Svindelrisiko – ny høyesterettsdom illustrerer betydningen av bedrifters internkontroll

38-40

Administrerende direktør i et norsk datterselskap av et stort internasjonalt energikonsern (Edison) ble lurt av svindlere til å overføre ca. kr 130 millioner til svindlernes konti i Hong Kong. Edison krevde tapet erstattet av banken som gjennomførte betalingene.* Banken var den norske filialen av Danske Bank A/S. Høyesterett frifant banken.* Høyesteretts dom av 31. mai 2024, HR-2024-990-A.*Forfatterne er del av teamet i advokatfirmaet Wiersholm som prosederte den her omhandlede saken for Høyesterett på vegne av banken.

Advokat (H) ph.d.
Olav Fr. Perland

Partner Advokatfirmaet Wiersholm AS

Advokatfullmektig
Martin Jonassen

Advokatfirmaet Wiersholm AS

Dommen viser at håndtering av risiko for svindel knyttet til betalinger som bedriften selv har godkjent, er bedriftens eget ansvar. Dommen innebærer at det er opp til bedriftens egen internkontroll å forhindre svindel ved såkalt sosial manipulasjon, slik som direktørsvindel, fakturasvindel, investeringssvindel mv.

Svindelen

En høstmorgen i 2019 mottok administrerende direktør i Edison Norge en e-post tilsynelatende fra konsernsjefen i Edison i Milano. Dette var introduksjonen til en svindelprosess som lurte ledelsen i Edison Norge til å overføre store verdier til svindlerne. Svindlerne «spoofet» e-postadressen, slik at avsenderen fremsto autentisk. På perfekt italiensk ba «konsernsjefen» om den norske direktørens hjelp i forbindelse med et angivelig topphemmelig (børssensitivt) oppkjøp i Kina.

Edisons engelske datterselskap ble utsatt for et parallelt og identisk svindelforsøk den samme høstmorgenen i 2019. Administrerende direktør i det engelske selskapet valgte imidlertid umiddelbart å ringe den ekte konsernsjefen for å forsikre seg om at instruksen kom fra ham. Der endte svindelforsøket mot det engelske datterselskapet. Konsernledelsen unnlot å varsle andre selskaper i konsernet om dette svindelforsøket.

Administrerende direktør i Edison Norge bet imidlertid på. Han stilte seg til «konsernsjefens» disposisjon.

Fordi oppkjøpet angivelig var hemmelig innsideinformasjon, instruerte «konsernsjefen» om at kommunikasjonen i hovedsak måtte gå gjennom konsernets italienske advokat, og ikke røpes for noen andre i konsernet. «Advokaten» var i realiteten en av svindlerne. Direktøren kommuniserte med svindler-advokaten på både e-post og telefon. Han både snakket og skrev perfekt italiensk.

Sammen overbeviste svindlerne daglig leder i Edison Norge til å gjennomføre i alt 13 betalinger til konti i Hong Kong. Alle betalingene fulgte det samme mønsteret: Norgessjefen mottok falske fakturaer fra svindlerne. Han finansierte betalingene gjennom såkalte «cash calls» – anmodninger om pengeoverføringer – til morselskapet i Italia. Det var flere brudd på konsernets interne rutiner for slike betalingsanmodninger. Morselskapets økonomiavdeling overførte likevel penger til det norske datterselskapet. Til slutt sendte den norske administrerende direktøren skriftlige betalingsinstrukser til banken i Norge per e-post for betalinger til svindlernes konti i Hong Kong. Banken hadde intet innsyn i daglig leders kommunikasjon med svindlerne eller den interne behandlingen hos Edison.

Også finansdirektøren i det norske datterselskapet var aktiv i sin pågang overfor banken for å sikre at overføringene ble raskt gjennomført i tråd med administrerende direktørs betalingsinstrukser. Et par medarbeidere i det norske datterselskapets økonomiavdeling stilte internt kritiske spørsmål om transaksjonene til finansdirektøren, men ble avfeid med at dette var et ønske fra konsernledelsen. Ingen i det norske datterselskapet var kjent med konsernets interne varslingsrutiner. Finansdirektøren ble imidlertid til slutt så bekymret at han ringte den ekte konsernsjefen. Dermed ble det hele oppdaget. Dette var imidlertid først etter 18 dager og 13 utbetalinger.

