Petter Alvsten

I en tid då det mesta sker digitalt finns det många nya möjligheter men tyvärr också en hel del fallgropar. Att göra affärer idag kräver i de flesta fall en ökad digital närvaro för att kunna möta nya krav och ta tillvara på möjligheterna som finns. En ökad exponering innebär dessvärre också en större risk att råka ut för bedrägerier och digital brottslighet. Under 2022 anmäldes uppemot 200 000 bedrägeribrott i Sverige, vilket är en ökning på över 50 procent jämfört med för bara ett årtionde sedan. Många av dessa typer av bedrägerier har funnits under lång tid, men digitaliseringen som skett över de senaste årtiondena har gjort det betydligt enklare för bedragarna och har lett till att företag blivit alltmer sårbara. Många har helt enkelt inte den rätta kunskapen, de rätta skydden eller säkerhetsrutinerna för att kunna hantera digitala angrepp och bedrägerier. Ett omfattande samhällsproblem Polismyndigheten har konstaterat att bedrägerier är en viktig inkomstkälla inom den organiserade brottsligheten och man förväntar sig att bedrägerierna kommer att fortsätta öka framöver. – Det rör sig om allt från enskilda aktörer till gängkriminella och organiserad brottslighet. Bedrägerier är ett av de viktigaste och mest lukrativa benen som dagens brottslingar står på, säger Anders Björkenheim, utbildare inom bedrägeriprevention. Bedrägeriproblemet har även lett till omfattande följder för samhället i stort med chockerande kostnader på 100 miljarder varje år – det är ca 2% av Sveriges BNP och mer än vad som läggs årligen på försvaret. Till råga på det så är denna typ av kriminell aktivitet också väldigt svårutredd. Polisen har vid ett flertal tillfällen rapporterat hur komplext det är att utreda bedrägerifall om de begåtts via digitala kanaler, detta då många bedragare enkelt kan hålla sig anonyma och i vissa fall befinner sig utanför Sveriges gränser. Några av de vanligaste bedrägerierna mot just företag är till exempel VD-bedrägeri, fakturabedrägeri och så kallat ”nätfiske”, eller ”phishing” som det också är känt som. Väldigt få av dessa bedrägerifall leder till åtal - vilket gör det ännu viktigare för företag att tänka proaktivt och stoppa bedrägerierna innan de uppstår. De vanligaste bedrägerierna och hur de går till De flesta bedrägerier går ut på att bedragare skickar någon sorts falsk kommunikation till en mottagare. Syftet är att på något sätt ”fiska” efter och stjäla information som sedan kan användas för att till exempel stjäla pengar, bedriva utpressning, förfalska dokument eller anta någons identitet. Det kan handla om manipulativa samtal, e-post, textmeddelanden och skadliga webbplatser som äventyrar säkerheten för den som interagerar med dem. Många av dessa metoder brukade vara mer primitiva och inte särskilt övertygande, men idag har till och med experter problem att urskilja falska meddelanden från legitima mejl- och textmeddelanden. Det finns många företag som fallit offer för detta, där intet ont anande mottagare bland annat fått falska meddelanden från företagets IT-avdelning, revisorer, VDn eller andra högt uppsatta personer i ledningen som uppmanar dem att logga in på skadliga sidor, ge ut känslig information eller ladda ned filer som ser ut att vara legitima. Speciellt oroväckande är också utvecklingen av artificiell intelligens (AI) som nu kan imitera personers röster nästintill perfekt och som har använts i bedrägeriförsök där bedragare med falska AI-genererade röster efterfrågat överföringar av företagstillgångar. Vad kan man som företagare göra för att undvika att bli bedragen? De kriminella elementen är uppfinningsrika och hittar ständigt nya sätt att bedriva bedrägerier mot både privatpersoner och företag. Att bara ha en schysst brandvägg och antivirus