Klarer vi å beskytte oss mot AI-drevet svindel?

En fersk rapport fra ACFE (Association of Certified Fraud Examiners), 2026 Anti-Fraud Technology Benchmarking Report, viser at få virksomheter er godt rustet til å avdekke og forebygge AI-drevet svindel, til tross for at trusselen forventes å øke kraftig. Denne artikkelen forklarer hva funnene betyr i praksis, og hvilke grep norske virksomheter kan ta for å styrke forebygging og frigjøre kapasitet i compliance- og granskingsteam.

Rapporten viser at kun 7 % av virksomhetene er mer enn moderat forberedt på å avdekke og/eller forebygge økonomiske misligheter drevet av AI (på en skala fra 1 til 5). Samtidig anerkjenner respondentene at omfanget av AI-drevne misligheter har økt, og de forventer at utviklingen vil fortsette.

Blant svindeltypene som særlig forventes å øke, fremheves AI-genererte og forfalskede dokumenter, deepfakes og svindel rettet mot forbrukere. Virksomhetene ser risikoene, men evner ikke i tilstrekkelig grad å implementere risikoreduserende tiltak. Dette skaper et tydelig beredskapsgap.

Beredskapsgapet handler først og fremst om gjennomføring, ikke mangel på interesse eller vilje. Å ta i bruk dataanalyser, AI, maskinlæring og andre teknologier i det forebyggende arbeidet beskrives som langt mer komplekst enn å bare «plugge inn et verktøy». Virksomhetene må vurdere nytte opp mot kostnad, sikre integrasjon med eksisterende systemer og prosesser, håndtere juridiske og regulatoriske krav, samt sørge for tilstrekkelig opplæring og kompetanse i organisasjonen.

Respondentene fremhever flere konkrete hindringer, blant annet begrensede budsjetter, utfordringer med datakvalitet og -integrasjon, mangel på kapasitet og kompetanse, samt sikkerhetsmessige og juridiske hensyn. Mange står i et krevende valg: Skal de være tidlig ute, eller vente til teknologien er mer moden? Og hvilke leverandører kan de stole på i kritiske prosesser?

Det klassiske trusselbildet, med falske fakturaer, leverandørsvindel og identitetstyveri, får nå et nytt lag når identiteter, dokumenter og kommunikasjon kan manipuleres på en mer overbevisende måte. Når både volum og kvalitet på svindelforsøkene øker, blir presset på varslingskanaler, økonomifunksjoner og gransking større. Konsekvensen kan bli flere falske positiver, lengre saksbehandlingstid og økt risiko for å overse de mest alvorlige sakene.

Det er ikke mangel på vilje til å ta i bruk teknologi. Rapporten viser at én av fire virksomheter allerede bruker AI og maskinlæring i analysearbeidet, og 28 % forventer å ta det i bruk i løpet av de neste to årene.

Samtidig peker rapporten på betydelige utfordringer knyttet til styring, etterprøvbarhet og kontroll. Mens 82 % mener at forklarbarhet og sporbarhet er avgjørende i bruken av generativ AI, er det kun 6 % som føler seg trygge på å forklare hvordan AI- og maskinlæringsmodeller tar beslutninger i forebyggingsarbeidet. Videre mener 75 % at det er viktig å hensynta bias, men bare 18 % tester modellene sine for bias og rettferdighet.

For compliance- og internkontrollfunksjoner er det grunnleggende å kunne dokumentere hvorfor en sak er flagget, hvilke data som er brukt, hvilke kontroller som er gjennomført og hvordan kvalitet overvåkes over tid. Dersom testregimer og kontrollspor ikke henger med, og det i tillegg er vanskelig å forklare hvordan AI-modellen fungerer, kan AI-prosjektet strande.

Et av de mest praktiske funnene i rapporten handler ikke om avanserte teknologier, men om automatisering. Kun 29 % av virksomhetene automatiserer rutineoppgaver i gransking og forebygging av økonomisk kriminalitet. Samtidig beskrives automatisering som et naturlig første steg på veien mot generativ og agentisk AI, fordi det frigjør tid til komplekse vurderinger som må gjøres av mennesker.

Dette samsvarer med hvordan mange allerede bruker generativ AI i dag, for eksempel til avdekking av phishing-forsøk, risikoidentifisering og -vurdering, samt rapportskriving. De fleste starter der arbeidsflyten og dokumentasjonen er tung, og hvor små effektivitetsgevinster gir stor avlastning.

Typiske oppgaver som bør automatiseres først, er oppgaver som er repetitive, regelstyrte og enkle å kvalitetssikre, som:

• Saksopprettelse og automatisk innhenting av data
• Prioritering av saker basert på risikoregler og terskler
• Automatisk logging av databruk, kontroller og beslutningsgrunnlag
• Generering av rapportutkast og sammendrag
• Standardiserte maler og automatisk oppfølging av frister

Etter hvert kan ambisjonsnivået økes gjennom mer automatiserte beslutningssteg og bruk av agentisk AI. Rapporten viser at over 30 % av virksomhetene planlegger å ta i bruk agentisk AI i løpet av de neste to årene.

Rapporten peker på budsjettbegrensninger, datakvalitet og kompetansemangel som sentrale hindringer for å ta i bruk AI i forebygging av svindel og økonomisk kriminalitet. Samtidig forventer over halvparten av respondentene at teknologibudsjettene vil øke fremover.

Dette indikerer at virksomhetene ønsker å investere, men også at det er avgjørende å investere riktig, i tiltak som er forankret i eksisterende prosesser og i tråd med interne og regulatoriske krav.

Når kun 7 % av virksomhetene føler seg godt forberedt på å håndtere AI-drevne misligheter, er ikke spørsmålet om man skal gjøre noe, men hva man bør gjøre først. Et viktig første steg er å bygge kontroll og kapasitet gjennom automatisering, og ta i bruk AI der effekten er målbar og dokumenterbar.