Før og etter Øiestad: Kort-saken som må få følger

 

Bloggpostene fra finansgruppen i Forbrukerrådet publiseres heretter bare hos forbrukerradet.no

http://www.forbrukerradet.no/annet/blogg/finans

– Banker, nemnd og domstol må riste av seg den rigide praksisen, hvor forbrukere ganske automatisk blir mistrodd når de nekter for å ha skrevet ned PIN-koden.

Nyheten om utfallet i Paal Øiestads sak mot DNB ble allment kjent på en pressekonferanse hos Forbrukerrådet onsdag 27. juni. DNB var kommet til den konklusjon at de hadde tatt feil når de hadde hevdet at Øiestad hadde vært grovt uaktsom i omgangen med kredittkort og PIN-kode. Banken beklaget overfor Øiestad – og tok ansvaret for utgiftene han har hatt i- som har pågått i mer enn 3 år.

Kort fortalt handler saken om familien Øiestad, som på høstferie i Roma i 2008 blir utsatt for lommetyveri – der bl a et kredittkort blir stjålet. Lommetyvene tapper kortet for 51.000 kroner. Det gikk 26 timer fra familien selv hadde brukt  kortet med PIN-kode, til tyvene tappet det. Ifølge data fra produksjonssystemene, var misbruket av kortet mulig fordi tyvene hadde tastet riktig PIN-kode på første forsøk. Da havnet familien Øiestad i en lei situasjon.

Banken, og senere flertallet i Finansklagenemnda og deretter Oslo tingrett,  fremhold at tyvene bare kunne ha tilegnet seg PIN-koden hvis Øiestad hadde koden skrevet opp og oppbevart i lommeboka, som ble stjålet.

Det var derfor banken, nemnda og tingretten mente t Øiestad hadde handlet grovt uaktsomt.

1. Fordi det tok lang tid (26 timer) fra PIN-koden var brukt av familien til tyvene gjorde bruk av den, har man automatisk utelukket at tyvene kunne ha spanet på Øiestads og lært seg koden, lenge før de fikk anledning til slå til. Ideen er at lommetyver ikke kan være tålmodig nok til å finne på å overvåke et potensielt offer over så lang tid.

2. Disse tre instansene mente også at informasjonen som registreres i produksjonssystemene, er ufeilbarlig. Når systemene har registrert at tyvene brukte riktig kode på første forsøk, så har det blitt forstått som den eneste, absolutte sannhet.

3. Bank, nemnd og tingrett mente at det har vært vanlig  blant forbrukere å oppbevare nedtegnelser av PIN-koden sammen med kortet. En støtte til denne forestillingen, er bl.a. en tilståelsesdom fra 2005, hvor en notorisk tyv, over frem år, hadde stjålet og misbrukt andres kort. Den samme tyven fortalte i tilståelsen sin at han lyktes med misbruket, fordi han også fant kodene i ofrenes lommebøkene og blan andre eiendeler. I tilståelsesdommen heter det også at : ”– Han kan ikke si noe om hvor ofte han fant PIN-koden sammen med kort, annet enn at det var veldig ofte”

Disse premissene er feil.

1. Selvsagt kan lommetyver være tålmodige. Det er rapportert både fra utlandet og her hjemme at tyver venter tålmodig på å slå til mot ofre, der kjenner PIN-koden, etter å kikket over skulderen når offeret brukte kortet.

2. Dernest har Øiestad-saken vist at kortselskapenes produksjonssystemer ikke er ufeilbarlige. Norges største bank snudde i Øiestad-saken nettopp på grunn av systemfeil. Under tingrettsbehandlingen var banken ufravikelig på at produksjonssystemet hadde slått fast at det var benyttet PIN-kode.

To dager før saken skulle opp i Lagmannsretten, kom banken til at det var 99  prosent sikkert at det ikke var benyttet PIN-kode. Men dataene i produksjonssystemet hadde ikke endret seg.

Hvordan skal noen kunne tro at det aldri forekommer systemfeil?

3. De tre navngitte instansene tar feil når de hevder at den eneste sannsynlige forklaring er at PIN-koden var skrevet ned og oppbevart sammen med kortet. Det er faktisk svært usannsynlig at noen gjør akkurat det. Dette er konklusjonen fra Forbrukerrådets kartlegging av forbrukeres tilbøyelighet til å skrive ned kode til kort. Resultatene viser at 85 prosent av kortholderne aldri har skrevet ned koden. Blant  det resterende mindretallet (de 15 prosent som faktisk skriver ned koden), er det knapt noen (1 prosent) som oppbevarer koden sammen med kortet.

Den nye kunnskapen, som kom med denne saken (hvor også denne undersøkelsen inngikk som en del), må få konsekvenser. Banker, nemnd og domstol må riste av seg den rigide praksisen, hvor forbrukere ganske automatisk blir mistrodd når de nekter for å ha skrevet ned PIN-koden.

Øiestad-saken viser jo at det er god grunn til å tro forbrukerne på deres ord.