installerat räcker alltså inte för att stoppa alla skadliga bedrägeriaktiviteter online. Tacksamt nog så finns det ändå vissa saker som varje företagare kan göra för att stärka sin position och skydda sig och sitt företag mot det växande problemet. En självklarhet i dagens samhälle, men som är något som förvånansvärt nog fortfarande brister hos många företag, är att säkerställa tillräcklig IT-säkerhet. Se till att ha bra brandväggar, bra antimalware- och antivirus, lösenordshanterare, säkerhetskopior på viktiga data och mjukvara som svartlistar och filtrerar bort kända och misstänkta adresser och utskick. Ett enkelt och bra tips är att hålla koll på vad de vanligaste bedrägerierna faktiskt är, så att man enklare kan identifiera ett bedrägeriförsök när man väl exponeras mot det. Ta några minuter varje år och läs på om vilka nya risker företag ställs inför, då risklandskapet inom bedrägerivärlden förändras och utvecklas hela tiden. Ett tips är att hålla koll på polisens egen, och ofta uppdaterade, lista över vanliga nätbedrägerier. Håll utkik efter dåligt språk i mejl eller textmeddelanden, brådskande betalningskrav, småfel i mejladresser eller snarlika men felaktiga domännamn, till exempel företagsnamn.org istället för företagsnamn.se. Ibland kan avsändaren se helt äkta ut i ett e-postmeddelande men trycker man på ”svara” ser man istället bedragarens adress i adressfältet. Ett annat bra tips är att gå till sidor som allabolag.se för att kontrollera företagsuppgifter om bolag från avsändare du misstänker kan vara falska. Att utbilda företagets personal i vilka risker som finns och hur de ser ut minimerar risken avsevärt för att råka illa ut. Det räcker med att en enskild oförsiktig person klickar på fel länk eller ger ut information för att bedragaren ska kunna komma åt affärskritiska data. Det som kan vara en självklarhet för Karolina kanske inte är det för Kalle. Säkerställ att alla medarbetare har tydliga säkerhetsrutiner och regelverk för hur man ska hantera känslig information som de kan luta sig mot. Sammanfattningsvis Bedragare letar efter bristfälliga säkerhetsrutiner och spelar på individers rädslor och stress tills de hittar någon som inte är uppmärksam och råkar trycka fel – då kan ett enkelt misstag konsekvent bli väldigt kostsamt för det utsatta företaget. Bedrägeriprevention handlar alltså dels om att upprätta tillräckliga tekniska skydd i form av mjukvara men mycket handlar också om sunt förnuft och att helt enkelt behöva tänka sig för ett par extra gånger i digitala kanaler. Var uppmärksam, ha inte för bråttom och håll dig själv, dina kollegor och dina säkerhetsrutiner uppdaterade så räcker det långt. Om du dock blivit utsatt för bedrägeri så gäller det att vara snabb – spärra eventuella företagskort och spara all information om bedrägeriförsöket för att ge polisen en bättre chans att utreda fallet. //Petter Läs mer om UCs tjänster för att förhindra bedrägerier

I en värld där digitaliseringen ständigt ökar har vi sett alltfler dataintrång och digitala bedrägerier. Det har lett till en växande oro på EU-nivå rörande individens integritet och dataskydd, särskilt beträffande känslig finansiell information i digitala kanaler. PSD2 är ett betaltjänstdirektiv med mål att medföra enklare och säkrare betalningsflöden för konsumenter och företag i Europa när persondata delas mellan banker och företag. PSD2-direktivet börjades tillämpas 2018 och till följd gavs bankerna också uppdraget av EU-kommissionen att skapa dedikerade gränssnitt (API:er) åt företag som ett säkrare sätt för dem att komma åt persondata via bankerna - och börja komma ifrån mer osäkra dataåtkomstmetoder som t.ex. "screen-scraping". Men varför är det så viktigt att företag kan komma åt bankdata? Och vad innebär