Svindel og misbrug med digitale betalinger i Danmark

Når danske borgere eller virksomheder køber varer og tjenester i en butik eller på internettet, så sker det i stigende grad med digitale betalingsløsninger som betalingskort og mobiltelefonen. Det er både sikkert og nemt at betale med betalingskort, men indimellem lykkes det svindlere at foretage betalinger uden kortholderens godkendelse. Det kan fx skyldes, at kortholderen har fået stjålet sit betalingskort, efter at svindleren har afluret pinkoden, eller at svindleren har tilegnet sig kortoplysningerne, fx ved at franarre kortholderen dem via betalingslink på SMS eller ved betaling på en falsk netbutik.

Det samlede registrerede misbrug med betalingskort udstedt af danske pengeinstitutter var i 2023 ca. 294 mio. kr., se figur 1.⁴ Misbruget var fordelt på ca. 232.000 misbrugsrelaterede kortbetalinger. Det giver en gennemsnitlig misbrugsværdi pr. betaling på knap 1.300 kr. Den samlede misbrugsværdi skal ses i sammenhæng med, at den totale kortomsætning i 2023 var ca. 800 mia. kr. Dermed var kortmisbruget i gennemsnit 369 kr. pr. omsat mio. kr.

Misbruget med betalingskort har i en længere årrække været faldende. Det hænger i høj grad sammen med nye sikkerhedsforanstaltninger og nye europæiske regler for godkendelse af betalinger, se boks 1. Derudover var både 2020 og 2021 præget af omfattende nedlukninger af samfundet som følge af corona-pandemien, hvilket gjorde det svært for svindlere at aflure pinkoder og stjæle fysiske betalingskort. Siden 2021 er kortmisbruget dog steget, hvilket både kan skyldes, at borgerne handler mere på udenlandske hjemmesider, og at svindlerne har fundet nye metoder til at få adgang til borgernes betalingskort.

I en international sammenhæng er det relative kortmisbrug lavere i Danmark end i resten af Europa. I 2021, hvor misbruget for betalingskort senest blev opgjort på tværs af Europa, var den danske misbrugsandel 0,20 promille, mens det europæiske gennemsnit var 0,26 promille, se figur 2. Det relative kortmisbrug er dog steget i Danmark siden 2021. En lignende tendens er observeret i Sverige.⁵

Størstedelen af misbrug med danske betalingskort sker i udenlandsk e-handel

Misbrug med danske betalingskort sker hovedsageligt på udenlandske hjemmesider, se figur 3. I 2023 var det samlede misbrug med dansk udstedte betalingskort i udenlandsk e-handel 219 mio. kr., svarende til ca. 75 pct. af det samlede kortmisbrug.

Der kan være flere årsager til, at betalingskort i højere grad bliver misbrugt på udenlandske hjemmesider. En af årsagerne er, at kravene om tofaktor-godkendelse ved betalinger ikke gælder uden for EØS.⁶ Det muliggør misbrug af danske betalingskort uden kortholderens godkendelse, hvis svindlerne har fået kendskab til betalingskortoplysningerne og den udenlandske hjemmeside ikke har indført lignende sikkerhedsforanstaltninger til godkendelse af betalingen.

I 1. halvår 2023 foregik knap halvdelen af det samlede kortmisbrug i udlandet uden for EØS, selvom mindre end en femtedel af den samlede udenlandske omsætning med danske betalingskort blev foretaget i området. Dermed er det relative kortmisbrug med danske betalingskort markant højere uden for Europa end i Europa og især i forhold til Danmark, se figur 4.

Svindlernes metoder til at franarre betalingskortoplysninger

Svindlerne benytter bl.a. falske netbutikker til at få adgang til borgernes eller virksomhedernes kortoplysninger. Det sker fx, ved betaling på en falsk netbutik i forventning om at modtage en vare eller ved kortbetalinger i forbindelse med falske investeringsmuligheder. Se flere eksempler i boks 2.

