Direktørbedrageri

Ny avgjørelse fra Høyesterett avklarer bankenes erstatningsansvar

Bank frifunnet etter direktørbedrageri

I den mye omtalte saken, der daglig leder i et energiselskap ble lurt av svindlere til å overføre ca. 130 millioner kroner, ble banken i utgangspunktet ilagt erstatningsansvar både i tingretten og i lagmannsretten. Nylig ble det klart at banken ble frifunnet av Høyesterett. Dommen har sentrale uttalelser knyttet til terskelen for ansvar ved autoriserte transaksjoner.

Vi gir deg en oppsummering av dommen, og kommer med våre innspill til hvordan banker og selskaper kan innrette seg for å redusere risiko.

Direktørbedrageri er en spesialisert form for bedrageri, der sosial manipulasjon er nøkkelfaktoren. Skadeomfanget ved et direktørbedrageri kan være eksistenstruende for en virksomhet. Bedrageri der bankene kan bli holdt ansvarlig forekommer i flere former.

Et eksempel er at en bedrager overfor banken utgir seg for å være i en lederstilling i virksomheten for å søke økonomisk vinning. Dette kan lede til en uautorisert eller ikke-godkjent betalingstransaksjon, som banken som et utgangspunkt er ansvarlig for.

Et annet eksempel er tilfeller der bedrageren overfor ledelsen utgir seg for å være en annen person i selskapet eller konsernet, og forleder vedkommende til å foreta en transaksjonen han hadde fullmakt til å utføre. I dette tilfellet vil transaksjonen være autorisert eller godkjent av lederen selv. Banken har som utgangspunkt ikke ansvar i slike transaksjoner ettersom personen i kraft av sin ledende stilling normalt vil ha fullmakt til å foreta transaksjonen. Det gjelder særlig regler for forbrukere.

Alvorlige konsekvenser

Når direktørbedrageri inntreffer kan det ha store økonomiske konsekvenser, først og fremst for selskapet selv. Etter omstendighetene kan det også få stor betydning for betalingsformidleren. Hvorvidt betalingen anses som godkjent transaksjon eller ikke, har betydning for bankens ansvar.

I spørsmålet om banken kan holder erstatningsansvarlig for godkjente transaksjoner, vil sentrale vurderingstemaer være hva som er regulert i avtalen, om banken har overholdt sin lojalitetsplikt og hvorvidt det foreligger en bransjestandard som gir bankkunden en forventning om beskyttelse.

Ny avgjørelse fra Høyesterett

Spørsmålet om hvem som bærer risikoen for direktørbedrageri ble nylig behandlet av Høyesterett i en avgjørelse av 31. mai 2024.

Den aktuelle saken gjaldt spørsmål om en bank kunne holdes erstatningsansvarlig for overføringer på omlag 130 millioner kroner som daglig leder i et norsk selskap ble forledet til å utføre. Den daglige lederen hadde mottatt en henvendelse fra det han trodde var konserndirektøren, med anmodning om å bistå i et oppkjøp av et selskap i Kina. Den daglige lederen besørget innhenting av kapital fra morselskapet, og foretok oppgjør via selskapets bankforbindelse til den angivelige selgeren i Kina.

I den konkrete saken som Høyesterett behandlet var forholdet regulert etter tidligere finansavtalelov. Ettersom denne loven kun regulerte ansvar ved uautoriserte transaksjoner, ble spørsmålet om banken var erstatningsansvarlig etter ulovfestet rett.

Høyesterett la til grunn at verken lov, forskrift eller direktiver som var gjeldende på skadetidspunktet oppstilte krav til banken om systematiske tiltak mot risikoen for bedrageri ved autoriserte transaksjoner.

Det ble videre lagt til grunn at rammeavtalen som regulerte bankforholdet ikke oppstilte konkrete plikter til å kontrollere betalingsbeslutninger fra kundene for å forbygge intern eller ekstern svindel. Endelig uttalte Høyesterett at det ikke var påvist en normerende bransjestandard som medførte ansvar for banken i det konkrete tilfellet.

