Bank slapp erstatningsansvar for direktørsvindel etter dom i Høyesterett

Hvem bærer risikoen for direktørbedrageri? Det er et spørsmål som nylig ble behandlet av Høyesterett i en avgjørelse av 31. mai 2024.

Saken begynte med at daglig leder i et norsk selskap mottok en henvendelse fra det han trodde var konserndirektøren, med anmodning om å bistå i et oppkjøp av et selskap i Kina. Den daglige lederen ordnet innhenting av kapital fra morselskapet, og foretok oppgjør via selskapets bankforbindelse til den angivelige selgeren i Kina.

Spørsmålet som Høyesterett skulle besvare var om bedriftens bank kunne holdes erstatningsansvarlig for overføringer på omlag 130 millioner kroner. Høyesterett konkluderer med at verken lov, forskrift eller direktiver som var gjeldende på skadetidspunktet satte krav til banken om systematiske tiltak mot risikoen for bedrageri ved transaksjoner godkjent av kunde. Det var heller ingen krav i avtalen mellom kunde og bank om at sistnevnte pliktet å kontrollere betalingsbeslutninger fra kundene for å forebygge intern eller ekstern svindel.

Hva kan en økonomisjef lære av dommen? Vi stilte spørsmålet til advokat Solfrid Haaskjold Brænd i KPMG, samt Lars Wilberg og Erik Arvnes, begge partnere som jobber med gransking i KPMG.

– Én følge av dommen er at selskaper som er utsatt for bedrageri blir alene om å dekke tapet, selv om bankene ved ytterligere aktsomhet hadde vært i stand til å stanse transaksjonene. Men også i tilfeller der banken blir holdt erstatningsansvarlig, vil kravet kunne bli redusert som følge av bedriftens medvirkning. Det er derfor av stor betydning at ledere for bedriftens økonomiavdeling innretter seg best mulig for å forebygge, avdekke og redusere skadeomfanget av svindel, sier Haaskjold Brænd. 

– Økonomisjefen er ofte i en særlig utsatt posisjon, da vedkommende ofte vil ha fullmakter til å godkjenne transaksjoner, legger Wilberg til.

– Er det noen typer bedrifter som er mer utsatt og bør være mer bevisst farene enn andre?

– Enhver bedrift er utsatt for risiko. Det er stor spredning i hvilke bransjer som er utsatt for direktørsvindel. Vi har selv bistått små og store bedrifter blant annet innen energi, bygg og anlegg, shipping, IT og offentlig forvaltning. I majoriteten av svindelsakene er engelsk benyttet i kommunikasjonen. Bedrifter med engelsk arbeidsspråk bør derfor være særlig bevisst, sier Arvnes.

– Kan dere gi et sett tips til hvordan bedrifter kan forebygge direktørsvindel?

Wilberg svarer:

– Det første tipset gjelder sikkerhetskultur og bevisstgjøring. Kunnskap om hvordan direktørsvindel skjer er viktig for å være i stand til å avdekke røde flagg. Sørg for kunnskap og årvåkenhet slik at ansatte kan kjenne igjen svindelforsøk, for eksempel kunne identifisere falske domener i e-post. Ansatte bør jevnlig minnes på at de kan bli lurt til å gjøre ting som kan skade bedriften, som å installere spionprogramvare ved å åpne et ondsinnet e-postvedlegg, gi sensitiv informasjon eller godkjenne transaksjoner knyttet til svindel.

– Det andre tipset er at programvare og antivirusløsninger må være oppdaterte til enhver tid. Bedriften må ha tekniske tiltak med tilstrekkelig grad av sikkerhet i forhold til den informasjonen som skal beskyttes og de fullmaktene brukeren har.

– Det tredje tipset gjelder trening og opplæring. Alle bedrifter bør ha en oppdatert beredskapsplan. Det er viktig å trene og øve på denne slik at man vet hva som skal gjøres når en hendelse inntreffer. 

– Når dere har sett direktørsvindel hos klientene, hvilke svakheter er det normalt som utnyttes?

– Vi ser ofte direktørbedragerier basert på sosial manipulasjon og bruk av kompromitterte epostkontoer. Vi ser også at det opprettes et domene og en epostadresse som er svært lik bedriften sin, og at svindlerne lykkes med å instruere endring av kontonummer for utbetaling, sier Arvnes. 

– Hvilke rutiner kan bidra til at bedrifter oppdager direktørsvindel i tide til å begrense skaden?

– Etablerte godkjenningsprosedyrer er viktig. Endrede betalingsdetaljer bør alltid bekreftes fra den legitime mottakeren. Ikke stol blindt på skriftlig kommunikasjon. Sørg for å bekrefte endringer ved å ringe mottaker på det nummeret du har fra før, sier Arvnes. 

– Multifaktorautentisering, vanligvis gjennom bruk av engangskoder i tillegg til brukernavn og passord, er også en effektiv måte å stoppe misbruk av lekkede påloggingsopplysninger på. Selv om det fortsatt er mulig for svindlere å omgå to-faktor autentifisering eller å få tak i engangskoder gjennom sosial manipulasjon, vil det gjøre det vanskeligere for svindlerne, sier Wilberg. 

– Når man oppdager svindel, hva skal man gjøre, og hva skal man i hvert fall ikke gjøre?

– Det kommer litt an på type svindel du er utsatt for, men man bør alltid umiddelbart søke å stanse transaksjonen. Ta kontakt med banken. Her er det viktig å være rask. Dernest bør man avklare om det er behov for tiltak i forhold til eventuelle kompromitterte epost kontoer, samt varsle andre berørte, sier Wilberg. 

– Svindlerne er også innovative, de ligger gjerne litt foran forsvarsmekanismene. Hvilke typer nye metoder ser vi at utvikler seg nå? 

– Det går ikke an å komme utenom trusselen fra kunstig intelligens når man skal svare på det spørsmålet. Det er snart 10 år siden den første virkelig store direktørsvindelen i Norge, mens det er 5 år siden det første offentlige omtalte direktørsvindelen ved bruk av kunstig intelligens, sier Haaskjold Brænd. 

De tre sier at forskjellen i dag er at den kunstige intelligensen begynner å bli så god, at alle som har liggende noen sekunders videoklipp ute på offentlige nettsider, eksempelvis et intervju på virksomhetens egen kanal på ulike sosiale medier, risikerer å bli utsatt for misbruk av kunstig intelligens. Det britiske ingeniørselskapet Arup har vært mye omtalt etter at en av deres ansatte på finansavdelingen ble rammet av svindel gjennom kunstig intelligens tidligere i år. Totalt forsvant 20 millioner pund.