De to italienske svindlerne som spilte rollene som advokat og konsernsjef, ble arrestert i Israel og dømt for svindelen i Norge. Pengene er i hovedsak tapt.

Bankens forhold

Bankens kundebehandlere var i omfattende kontakt med både administrerende direktør (skriftlig pr. e-post) og finansdirektøren (på telefon og SMS) ved betalingene. Det fremstod dermed som utvilsomt at det var kunden selv som instruerte betalingene, og at disse var viktige for kunden å få gjennomført.

Banken hadde omfattende elektroniske og manuelle systemer for å motvirke svindel. Banken hadde også et gjennomarbeidet rutineverk og en betydelig organisasjon for dette formålet.

Et særlig forhold i denne saken var imidlertid at akkurat Edison Norge var koblet fra bankens elektroniske svindelovervåkning. Dette hadde skjedd i 2015 og hadde ikke tilknytning til svindelen. Ved en tilfeldighet ble likevel den første betalingen plukket ut for manuell kontroll i bankens svindelavdeling. Etter å ha fått konstatert at betalingen var lagt inn manuelt av kunden selv, slapp svindelkontrollen betalingen igjennom. Sentrale spørsmål i saken ble om det var erstatningsbetingende uaktsomt av banken å ha unntatt kunden fra elektronisk svindelkontroll, og om den manuelle kontrollen ved den første behandlingen var tilfredsstillende.

Det var også spørsmål i saken om banken burde ha fanget opp svindelen gjennom sine rutiner for hvitvaskingskontroll.

Har banken ansvar når kunden selv har samtykket til betalingen?

Edison saksøkte banken med krav om erstatning. De anførte to hovedgrunnlag for at banken var erstatningsansvarlig.

For det første påberopte Edison at norgessjefen ikke hadde gitt tilstrekkelig samtykke til betalingene. I henhold til finansavtaleloven har bankene et objektivt ansvar for betalinger som kunden ikke har samtykket til («uautoriserte betalinger»).*Någjeldende finansavtalelov (2020) § 4-30 og dagjeldende finansavtalelov (1999) § 35. Skoleeksempelet på en slik «uautorisert betaling» er Bank-ID-svindel, der svindlerne uten offerets kunnskap disponerer over kontoen ved bruk av offerets Bank-ID. Edison anførte at betalingene her måtte regnes som uautoriserte fordi det var avtalt at betalinger i banken måtte skje med godkjennelse fra to personer i selskapet (dobbel autorisasjon), mens betalingene i saken bare formelt var gitt av daglig leder alene.

For det andre påberopte Edison at banken uansett hadde opptrådt uaktsomt, derunder ved unnlatelsen av elektronisk svindelkontroll og angivelig feil i den manuelle kontrollen av den første betalingen. Selv dersom betalingene var autoriserte, anførte Edison at banken burde ha advart mot at det kunne være svindel eller unnlatt å foreta betalingene. Noen slik omsorgsplikt følger ikke direkte av finansavtaleloven. Ansvaret vil da bero på det alminnelige uaktsomhetsansvaret og det såkalte profesjonsansvaret. Spørsmålet var prinsipielt: Kan en bank være erstatningsansvarlig for svindel til tross for at kunden utvilsomt har godkjent betalingen?

Det er grunn til å fremheve at saken gjelder bankers ansvar overfor en næringsdrivende kunde. Høyesterett tok ikke stilling til bankenes eventuelle omsorgsplikter overfor forbrukerkunder når kunden har godkjent betalingene.