egentligen dataåtkomst via bank-API:er och screen-scraping? Anledningen till att företag vill ha tillgång till bankdata Nya tjänsteleverantörer som vill bygga bättre finansiella tjänster och produkter ser på den sortens kunddata som bankerna sitter på som ytterst värdefull och ibland helt väsentlig för deras affärsprocess. Dessa aktörer behöver alltså tillgång till specifika bankdata för att exempelvis kunna erbjuda: Enkla betalningar — snabba shoppingupplevelser digitalt Automatisk personlig rådgivning — överblick av utgifter Lånerådgivning — inkomstverifiering, kvar-att-leva-på-kalkyl i realtid, kreditbedömning Endast du själv kan ge tillåtelse för att ett företag ska kunna komma åt din bankdata, till exempel när du ska handla eller utföra diverse transaktioner online. Men när transaktionen sedan genomförs så kommer företaget att komma åt din bankdata med en av två metoder – Screen-scraping eller genom bank-API:er. Screen-scraping eller bank-API:er? Screen-scraping är ett sätt för tredjepartsleverantörer att få tillgång till din bankdata för att nyttja den på olika sätt. När exempelvis en konsument vill handla någonting online så behöver de först ange sina betalningsuppgifter vid köptillfället. Sedan, genom en mjukvara (en s.k. robot), imiteras personen i fråga och roboten kan komma åt bankdatan genom att logga in på personens konto för att utföra transaktionen. Hur fungerar istället API-kopplingar i det här sammanhanget då? Om vi använder föregående exempel med onlineshoppen så ser det inte speciellt annorlunda ut för slutanvändaren som shoppar runt på nätet... Men i bakgrunden så hanteras betalningsuppgifterna väldigt annorlunda. Istället för att tredjepartsleverantören får tillgång till inloggningsuppgifter via en robot och sedan loggar in i banken åt konsumenten, så sker istället kopplingen och datatransaktionen direkt mellan konsument och bank via API-kopplingen. Man slipper med andra ord alltså att dela och överlåta bankuppgifterna till en tredje part överhuvudtaget. Varför spelar det roll vilken metod som används? Screen-scraping ger en tredjepartsleverantör obegränsad tillgång till ditt bankkonto, vilket är riskabelt utifrån ett dataminimeringsperspektiv. Med hjälp av dina inloggningsuppgifter kan de i teorin, så ofta de vill, komma åt alla dina uppgifter utan din vetskap. Screen-scraping är inte heller en reglerad lösning, så om tredjepartsleverantören inte skyddar sin data ordentligt eller saknar lämplig datahantering så uppstår såklart en stor potentiell säkerhetsrisk. Att istället använda ett bank-API är enligt mig ett säkrare och mer transparent sätt för tredje parter att få tillgång till den data de behöver för sin affärsverksamhet. Genom en direkt API-koppling till en bank så säkerställs att tredjepartsleverantören endast kan komma åt den information du vill dela med dig av och endast under den tidsperiod som anges. Dessutom är åtkomst till bankkontoinformation eller initiering av betalningar via ett bank-API reglerade aktiviteter, vilket innebär att tredjepartsleverantören behöver en giltig licens för att kunna ta del av processen. Det blir därmed enklare för myndigheter att följa upp så att dataminimering tillämpas, att det finns en lämplig datahantering och att känsliga uppgifter skyddas på ett korrekt sätt. PSD2 i Sverige och vägen framåt I Sverige har integrationsskyddsmyndigheten inte kommit med riktlinjer kring hur aktörer specifikt måste hantera dataåtkomstmetoder ännu, men på EU-nivå har EBA (European Banking Association) tydliggjort att medvetna hinder för att använda API:er i enlighet med PSD2 inte kommer att tolereras. I till exempel Finland har myndigheterna redan satt ned foten för att minimera möjligheten att använda screen-scraping-metoden och det är