Svindlerne bruger også i høj grad såkaldt phishing og smishing, hvor svindlerne ved hjælp af henholdsvis e-mail eller SMS franarrer betalingskort- og personoplysninger. Det sker fx, ved at svindlerne udgiver sig for at være fra banken eller danske myndigheder.⁷

Svindlernes metoder gør det vanskeligt at bekæmpe svindlen og kortmisbruget, idet borgerne selv oplyser kortoplysningerne og i nogle tilfælde også godkender betalingen. Svindlerne har dermed mulighed for både at modtage den oprindelige betaling og anvende kortoplysningerne til at foretage andre køb eller transaktioner. Reglerne for tofaktor-godkendelse begrænser dog umiddelbart svindlernes mulighed for at foretage yderligere opkrævninger inden for EØS, hvilket kan være med til at forklare, hvorfor den relative svindelværdi er større uden for EØS, se figur 4.

Geografisk sikkerhed kan begrænse misbrug med betalingskort i udlandet

Nogle betalingskort tillader såkaldt geografisk sikkerhed. Det betyder, at borgerne og virksomhederne kan vælge, at kortet ikke kan anvendes til betalinger i specifikke geografiske områder eller bestemte betalingssituationer som fx internethandel eller kontanthævninger. Dermed hindres muligheden for misbrug med betalingskortet i bestemte geografiske områder eller betalingssituationer, hvor borgerne typisk ikke anvender kortet. Det gælder fx internethandel uden for Europa. Hvis en borger eller virksomhed på et senere tidspunkt alligevel har behov for at kunne betale i et spærret område eller i en spærret betalingssituation, kan spærringen typisk hæves midlertidigt eller permanent via net- eller mobilbank.

Det er imidlertid ikke alle korttyper, som understøtter geografisk sikkerhed. Det skyldes bl.a., at flere kortudstedere ikke tilbyder spærringsmuligheden, og at kendskabet til geografisk sikkerhed blandt befolkningen er begrænset. Øget brug af geografisk sikkerhed vurderes at kunne reducere misbruget med betalingskort, men det kræver en bredere udbredelse af løsningen på tværs af både korttyper og kortudstedere.

Kortmisbruget i Danmark er lavt, både i fysisk handel og på internettet

Omfanget af misbrug med betalingskort i Danmark er relativt lavt. I 2023 var den samlede misbrugsværdi i Danmark 56 mio. kr. Heraf blev ca. 40 pct. foretaget på internettet, mens den resterende del foregik i fysisk handel og i hæveautomater, se figur 3. Dermed adskiller misbruget med betalingskort i Danmark sig særligt fra udlandet, ved at misbrugsværdien i dansk internethandel er på et lige så lavt niveau som fysisk handel. I 2023 var den relative misbrugsandel for både internethandel og fysisk handel ca. 0,1 promille. Den lave andel understreger, at betalinger i Danmark er meget sikre.

Den høje grad af sikkerhed skyldes både, at betalingskort er sikre og svære at forfalske, og at kortselskaberne og pengeinstitutterne løbende har udviklet og implementeret effektive realtidsmekanismer til at identificere mistænkelige transaktioner. Som følge heraf skyldes stort set alle misbrugstransaktioner i fysisk handel i Danmark, at borgerne har tabt eller fået stjålet deres betalingskort.⁸

Kortbetalinger med mobiltelefonen har givet svindlerne nye muligheder

Danmark er et af de mest digitaliserede lande i verden på betalingsområdet, hvor ca. 9 ud af 10 betalinger i fysisk handel sker digitalt.⁹ Den høje grad af digitalisering giver dog også svindlere nye betalingsmuligheder, som ikke nødvendigvis er lige så udbredte i andre lande. Det gælder fx kortbetalinger via mobilen, de såkaldte wallet-betalinger som Apple Pay eller Google Pay, der er udbredte i Danmark.

Wallet-betalinger har gjort det muligt, at de kriminelle kan digitalisere stjålne betalingskortoplysninger på deres egne mobiltelefoner. Derudover er en særlig udfordring med wallet-betalingerne, at hvis det lykkes svindlerne at få digitaliseret et stjålet betalingskort, giver det adgang til at trække penge på den tilhørende betalingskonto uden kendskab til pinkoden. Det skyldes, at svindlerne selv kan godkende betalingerne med egen mobilkode eller ansigtsgodkendelse frem for kortets tilhørende pinkode.¹⁰

Digitalisering af et stjålet betalingskort er dog vanskelig, fordi det også kræver godkendelse fra kortejeren med MitID. Derudover forhindrer både pengeinstitutterne og kortselskaberne en stor del af de forsøg, som svindlerne foretager. Misbrug med wallet-betalinger skyldes derfor typisk, at borgerne har været udsat for identitetstyveri¹¹, eller at svindleren har manipuleret borgeren til at godkende digitaliseringen af betalingskortet på svindlerens mobiltelefon.