Spørsmål om risikofordeling

Skillet i finansavtaleloven mellom uautoriserte betalinger, som banken i hovedsak har risikoen for, og autoriserte (godkjente) betalinger, som kunden selv i utgangspunktet har risikoen for, følger av EUs betalingsdirektiver (PSD1 og senere PSD2).

Grunntanken synes å være at risiko som knytter seg til selve betalingssystemet som sådant (derunder BankID som bankene har utstyrt kundene med), er det bankene som er nærmest til å ha kontroll over og bære risikoen for. Slik risiko gir seg utslag i at betalinger gjennomføres uten at kunden har samtykket til dem (uautoriserte betalinger). Risiko som knytter seg til betalingsbeslutningene, er det kunden selv som er nærmest til ha kontroll over og bære risikoen for. Denne risikoen slår til nettopp ved at kunden selv samtykker til betalingen (autorisert betaling). Kundens risiko for feil betalingsbeslutninger kan begrenses gjennom kundens internkontroll.

I denne saken knyttet svindelen seg til manipulasjon av daglig leder til å beslutte store betalinger på uriktig grunnlag. Dette er i hovedsak et spørsmål om forhold som kunne vært forhindret ved bedriftens egen internkontroll. Et eventuelt ansvar for banken for slike forhold ville i realiteten medført at bankene ville ha en plikt til å bidra til bedriftenes internkontroll av svindelrisiko.

Høyesterett frifant banken

Alle rettsinstanser kom til at Edison hadde samtykket til betalingene, slik at banken ikke var ansvarlig i henhold til finansavtalelovens ansvarsregler for uautoriserte betalinger. Betalingene ble ikke ansett som uautoriserte.

Likevel mente både tingretten og lagmannsretten at banken burde ha forstått at det kunne være tale om svindel, og ha advart Edison mot svindelrisikoen. Underinstansene la særlig vekt på bankens unnlatelse av elektronisk svindelovervåkning av betalingene, og at banken som ledd i den manuelle kontrollen av den første betalingen, ikke tok kontakt med Edison Norge for å ta opp svindelrisikoen med dem direkte. Erstatningen ble likevel av underinstansene satt ned til 25 % av tapet på grunn av Edisons egen uaktsomhet.

Høyesterett slo imidlertid enstemmig fast at banken ikke hadde opptrådt uaktsomt. Det sentrale spørsmålet for Høyesterett var om banken i det hele tatt hadde noen plikt overfor Edison Norge til å beskytte dem mot svindel ved betalinger de selv har godkjent. Dersom banken ikke hadde noen slik plikt, ville det heller ikke være uaktsomt av banken å unnlate dem fra elektronisk svindelovervåkning av betalinger kunden har godkjent. Likeså ville det da heller ikke være uaktsomt ved den manuelle svindelkontrollen å slippe betalingene igjennom så snart det ble avklart at kunden hadde godkjent dem.

Om forholdet til hvitvaskingsreglene uttalte Høyesterett som utgangspunkt at en «bankkunde som er blitt utsett for bedrageri, vil etter mitt syn ikkje kunne tufte eit skadebotkrav aleine på grunnlag av brot på kvitvaskingsreglane».*HR-2024-990-A avsnitt (79).

Dommen avklarer at en bank bare unntaksvis vil være ansvarlig for svindel når kunden selv har godkjent den aktuelle betalingen. Banken ble frifunnet og tilkjent fulle saksomkostninger for alle instanser.

Prinsipiell uttalelse om ansvar for unnlatelser ved rene formuestap

Høyesterett uttalte følgende på prinsipielt grunnlag:

«Det er tale om eit reint formuestap. Samstundes er den påståtte skadevaldande handlinga ei unnlating som ikkje er knytt til ein risiko som banken har skapt. Om ein tek utgangspunkt i aktløysevurderinga utanfor kontrakt, kan skadebotansvar då berre vera aktuelt dersom det ligg føre eit brot på ei etablert handlenorm.»*HR-2024-990-A avsnitt (58).