inte omöjligt att vi inom en snar framtid börjar se liknande hårda riktlinjer i Sverige. Sammanfattningsvis PSD2-direktivet handlar alltså inte bara om innovation och att förse konsumenter med enklare och billigare finansiella tjänster utan en viktig aspekt av det hela är att även göra det på ett så säkert sätt som möjligt - utan att riskera den personliga integriteten. Då datasäkerhet är en grundpelare i vår affär på UC så ser jag verkligen fram emot att få se fler positiva steg mot en säkrare digital värld och jag kommer att hålla noga koll på utvecklingen av PSD2-direktivet här i Sverige. /Petter UC och PSD2 Är du som företagare intresserad av att läsa mer om hur PSD2 och UC kan hjälpa dig att ta bättre beslut? Då kan du läsa mer och kontakta oss på https://www.uc.se/psd2-och-open-banking/

Under 2020 anmäldes 213 000 bedrägeribrott vilket motsvarar 24 anmälningar i timmen. Närmare hälften av de anmälda bedrägeribrotten kopplas till organiserad brottslighet. Vi ser en skrämmande utveckling och ställer oss frågan: Hur hamnade vi egentligen här? Investeringsbedrägerier, annonsbedrägerier, bidragsfusk, social manipulation, lånebedrägerier, falska fakturor, fejkade telefonsamtal, romansbedrägerier. Ja, listan av olika typer av bedrägerier kan göras lång och för varje lösning som presenteras, ligger alltid bedragarna ett steg före och hittar på nya sätt att utnyttja systemet. Till vardags spenderar jag redan en hel del av min tid med att förstå mig på varje enskild typ. Jag tänkte därför idag passa på att ta ett steg tillbaka och reflektera över vad det är som ligger bakom den här utvecklingen. Det mest populära att peka ut som en orsak senaste tiden har varit covid-19. Nedstängningar, restriktioner och andra åtgärder att försöka förhindra spridningen av viruset har skapat press på människor och företag som resulterat i ett kaos vilket enkelt kan vara tillräckligt för att rationalisera ett beteendemönster som vanligtvis hade setts som oetiskt. En annan effekt har blivit en störning av existerande processer samt snabbt uppstartande av nya processer, vilket skapar nya möjligheter att direkt utnyttja människor och företag. Är det svaret på frågan eller finns det andra förklaringar? Sanningen är att antalet bedrägerier hade ökat långt innan åtgärderna mot covid-19 sattes in. Det finns inga enkla förklaringar men det finns förklaringar.Rent generellt brukar forskare nämna att bedragare har tre saker gemensamt: En ekonomisk press, en tydlig rationalisering samt en möjlighet att begå bedrägerier. När någon av dessa tre växer och blir större, resulterar det i att antalet bedrägerier kommer att öka. Sedan bankkrisen 2008 har antalet anmälda bedrägerier till polisen ökat stadigt medan fysiska brott som bankrån har minskat. Istället för att banker blir drabbade är det till större del privatpersoner som utsätt och bedragarna siktar för det mesta in sig på redan socialt utsatta grupper. Digitala kanaler ökar möjligheten Internet är en fantastisk uppfinning som sammankopplat människor och gett oss möjligheten att uträtta saker utan att vara fysiskt närvarande. En utmaning vi nu står inför är att även bedragare kan använda sig av fördelarna. De kan anonymt testa nya metoder utan någon som helst risk att åka fast och precis som ett vanligt företag skala upp och automatisera sin verksamhet när de hittat något som fungerar. En stor del av den bedrägliga internettrafiken kommer dessutom från andra länder, där den svenska polisen och myndigheter har svårt att hitta bedragarna och ställa dem inför rätta. Även i Sverige är det enklare än någonsin att använda sig av social manipulation för att lura av någon person pengar. Förr i tiden var du tvungen att ta dig till ditt lokala bankkontor och bli betjänad av en