Del 3. Kryptobluffen fortsätter: Är bankerna blinda?

De är vanliga bankkunder – och offer. Bedragarna har lurat dem att föra över miljontals kronor till utländska kryptovalutaväxlare. Många lurade frågar sig nu varför inte banken har reagerat.  

Läs del 1 och del 2.

Den första överföringen gjordes klockan 09.49 den 31 juli 2019. Då skickades 20 000 euro från kontot i Nordea till Kraken, ett företag som specialiserat sig på att växla till olika slags kryptovaluta. Ett dygn senare gjordes nästa överföring. Samma summa, samma destination.  
Madeleine, som bara vill förekomma med förnamn, förde under 22 dagar ut sammanlagt 1 040 000 kronor från sitt konto i Nordea till Kraken, pengar som sedan bedragarna bakom sajten Uprofx la beslag på. 

Som en konsekvens av bedrägerierna har Madeleine tvingats sälja huset och bilen. Hon har skulder hos Kronofogden på 1,2 miljoner kronor och har begärt skuldsanering. 
– Som tur är har jag stått i bostadskö så efter två månader fick jag en lägenhet, det är en fin lägenhet i ett förortsområde med mycket kriminalitet men jag lider inte av det. 

Efteråt har Madeleine frågat sig hur banken kunde låta henne föra över så stora summor utomlands. Hon begärde ut den information som banken hade om henne enligt kravet på kundkännedom. Där stod att högst 99 999 kronor skulle lämna kontot under en månad och att hon inte skulle genomföra några utlandstransaktioner.
Madeleine anmälde banken till Allmänna reklamationsnämnden, ARN, med förhoppningen att banken skulle ersätta henne för transaktionerna. I beslutet från augusti 2020 skriver ARN: »Nämnden har gått igenom utredningen i ärendet och konstaterar att banken, även med beaktande av de uppgifter som Madeleine lämnat i sin kundinformation, inte haft någon möjlighet eller skyldighet att stoppa de aktuella transaktionerna, varken enligt lag eller avtal.«
– De gick på betaltjänstlagen, jag förstod inte varför de inte gick på penningtvättslagen. Där faller vi mellan stolarna känns det som, säger Madeleine.

Faktum har gått igenom 41 avgöranden hos ARN i fall som gäller den här typen av bedrägerier. De allra flesta beslut hänvisar till lagen om betaltjänster. Eftersom kunden själv har genomfört transaktionen har banken enligt den lagen inte något ansvar, hur lurad kunden än senare visar sig har varit. 
I sällsynta fall nämns ordet penningtvätt, som i det här svaret från SEB i ett beslut från april 2020: 
»Det har inte funnits något som tytt på att det var frågan om penningtvätt och inget visar att banken inte uppfyllt de krav som finns. Att kontot inte använts på länge innebär inte i och för sig att banken ska anses ha varit oaktsam. Banken har inte varit skyldig att kontrollera transaktionerna och har inte varit oaktsam.«

Fredrik Nordquist, rådgivare på Konsumenternas Bank och finansbyrå, säger att de får många samtal från personer som blivit bedragna och undrar över bankernas ansvar i samband med att deras kunder råkat ut för denna typ av bedrägerier. Han har själv försökt hitta vägledning i såväl förarbeten som i ARN:s beslut.
– Hittills har alla liknande ärenden i ARN slutat med avslag för konsumenten. Men då ARN är ganska knapphändiga i sina motiveringar så är det svårt att avgöra om det beror på omständigheter i det enskilda fallet eller om det är så att banken aldrig kan bli ansvarig i liknande situationer. Det konstateras bara att betalningen är behörig och man nämner ofta att någon annan grund för att slippa betalningsansvar inte framkommit. Frågan som kvarstår är om det överhuvudtaget kan framkomma en annan grund som skulle kunna ändra den bedömningen och vad konsumenten då ska behöva visa.

Hur påverkar kundkännedomen ansvaret enligt penningtvättslagen?
– I de fall som är avgjorda i ARN så resonerar man inte alls om det. I penningtvättslagen och dess förarbeten så står det ingenting om att banken skulle kunna bli ansvarig gentemot en kund om banken inte uppfyller dess krav. Men många konsumenter som kontaktat oss frågar just om penningtvättslagen, och om inte banken skulle kunna bli ansvarig om de släppt igenom en transaktion som de egentligen kanske borde stoppat enligt kraven i den lagen. Men då det inte finns något resonemang kring det i ARNs avgöranden, eller i lagens förarbeten, så har vi svårt att ge något uttömmande svar till konsumenten. Så det är otroligt svårt sätta ner foten och hävda någonting om bankens eventuella ansvar.

Ett problem är att konsumenten ofta har svårt att sätta samman en tydligt beskrivning och bakgrund till sitt yrkande i ARN.
– Jag tror många konsumenter har svårt att precisera de omständigheter de vill åberopa och att framkomma med grunder. Det är möjligt att man fått ett mer utförligt resonemang i prövningen om konsumenten fått stöd i att stolpa upp sin anmälan och motivera sina grunder. Men att anlita ett juridiskt ombud blir en extra kostnad för konsumenten och det är inte säkert att det påverkar utgången.

