att bedrägeriet kunde genomföras när du har lämnat ifrån dig koderna.

Fotnot: Personerna i artikeln heter i verkligheten någonting annat.