fysisk person för att göra en banköverföring eller ta ett lån. I dagens samhälle kan du på gott och ont snabbt och enkelt godkänna allt med ett fingeravtryck. Bedrägerifokus inom kreditgivning Även om jag hade velat kan jag inte lösa alla världens utmaningar utan väljer att fokusera på min och UCs expertis relaterat till kreditgivning och riskbedömning. Förutom att vi strategiskt utvärderar löpande vad vi kan göra för att motverka bedrägerier så sitter vi redan inne med en mängd tips och lösningar som är väl beprövade. För dig som privatperson: Var hela tiden uppmärksam på att det finns människor som vill lura dig. Skaffa en bevakningstjänst så att du märker om någon tar en kreditupplysning på dig. Om du utsätts för ett bedrägeri, se till att du sätter en bedrägerispärr för att undvika framtida bedrägerier. Tjänsten ID-skydd, hjälper dig om du har blivit utsatt förID-stöld och när någon exempelvis försöker ta lån i ditt namn. För dig som företag: Ställ dig frågan om syftet med transaktionen. Är den rimlig med tanke på bolagets storlek och verksamhet? Kan bolagets företrädare svara på frågor om bolaget? Kontrollera företagets webbadress på domainbigdata.com. Här kan du se om adressen nyligen är registrerad trots att företaget har funnits länge. Stämmer namnet med domänen? Bildgoogla företaget. Vi har hittat fall med restauranger som ska finnas på fjärde våningen i ett hyreshus! Använd UCs produktUC Detekt som bygger på statistisk riskberäkning och på enskilda regler. Där jämförs över 400 parametrar med varandra och avgör om informationen är falsk, inkonsekvent eller riktig. Får du träff i vårt verktyg behöver du gräva vidare och göra en grundligare undersökning av bolaget. På UC erbjuder vi svenska kreditgivare ett av världens mest kompletta kreditregister för kreditupplysningar på privatpersoner och vi hjälper redan kontinuerligt kreditgivare att utveckla sina kreditprocesser för att undvika kreditgivning till bedragare. Med vår PSD2-lösning erbjuder vi nya möjligheter att undvika bedrägerier och överskuldsättning. Det gör vi genom att verifiera kontohavare och aktuell inkomst samt att vi hämtar konto- och transaktionsdata. Som företag implementera BankID med QR-kod. (ny) Vi är intresserade att komma i kontakt med fler företag. Har du tankar eller upplever du utmaningar med bedrägerier som du vill dela med dig av så tveka inte att kontakta mig. /Petter

Den 14 september trädde det andra betaltjänstedirektivet PSD2 i kraft. För den som har missat det så medför PSD2 enklare betalningsflöden och tillgång till ny information för företag och konsumenter i EU. Anledningen till att PSD2 kom till var en önskan att standardisera betalningsflöden, skapa gemensamma betalningsstrukturer inom Europa och uppmuntra till ökad konkurrens inom finansverksamhet. I förlängningen är tanken att det även ska bidra till att utbudet av tjänster inom finanssektorn breddas och säkerheten för konsumenter förbättras och deras rättigheter stärks. Tillgång till transaktionskontoinformation, eller vad vi i folkmun kallar lönekonto, kommer bli viktig för den finansiella sektorn. Informationen är inte tillgänglig per automatik utan kan endast delges och processas med medgivande från ägaren av informationen, vilket i de flesta fallen är konsumenten själv. Många finansiella institut har tagit fram APIer för att tillgängliggöra informationen. Teknisk utmaning För bankerna har PSD2 varit både en regulatorisk och teknisk utmaning. Efter flera turer i EU enades man till slut om de tekniska och säkerhetsmässiga standarderna för åtkomst av informationen. En av de största utmaningarna för många länder har varit kravet på stark autentisering där vi i Sverige har fördelen att så många använder BankID. Enligt statistik från finansiell