Bankens plikt overfor kundene – streng profesjonsnorm

Utgangspunktet er at en kunde kan disponere sine midler og konti som de selv ønsker. Samtidig har bankene en plikt til å ha systemer og kontrollmekanismer for operasjonell og sikkerhetsmessig risiko knyttet til ytelsen av betalingstjenester. Det gjelder en streng ulovfestet aktsomhetsnorm for profesjonsutøvere, og denne strenge normen gjelder også for betalingstjenester.

Selskapets eget ansvar

En følge av dommen er at selskaper som er utsatt for bedrageri selv blir ansvarlig for å dekke tapet, selv om bankene ved ytterligere aktsomhet hadde være i stand til å stanse transaksjonene.

Også for det tilfellet at banken ble holdt erstatningsansvarlig, slik den ble i lagmannsrettens dom, vil kravet kunne bli redusert som følge av skadelidtes medvirkning. Det er derfor av stor betydning for selskapene å innrette seg best mulig for å avdekke og redusere skadeomfanget av svindel.

Få med deg hvilke tiltak selskaper bør ta for å unngå bedrageri, og hvordan det kan avdekkes:

Aktuelle problemstillinger – FAQ

Kontraktsfeste ansvar i de tilfeller hvor lovgivningen ikke regulerer forholdet.
Innarbeide gode rutiner og prosesser som kan avdekke svindelforsøk, herunder, solide KYC-prosesser som sikrer at avvik i kundens forventede mønster fort plukkes opp.
Investere i elektroniske overvåkingssystemer som kan avdekke avvik i kundes adferd.
Sikre god intern og ekstern kommunikasjon rundt svindelindikatorer, samt informasjon til kunden om hvem de skal kontakte når uhellet først er ute.
Ved mistanke om svindel, ta kontakt med kunden og innhente nødvendig informasjon for å fjerne mistanken.

Høyesterett la til grunn at en bankkunde som var utsatt for bedrageri alene ikke kunne bygge et erstatningskrav på brudd på antihvitvaskreglene, ettersom lovens formål var å forbygge og avdekke hvitvasking og terrorfinansiering. Det ble likevel presisert at det ikke kunne utelukkes at regelverket fikk betydning for aktsomhetsvurderingen i kombinasjon med andre brudd, men at det ikke var tilfellet i den konkrete saken.

Lagmannsretten delte seg i denne vurderingen i et flertall og mindretall, der førstnevnte la til grunn at banker som var underlagt antihvitvaskloven hadde et særlig ansvar også for å forebygge kriminalitet (primærlovbrudd). Høyesterett sin avklaring på at regelverket ikke kan benyttes som selvstendig ansvarsgrunnlag for slik typer forbrytelser gir derfor avklaring på en problemstillinger som flere banker har stått overfor.

Etterleve lovens krav ved kundeetablering og sikre at den nødvendige KYC-informasjonen er innhentet.
Sikre at den virksomhetsinnrettede risikovurderingen er oppdatert og korrekt identifiserer risikoen i virksomheten.
Gjennomføre risikobaserte kundetiltak og løpende oppfølging etter lovens krav og kriterier identifisert i den virksomhetsinnrettede risikovurderingen.
Innarbeide gode rutiner som sikrer risikobaserte kundetiltak og ha elektroniske overvåkningssystemer som avdekker avvik i kundeatferd.

I en tidsalder der kunstig intelligens gjør at skillet mellom virkelighet og fiksjon blir stadig vanskeligere å avdekke, er det viktigste et selskap kan gjøre det å gå tilbake til de helt grunnleggende prinsippene om nettvett.

Vær bevisst hvilken informasjon som ligger åpent på nett om sentrale posisjoner i selskapet, eksempelvis hvem har mailadresse og telefonnummer liggende ute på selskapets hjemmesider. Dette er informasjon som vil bli misbrukt hvis det ligger der. Misbrukt enten gjennom målrettet angrep mot disse personene eller gjennom typosquatting der man endrer mailadressen til å være tidvis umulig å skille fra den originale eller gjennom spoofing av telefonnummer.

Selskapet bør dessuten sørge for å være seg bevisst sikkerhetshullet som genereres av at ansatte er til stede og aktive på sosiale medier. Hvem har tilgang til å se profilen til sentrale posisjoner i selskapet på sosiale medier, hvilken utdanning, erfaring og annen informasjon knyttet til selskapet er delt via LinkedIn eller andre sosiale medier? All informasjon som ligger åpent ute på nett vil bli satt sammen og brukt i et regime av sosial manipulasjon via mail, telefon eller andre sosiale medier.