Siden 2021 er værdien af kortmisbruget i dansk fysisk handel fordoblet til godt 14 mio. kr. Det skyldes i høj grad, at den gennemsnitlige transaktionsværdi er steget, og at svindlerne i stigende grad lykkes med at betale uden brug af pinkode, fx ved brug af wallet-betalinger, se figur 5 og figur 6.

Stigningen i misbrugsværdien uden brug af pinkode skal særligt ses i lyset af, at det før introduktionen af mobile wallet-betalinger ikke var muligt at foretage kortbetalinger i fysisk handel over 350 kr. uden brug af pinkode, se boks 1. Wallet-betalingerne har dermed isoleret set muliggjort, at svindlerne kan misbruge stjålne betalingskortoplysninger til større transaktionsværdier uden kendskab til pinkoden, hvis de får digitaliseret betalingskortet.

Misbrug med wallet-betalinger kan desuden være vanskelig at opdage for både borgerne og pengeinstitutterne, da betalingerne typisk ligner almindelige hverdagstransaktioner, når de fremgår i netbanken. Derudover mister borgerne ikke et fysisk betalingskort, hvilket betyder, at der i nogle tilfælde kan gå lang tid, før misbruget bliver opdaget.

Svindlernes muligheder for svindel og misbrug med overførsler fra bankkonti har ændret sig de senere år. Det skyldes dels, at borgere og virksomheder i større grad selv foretager overførsler uden direkte involvering af banken, fx ved hjælp af mobil- eller netbank, dels at befolkningen i større grad benytter digitale betalingsløsninger, som anvender kreditoverførsler til at gennemføre betalingerne, fx MobilePay.

Til forskel fra misbrug med kortbetalinger er økonomisk kriminalitet forbundet med kreditoverførsler typisk relateret til økonomisk svindel, hvor borgere eller medarbejdere manipuleres til at gennemføre overførslen. Det betyder også, at svindel med kreditoverførsler ikke nødvendigvis er forbundet med en betalingssituation.

Derudover adskiller svindel med kreditoverførsler via mobil- eller netbank sig også fra betalingskort, ved at betalingskort kun er knyttet til én specifik konto, samtidig med at både kontanthævninger og løbende forbrug med betalingskort typisk er beløbsbegrænset. Lykkes det derimod svindleren at få adgang til netbanken, evt. med manipuleret godkendelse fra den svindelramte, er det muligt at gennemføre kreditoverførsler fra flere konti og samtidig tømme dem eller foretage overtræk, hvis kontoen tillader det.

Bankerne lykkes i de fleste tilfælde med at forhindre svindlen. Alligevel har den samlede værdi af svindel gennemført med kreditoverførsler været stigende og var i 2023 ca. 333 mio. kr., se figur 7. Det er stort set på niveau med værdien for kortmisbrug, som i samme periode var ca. 294 mio. kr. Til forskel fra kortmisbrug blev der dog registeret markant færre, men gennemsnitligt større svindeltransaktioner. I 2023 blev der registreret ca. 9.400 svindelrelaterede kreditoverførsler med en gennemsnitlig værdi på ca. 35.300 kr. Til sammenligning var den gennemsnitlige misbrugsværdi med kortbetalinger knap 1.300 kr. i 2023, se kapitel 2.

Ifølge tal fra bankernes interesseorganisation, Finans Danmark, er det særligt borgerne, som bliver ofre for svindel med kreditoverførsler: I første halvår 2023 udgjorde svindel relateret til borgerne ca. 80 pct af den samlede svindelværdi, mens virksomhedssvindel udgjorde knap 20 pct.¹² Det har bl.a. givet anledning til, at flere myndigheder og organisationer har haft en kommunikationsindsats over for borgerne ift. at undgå digital svindel, se boks 2.

Svindel og misbrug med kreditoverførsler skyldes særligt tilfælde, hvor borgerne eller medarbejderne gennemfører betalingen til svindleren

Reglerne for tofaktor-godkendelse bevirker, at adgang til netbanken og gennemførsel af betalinger kræver godkendelse med fx MitID. Det har i stigende grad gjort det nødvendigt for svindlerne at involvere borgere og medarbejdere i virksomhederne til at gennemføre og godkende de svindelrelaterede betalinger.