ID-teknik så: kommer 8 miljoner invånare att ha ett BankID under 2019 kommer ca 7,5 miljoner har ett Mobilt BankID har 97,5 procent av alla svenskar mellan 21 och 50 år ett eller flera BankID. Sverige och Norden ligger generellt i framkant med utbredda säkerhetslösningar och autentiseringsmetoder. Det gäller även när det rör sig om digitala finansiella tjänster riktade till både företag och konsumenter. Vad gör vi på UC? UC och Asiakastieto ligger också i framkant och har under en tid utvecklat en PSD2 tjänst. I tjänsten, som vi har tagit fram tillsammans med våra kunder, har vi identifierat flera intressanta förbättringsmöjligheter där informationen kan hjälpa till att fatta bättre beslut eller automatisera tidigare kostsamma manuella processer. Informationen som tillgängliggörs med stöd av PSD2 är förhållandevis generisk, men vi bedömer att informationen som ett komplement till våra befintliga tjänster, tillsammans med vår förmåga att hjälpa våra kunder analysera och kategorisera information, kan skapa stora värden för både våra kunder och deras slutkunder. Andra användningsområden En annan viktig och aktuell fråga där PSD2-data kan hjälpa är i att korrekt bedöma kassaflöde och kvar-att-leva-på kalkyl (KALP) . Den 23 september släpptes ny statistik på antal krav hos Kronofogden. Vad som är oroväckande är att antalet krav på större belopp mellan 100 000 – 500000 kronor ökat markant. För oss på UC är det viktigt att bidra till en sund kreditgivning och hjälpa våra kunder med rätt verktyg för att motverka felaktig utlåning eller överskuldsättning. Många finansiella institut har redan börjat fundera på hur den nya informationen kan komma till nytta för den egna verksamheten. Är du också nyfiken får du gärna kontakta oss så går vi igenom hur ni kan fatta bättre beslut och vara mer effektiva i er verksamhet. Läs mer om vår PSD2 lösning här! /Petter

I september 2019 måste alla Europeiska banker tillgängliggöra sina APIer för transaktionskonton och betalningsinitiering. Anledningen till detta är betaltjänstdirektivet PSD2, som trädde i kraft i början av 2018. Vi hjälper dagligen våra kunder att ta bättre beslut med automatiserad data genom att skapa beräkningar, analyser och riskmodeller. Sedan länge använder vi Machine Learning och andra moderna sätt för att konvertera data till insikt. Det är något vi vill utveckla ännu mer även i framtiden. Ett steg i den riktningen har vi redan tagit då vi utvecklar en ny digital tjänst som erbjuder tillgång till bankkontodata. Den nya tjänsten kommer förbättra kreditgivningsprocesser, kundupplevelser och minska risken för överskuldsättning. PSD2 innebär stora möjligheter att med konto- och transaktionsdata på helt nya sätt skapa värde för dig och din affär. Genom vår nya tjänst kommer både bankerna själva och tredje part betaltjänstleverantörer kunna få tillgång till viss bankkontoinformation med konsumentens samtycke. Hur kan PSD2 hjälpa mig? Är du exempelvis en bank eller låneförmedlare som idag behöver hämta in information från konsumenten om inkomster och utgifter, då kommer du ha stor nytta av denna tjänst. PSD2-data kommer att hjälpa er som kreditgivare eller låneförmedlare att lära känna dina kunder bättre och till högre grad automatisera era processer samt ta ännu bättre beslut baserat på ny data. Var med i utvecklingen av vår nya tjänst! Vår nya PSD2-tjänst kommer ge dig bättre automatiserade beslut i realtid. Vi har redan påbörjat pilottester med några av våra kunder i Finland och nästa steg är att utveckla tjänsten tillsammans med kreditgivare, låneförmedlare och banker på den svenska marknaden. Är du intresserad av att vara och utveckla PSD2 tjänsten tillsammans med oss, kontakta vår produktägare Henrik Bondesson henrik.bondesson@uc.se