En konsument kan också ta sin klagan till tingsrätten. Men då riskerar konsumenten att vid förlust få betala bankens rättegångskostnader. 

En annan av bedragarnas offer, som vi kan kalla Karl, övertalades liksom många andra att ladda ner programmet Anydesk. Med hjälp av det tog bedragarna lån hos nio låneinstitut på sammanlagt drygt tre miljoner kronor. Även hustrun tog lån och paret blev av med 4,5 miljoner kronor, pengar som skickades via bankkontot till Kraken. I Karls fall hörde banken faktiskt av sig, i form av ett meddelande vid varje transaktion där de talade om att de anmält överföringen till Skatteverket. Enligt kontrolluppgiftslagen har banken en skyldighet att rapportera utlandsbetalningar som överstiger 150 000 kronor. 
Karl vågar inte anmäla till ARN eller på annat sätt bråka med banken. När Faktum pratar med honom arbetar han med att bestrida de lån som hamnat hos Kronofogden för indrivning. Han får dagligen ett par tre samtal från olika långivare och från ivriga »trading managers« som erbjuder honom att investera i bitcoin.

Malin, som egentligen heter någonting annat, förde via sitt konto i SEB över 145 609 kronor till valutaväxlaren Kraken. När hon försökte göra en andra överföring stoppades den. Enligt Malin ringde banken och sa att transaktionen hade stoppats för att den här valutaväxlaren ofta används i bedrägerier. Hon anmälde SEB till ARN. Där nämnde banken ingenting om varför den andra transaktionen stoppats och ARN hänvisade till betaltjänstlagen och friade banken från ansvar för den transaktion som släppts igenom. 

Malin förde även över pengar via Skandiabanken, sammanlagt drygt 1,3 miljoner kronor. En tid efteråt fick hon brev från banken där de ville veta mer om transaktionerna. Ett par månader senare, i december 2019, fick Malin ett brev från banken där de skrev:
»Skandiabanken tillåter inte längre betalningar till internationella kryptovalutahandelsplatser då betalningar till dessa bland annat är vanligt förekommande i många investeringsbedrägerier samt är en ökänd metod för att tvätta pengar och finansiera terrorism.«

Ronny Gustavsson är chef för avdelningen Finansiell brottslighet på Skandiabanken. Han har tidigare arbetat hos Finansinspektionen och inom EU med utformningen av regelverket kring penningtvätt. 
– Rent krasst så är penningtvättslagen inte något konsumentskydd utan ett samhällskydd för att banker inte ska tvätta pengar, säger Ronny Gustavsson.

Hösten 2019 såg Ronny Gustavsson och hans kollegor att den här typen av transaktioner ökade. När de hade fått klart för sig vad det handlade om, och även fått information från polisen, beslutade banken att stoppa betalningar till internationella kryptovalutaväxlare. 
– Vi tycker att det är fruktansvärt med de här bedrägerierna och därför tog vi det här beslutet. Samtidigt har vi svårt att förklara varför vi stoppar betalningar för kunder som vill genomföra dem. 

Risken för banken är att kunder begär skadestånd för att deras betalningar stoppas. Det är en konflikt som Ronny Gustavsson skulle vilja att politikerna ser över. 
– Vi har för små lagliga medel i dag och skulle vilja att lagstiftaren ser över det här. 

Martin Nordh är vd på Acuminor, ett företag som hjälper banker att identifiera risker kring finansiell brottslighet. Han har tidigare arbetat som polis och varit chef för en enhet mot finansiell brottslighet på Nordea.

Enligt Martin Nordh skärptes kraven på bankerna 2017 i och med EU:s fjärde penningtvättsdirektiv. 
– Det var en game changer, för första gången ställdes krav på att banker inte bara ska ha koll på transaktionerna utan att kontrollen också ska fungera. Tidigare fanns krav på att banken ska ha ett system, nu ställs krav på att de ska hitta transaktionerna. 

Martin Nordh säger att han förstår varför Skandiabanken har tagit beslutet och tycker att det är bra att de har gjort någonting. Men att stänga ute en hel bransch är inte rätt metod. Han tror inte heller att banken riskerar att bli stämd för att bryta mot betaltjänstlagen. Istället borde bankerna bli bättre på att övervaka transaktionerna. 

Ett problem kan vara antalet transaktioner som kan uppgå till miljontals per dag. Hur avgöra vilka som bör stoppas?
– Det finns en bristande kunskap om riskparametrar, hittills har man använt i stort sett samma scenarier överallt. Men det har hänt en del de senaste två åren och det kommer nya system som använder maskininlärning. 