Høyesterett påpekte deretter at oppdragsavtalen vil stå sentralt i ansvarsvurderingen i kontraktsforhold. Spørsmålet ble om ansvaret kunne forankres i plikter i kontrakten mellom banken og Edison, og dels om det forelå andre «etablerte handlingsnormer» som banken hadde brutt. Etter en nærmere gjennomgang av både kontrakten og bestemmelser i lov, forskrift, direktiver og bransjepraksis kom Høyesterett til at det ikke forelå noen slik etablert handlingsnorm som banken hadde brutt. I fravær av slike etablerte handlingsnormer kunne heller ikke eventuelle brudd på bankens interne rutiner (som ikke var gjort kjent for kunden) i seg selv gi grunnlag for ansvar. Banken ble derfor frifunnet.

Høyesteretts metodiske tilnærming skilte seg prinsipielt fra tilnærmingen hos tingretten og lagmannsrettens flertall i saken. Underinstansene hadde vurdert bankens handlingsnormer ut fra friere vurderinger av hvordan domstolene mente banken burde ha handlet. Høyesteretts dom er etter vår oppfatning en klar retningslinje som begrenser domstolenes normative frihet til implisitt å pålegge profesjonsutøvere plikter som ikke er tilstrekkelig forankret i «etablerte handlingsnormer».

Dette kan etter vår oppfatning også få betydning for blant annet revisorers og regnskapsføreres ansvar. Dette gjelder særlig for feil eller risikofaktorer hos kunden som de overser, og som faller utenfor kjernen av deres oppdrag.

Betydningen av internkontroll

Høyesteretts dom innebærer at det var kunden selv som måtte bære risikoen for tapet ved svindel gjennom betalingene den hadde godkjent. Det er dermed også bedriftene selv som må påse at de beskytter seg mot risiko for svindel som leder til uriktige betalingsbeslutninger.

Det ble i saken avdekket en rekke svakheter i kundens internkontroll, både i det norske selskapet og i konsernet internasjonalt. Dette gjaldt både implementering av, bevissthet om og overholdelse av ulike internkontrollrutiner. Bedre innarbeidelse av og kunnskap om varslings- og kontrollrutiner ville sannsynligvis ha begrenset risikoen for svindel vesentlig hos kunden. Saken illustrerte klart betydningen av bevissthet, åpenhet og kultur for kritiske vurderinger i bedriften.

Den (ekte) konsernsjefen i Edison uttalte i retten at de hadde gode rutiner for å forhindre intern svindel, men at de for ekstern svindel belaget seg på beskyttelse fra sine leverandører, slik som banker. Høyesteretts dom illustrerer at dette var en risikabel og misforstått tilnærming for bedriftens internkontroll.

Svindel gjennom sosial manipulasjon er en form for kriminalitet som er i stadig vekst, og som utgjør en økende trussel mot både næringsdrivende og forbrukere. Samtidig øker de kriminelles muligheter til å manipulere sine ofre betydelig gjennom nye digitale virkemidler ved bruk av kunstig intelligens. I dag har svindlere tilgang til mer sofistikerte virkemidler til å lure ansatte og ledere til å foreta betalinger på uriktig grunnlag enn de hadde i 2019, som saken i Høyesterett gjelder.

De færreste er immune mot sosial manipulasjon. Det vil derfor alltid være en risiko for at en ansatt i bedriften lar seg svindle. Høyesteretts dom avklarer altså at dette i hovedsak er bedriftens egen risiko.

Indirekte illustrerer dommen dermed betydningen av ledelsens ansvar for internkontrollen i virksomheten, jf. aksje- og allmennaksjeloven §§ 6-12 til 6-14. I henhold til § 6-13 tredje ledd skal styret besørge at selskapets «formuesforvaltning er gjenstand for betryggende kontroll». Bedriften må ha og følge opp interne rutiner som hindrer eventuelle svindelforsøk. I stor grad vil de samme rutinene som forebygger underslag eller korrupsjon, også være egnet til å avverge svindelforsøk. Edison-saken er en viktig påminnelse til bedrifter om betydningen av slik internkontroll.