Kortsvindel – mer enn huskelapper og bortforklaringer

Nå er vi gått lei av konstruerte forklaringer på årsakene til svindel med betalingskort. Sist ute er selveste politiet – foruten bankene selv:

I lørdagsutgaven av Dagbladet (28. april) kunne vi lese at Sentrum Politistasjon i Oslo og Bankenes Standardiseringskontor mener at USAs holdning til magnetstriper på betalingskortene er til hinder for at vi i Norge skal kunne ta nye skritt for å beskytte oss mot kortsvindel.

Dette likner en bortforklaring – og er derfor et budskap det er vanskelig å forsone seg med.

For et neste skritt i å beskytte oss mot kortsvindel er å fjerne magnetstripa. At USA, og sikkert andre land også, tviholder på denne stripa, skal ikke få bestemme at vi a) skal kunne ha trygge betalingsløsninger i forhold til våre egne holdninger til risiko og teknologi og at vi b) sammen kan anstrenge oss for at det skal bli så vanskelig som mulig å utøve organisert kriminalitet her til lands.

At mange nordmenn reiser til USA og finner det hensiktsmessig å bruke sine kort når de er der, skal ikke hindre oss i å ha tryggere betalingsløsninger eller treffe tiltak mot organisert kriminalitet. Det er fullt mulig å ivareta interessene til amerika-farerne og de andre forbrukere parallelt. Løsningene er såre enkle.

For det første kunne de som tilbyr betalingskort holde døra åpen for at forbrukeren skal kunne velge mellom kort med eller uten magnetstripe. De av oss som reiser til USA, bør da velge kort med magnetstripe. De av oss som aldri gjør det, skal kunne slippe – og dermed beskytte seg mot svindel. Hvis man skulle komme til å reise til USA, uten at dette har vært planlagt lenge, burde det vært mulig å bestille kort med magnetstripe – og ha dette som sitt sekundære kort.

Kortpushing forekommer i stort monn, så på dette området kan det ikke være mange tekniske hinder.

Men norske betalingskort burde, som en standard, være uten magnetstripe. Det for å demotivere (tilreisende og fastboende) kortsvindlere.

Hvis det er så mye om å gjøre for norske kortutstedere å ha kort med magnetstriper, burde det innføres geografiske sperrer, hvor kunden selv bestemmer hvor kortet skal kunne brukes. Det tilbyr allerede enkelte banker. Alle kort som utstedes i Norge burde ha slike sperrer, uavhengig av om det er med eller uten magnetstripe.

Kort som er utstedt i Norge, og som både har magnetstripe og den antatt sikrere microchipen, burde ha som standard at magnetstripen ikke fungerer innenlands. Tilreisende fra USA, eller andre land som er avhengig av å kunne bruke magnetstripe i Norge, bør kunne gjøre det. De vil uansett være så få i antall, at deres sporadiske bruk av minibanker neppe motiverer kortsvindlere til å raide Norge.

Det er videre mange minibanker som er plassert slik at det er vanskelig for kortbrukere å beskytte seg sjøl. Eiere av minibanker og betalingsterminaler bør være bevisste på hvor de plasserer dem rent fysisk. Minibankene og terminalene må ikke stå slik at det er lett innsyn til tastaturet eller lett å kikke kunden over skulderen.

De som eier betalingsterminalene og minibankene, burde vært motivert til å avskjære kortsvindlere. For å anspore tilbydere av betalingskort til ytterligere forbedringer, kan man tenke seg bøter for eiere av terminaler og minibanker som utsettes for svindel. Påtvungen driftskarens, merking av minibankene og terminalene som nylig har vært utsatt for svindel eller annen offentliggjøring, er andre tiltak.

I det hele tatt er det lett å tenke seg måter å gjøre det stadig vanskeligere for kortsvindlere. Den nasjonale viljen til å gjøre noe er et større hinder for kortsvindlere enn den praksis man har i USA.  

Det nyttige i Dagblad-artikkelen, er politiets beskrivelse av kortsvindlerne: Svindlerne omtales som smarte, og vi forstår de er velorganiserte. Dette burde velte den lettvinte forestillingen om at kortsvindel skyldes at forbrukere skriver ned PIN-kode på huskelapper, som oppbevares sammen med kortet. Det blir påstått, selv om forbrukerne protesterer og sannsynliggjør de ikke har bruk for huskehjelp. Denne vrangforestillingen rammer fortsatt forbrukere, som klager etter at kortet deres er blitt misbrukt.

Dette ønsker vi å gjøre noe med – og har derfor involvert oss i en rettssak som kommer opp på forsommeren.

Utgiftene forbundet med kortsvindel er en belastning for alle parter i samfunnet. I fjor beløp svindelen seg til 125 millioner kroner.

Vi trenger derfor tilbydere som videreutvikler sikkerheten – men kan klare oss uten konstruerte forklaringer som legger ansvaret på forbrukere for svindelen med kort.