Enligt Martin Nordh är de regler som sätts upp för att hitta avvikande transaktioner så trubbiga att det blir många träffar som inte handlar om penningtvätt. Med hundratals miljoner transaktioner kan de falska träffarna uppgå till flera tusen i månaden. Utlandsbetalningar går iväg på bestämda clearingavgångar och beroende på när kunden genomför sin betalning har banken minuter eller timmar på sig att stoppa den. 
– Det är inte ovanligt att banker jobbar upp en backlogg med transaktioner som systemet flaggar för men det finns inga utredare som hinner titta på dem förrän flera veckor senare. 

Om banken misstänker att en transaktion kan vara del i en penningtvätt ska de skicka en anmälan till Finanspolisen. Varken banken eller kunden får i regel veta vad som sedan händer med anmälan. Finanspolisen skriver i ett mejl att rapporter som rör virtuella valutor har ökat, men att de fortfarande utgör en liten andel (mindre än 5 procent) av de rapporter som kommer in. 
Det är Finansinspektionen som har tillsynsansvar över bankerna. Åsa Thalén, chef för avdelningen Operativa risker på Finansinspektionen, beskriver regelverket kring penningtvätt som riskbaserat och syftar till att identifiera och hantera de risker man utsätts för.
– Kraven är att banken ska ha system, rutiner och processer för att kontrollera och hantera den här risken.

Om en bank släpper igenom många betalningar som ingår i investeringsbedrägerier, kan de ställas till svars då?
– Vi går inte in och tittar på enskilda kundsituationer, vi säkerställer att bankerna på övergripande nivå har rutiner för att utöva sitt uppdrag. Det här med att man blir lurad på en investering är väldigt tråkigt, men det är inte säkert att banken skulle ha upptäckt det.   

Penningtvättslagen

I somras fick SEB böta en miljard kronor för att banken brustit i sina åtgärder mot penningtvätt. Swedbank har tidigare fått böta fyra miljarder för liknande brister. Nyligen kritiserades även Nordea för att ha släppt igenom misstänkta pengar. Enligt den så kallade penningtvättslagen ska banken ha tillräcklig kännedom om och göra en riskbedömning av sina kunder. Lagen bygger på ett EU-direktiv.

Betaltjänstlagen

Enligt betaltjänstlagen är banken skyldig att genomföra den transaktion som kunden har initierat. Om transaktionen är obehörig kan banken bli skyldig att betala tillbaka pengarna. Att transaktionen är obehörig innebär att den genomförts utan samtycke från kontoinnehavaren. De flesta anmälningar hos ARN som gäller bitcoinbedrägerier har avgjorts enligt betaltjänstlagen till den klagandes nackdel.

Konsumentkreditlagen

Att handla på kredit ger ett starkare skydd. Enligt konsumentkreditlagen har du rätt att ställa samma krav på banken som på företaget du har handlat av. Om du har rätt till återbetalning från ett företag kan du alltså vända dig till banken. I ett ärende hos ARN från 2019 har en person som utsatts för investeringsbedrägeri krävt ersättning av banken. ARN skriver i sitt beslut att investeringstjänster omfattas av lagen, men att den klagande inte har bevisat att han har befogade invändningar mot företaget.

Faktum frågade Swedbank och Nordea hur de ser på bankens möjligheter att stoppa den här typen av transaktioner. Båda valde att svara via mejl.

Nordea: »Först och främst så ser vi mycket allvarligt på att bankkunder råkar ut för den här typen av bedrägerier. Av säkerhetsskäl går vi inte in på detaljer i hur vi arbetar med detta, men generellt kan vi säga att vi har system och rutiner som ser till olika parametrar och Nordea arbetar kontinuerligt med att motverka bedrägerier, både proaktivt för att förhindra att det sker och genom att ta hand om ärenden när det väl sker.«

Swedbank: »Om kunden har ett beteende som inte överensstämmer med KYC (Know Your Customer)så kontaktar banken kunden. I vissa fall spärras även kundernas konton då banken misstänker att kunden är utsatt för investeringsbedrägeri. Problemet är dock inte enkelt. Även fast banken är övertygad om att kunden är utsatt är det inte alla gånger enkelt att övertyga kunden. Dessa har via falska sidor sett sin investering öka med 100 procent och varför skall de då sluta? Många kunder har dessutom blivit tillsagda av bedragarna att uppge falsk information till banken, att betalningen avser sommarbostad i Italien eller lån till släkting exempelvis. Men i de flesta fall kommer kunden till insikt och avslutar kontakten. Men vi har i vissa fall tvingats gå så långt att vi avslutat kundrelationen då det varit uppenbart för banken att kunden är utsatt för bedrägeri. Via vår egna transaktionsmonitorering upptäcker vi flera fall i veckan. Vårt mål är att hitta dessa avvikande transaktioner och kunder så tidigt som möjligt. Detta dels för den ekonomiska delen för kunden men även att vi vet av erfarenhet att kunder som är djupt involverade (lurade) är mycket svårare att övertyga att de är utsatta för bedrägeri.«

Läs del 1 här.

Läs del 2 här.