Det andre som er viktig for å heve den reelle beredskapen i daglig drift, er å øve på reelle situasjoner og diskutere måter selskapet kan bli utsatt for hendelser på. Vi tilbyr skreddersydde og interaktive øvelser, der selskapet kan få trent på og diskutert reelle scenarioer basert på faktiske hendelser. Øvelsen suppleres med innsikt i globale trender innen relevante temaer for sitt selskap, slik at selskapets ansatte etterpå har forutsetninger for å identifisere nye angrep i framtiden.

Det viktigste enkeltmomentet for å avdekke svindel er kunnskap. Det å vite hva som faktisk går an å manipulere, slik at den dagen den manipulerte telefonsamtalen eller e-posten kommer, så slås varsellampene på.

Erfaring tilsier at de fleste som blir manipulert har hatt en følelse av at noe ikke stemte. Derfor er det viktig å ha diskutert handlingsrommet man har og forventninger til handlingsmønster ved opplevd tidspress. Kjernen ved sosial manipulasjon er at man ikke ser den før man tror det, og jevnlige øvelser skreddersydd selskapets arbeidsområder er alfa og omega.

Den grensekryssende og desentraliserte karakteren til virtuell valuta gjør det til et yndet verktøy for bedragerier. Store beløp kan raskt krysse landegrenser og samtidig skape utfordringer for politi og rettsvesenet med tanke på sporing og beslag av midlene.

Foreningen Association of Certified Fraud Examiners har nylig publisert Occupational Fraud: A report to the Nations 2024, som avdekket at blant kartlagte selskaper som har vært utsatt for økonomisk kriminalitet, var 4 % involvert i kryptovaluta. Av disse var 47 % knyttet til underslag/ økonomisk utroskap og 33 % knyttet til korrupsjon. Det er uklart omfanget av bedragerier relatert til kryptovaluta i virksomheter i Norge, annet enn at man kan anta at det er store mørketall som følge av de iboende egenskapene.

Ikke all svindel kan forebygges. Før eller siden vil det skje hendelser som må håndteres, og da vil det ofte være nødvendig å søke bistand. Vi har et stort team av ansatte med spesialistkompetanse på hendelseshåndtering i etterkant av alle typer sikkerhetsbrudd.

Vi bistår med å finne ut hva som har skjedd, og med å avdekke hvordan selskapets data og daglige drift kan gjenopprettes så raskt som mulig. Vi kan deretter hjelpe deg med å avdekke hvilken informasjon som er på avveie og håndtere dette i tråd med gjeldende krav til personvern.

Trenden går klart i retning av at selskapene må øke beredskapen for å unngå svindel. Også utenfor Norges grenser skjerpes kravene til selskapenes forebygging og avdekking av svindel og tilsvarende kriminalitet. Den siste i rekken av såkalte «failure to prevent»-rammeverk som skal tre i kraft i Storbritannia som følge av forrige høsts vedtakelse av Economic Crime and Corporate Transparency Act 2023.

Mer om regelverket:

I henhold til denne lovgivningen kan store selskaper bli straffet dersom en tilknyttet person (for eksempel en ansatt, agent eller et datterselskap) begår en svindelhandling som er ment å være til fordel for selskapet eller andre som den tilknyttede personen leverer tjenester til på vegne av selskapet. Dette vil gjelde uavhengig av om ledelsen i selskapet har eller har hatt kjennskap til handlingen. Loven får også anvendelse selv om selskapet og den tilknyttede personen er basert utenfor Storbritannia, og følgelig kan regelverket få betydning for norske virksomheter.

For å unngå straffeforfølgelse etter regelverket må selskapet kunne vise til at det foreligger «reasonable procedures defence» – altså at det på tidspunktet for bedrageriet forelå rimelige prosedyrer i selskapet for å forhindre at denne typen svindel skulle oppstå. Den britiske regjeringen forventes om kort tid å publisere en veileder som vil avklare begrepet før loven trer i kraft.