Nye EU-regler støttet av norske banker vil fjerne den øvre grensen på 12.000 kroner for hvor mye kundene kan tape hvis de utsettes for kortsvindel. Forutsetningen er at kunden har opptrådt grovt uaktsomt. Men bevisene bankene bruker for folks uforstand er langt fra vanntette, mener Per Thorsheim, daglig leder og sikkerhetsrådgiver i God Praksis.
Han har studert saker i Finansklagenemda og mener kunden gjerne får skylden hvis riktig kortkode er brukt på første forsøk. Selv ville han aldri akseptert en slik avgjørelse.
- Det finnes mange måter å stjele pinkoden din på, som kunden knapt har mulighet til å beskytte seg mot, sier han.
Les mer om den mulige regelendringer: Du kan få ansvaret for kortsvindel
Pintyveri
Thorsheim påpeker at skimmingutstyr med falske tastaturer i minibanker har blitt brukt til å stjele pinkoder. Og forskning utført ved Cambridge-universitet i England ifjor viser at det er fullt mulig for svindlere å få tak i informasjon om pinkode og chip i et bankkort dersom korteieren bruker en butikkterminal uten nettdekning.
Nylig ble dessuten informasjon om 4,5 millioner betalingskort med krypterte pin-koder stjålet fra butikkapparater i den amerikanske butikkjeden Target.
- Det kan være mulig å finne ut disse pin-kodene ved hjelp av statistisk analyse, sier Thorsheim.
Kan dette ha skjedd i Norge, uten at vi vet det?
- Ja, selvsagt, sier han.
Enklere å gjette
Thorsheim påpeker dessuten at stadig flere banker lar kundene velge pinkode selv, og tilbyr samme kode på alle kort. Han tror motivet er å øke sjansen for at kundene velger å bruke deres kort, fremfor konkurrentene, ikke sikkerhet. Flere studier viser nemlig at folk ofte velger de samme kodene, og at sjansen for å gjette riktig derfor øker dramatisk.
En studie fra universitetet i Cambridge viser at tyvene har hele 9 prosent sjanse for å gjette riktig kode før kortet sperres, hvis de også kjenner offerets fødselsdato. Og med felles kode på alle kort øker sjansen for gjentatt misbruk.
- Det kan synes som bankene gjør det enklere for deg å bli svindlet og vil legger alt ansvar på deg, sier Thorsheim
Thorsheim mener reglene for hva som regnes som grov uforstand er altfor uklare, og at banken ved tap av pinkode må bevise at det var resultat av uforsiktig oppførsel.
- Det er litt dumt at du som vanlig kunde skal belastes med bevisbyrde for at du er utsatt for et avansert hackerangrep når bankene har all informasjonen, sier Thorsheim.
Ingen automatikk
Informasjonsdirektør Even Westerveld i DNB sier kunder som har blitt kortsvindlet ikke automatisk blir stemplet som grovt uaktsom hvis pinkoden blir brukt av svindlerne når kortet blir tappet.
– Hvis kunden ikke er skyld i at pinkoden er kommet i svindlernes hender, får han dekket 100 prosent av tapet, sier han.
Westerveld sier det kun er få tilfeller hvert år hvor banken mener kunden selv har skyld i at kortet er blitt misbrukt. DNB er likevel den eneste banken som har blitt dømt i retten til å dekke tapet på kortsvindel, selv om banken i utgangspunktet mente kunden hadde vært grovt uaktsom.
DN har tidligere skrevet om Oslo-mannen Paal Øiestad som etter fire års kamp ble trodd på at han selv ikke var skyld i at kortet hans ble svindlet for 50.000 kroner på ferieturen i Roma i 2008. Han tapte saken sin både i Finansklagenemnda og i Oslo tingrett, men vant frem i lagmannsretten sommeren 2012. Da ble det oppdaget en feil i bankens kodesystem som gjorde det sannsynlig at Øiestad ikke selv hadde opptrådt uaktsomt. Øiestad uttalte til DN at han var lettet over endelig bli trodd, men svært skuffet over at banken han hadde hatt gjennom 60 år ikke hadde trodd på ham før. Banken påsto at Øiestad hadde koden sammen med kortet.
Les mer om den mulige regelendringer: Du kan få ansvaret for kortsvindel (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.