Svindel og misbrug med kreditoverførsler er derfor i stigende grad kendetegnet ved, at borgere og medarbejdere manipuleres til at overføre penge til svindlerne, fx under dække af en påstand om, at borgernes netbank er blevet hacket, og derfor bør overføre deres opsparing til en ”sikret konto”.

I 2023 var ca. 81 pct. af den samlede svindel- og misbrugsværdi med kreditoverførsler tilfælde, hvor de svindelramte borgere eller virksomheder selv overførte penge, se figur 8. Det sker fx, når de kriminelle kontakter borgere eller medarbejdere telefonisk og udgiver sig for at være fra banken eller danske myndigheder eller når en borger ser en falsk annonce på sociale medier eller handelsplatforme og foretager en betaling, fx med mobilen.¹³

Siden indførslen af tofaktor-godkendelse har langt størstedelen af svindelrelaterede kreditoverførsler været godkendt med tofaktor-godkendelse, se figur 9. Det understreger, at svindlerne løbende ændrer og tilpasser deres svindelmetoder, når der indføres nye sikkerhedsforanstaltninger.

De resterende svindeltilfælde, som ikke direkte involverer borgere eller medarbejdere, skyldes primært, at svindleren har fået adgang til en borgers eller virksomheds netbank og derigennem selv foretager overførslen. Det kan skyldes såkaldt phishing, hvor det lykkes svindlerne at få oplyst loginoplysningerne, eller at svindleren på anden vis lykkes med at stjæle oplysningerne, fx ved at installere skadelig software, også kaldet malware. For at svindlerne selv kan gennemføre overførslen, kræver det desuden, at de har mulighed for at få godkendt overførslen med MitID.

Kun i få tilfælde lykkes det svindlerne at ændre på en eksisterende betalingsordre, hvilket understreger, at betalingsinfrastrukturen i sig selv er meget sikker.

Hovedparten af svindelforsøg med kreditoverførsler bliver stoppet af bankerne

I de fleste tilfælde lykkes det bankerne at stoppe svindlen med kreditoverførsler, inden den finder sted. Ifølge tal fra Finans Danmark forhindrede bankerne i 2022 ca. 60 pct. af den samlede svindelværdi, som blev forsøgt gennemført.¹⁴

Derudover lykkes det også bankerne at få tilbageført en del af den svindelværdi, som i første omgang løber igennem betalingssystemerne. Ud af den samlede misbrugsværdi med kreditoverførsler i 2023, på ca. 333 mio. kr., lykkedes det bankerne at få tilbageført ca. 67 mio. kr. Det samlede tab i perioden var dermed ca. 266 mio. kr.

Svindel med kreditoverførsler, hvor borgere eller medarbejdere manipuleres til at overføre penge, kan være vanskelig for bankerne at forhindre, da transaktionerne kan ligne almindelige kreditoverførsler foretaget af borgerne eller virksomhederne. Desuden forhindrer tofaktor-godkendelsen ikke betalingen, da betaleren selv godkender transaktionen.

Når borgere eller medarbejdere har været udsat for svindel med kreditoverførsler, og selv har gennemført og godkendt betalingerne, hæfter de i de fleste tilfælde for det økonomiske tab, se boks 3. Ud af det samlede tab i 2023 hæftede de svindelramte betalere for ca. 223 mio. kr., svarende til ca. 84 pct. af det samlede tab, se figur 10.

For at dæmme op for digital svindel har Erhvervsministeriet i samarbejde med Finans Danmark, Forbrugerrådet Tænk, Teleindustrien og Ældresagen i efteråret 2023 lanceret fire initiativer. De omfatter bl.a. en reduceret daglig beløbsgrænse for straksbetalinger på 50.000 kr. uden først at have kontaktet banken og informationskampagner mod digital svindel. Derudover etableres en løsning, som muliggør, at afsendere af SMS’er kan få beskyttet deres afsendernavn, så svindlerne ikke kan udgive sig for at være fra en bank eller en myndighed.¹⁵ Senest har Finans Danmark lanceret kampagnen Sikker bank – sammen og i december 2023 nedsat en svindeltaskforce til at identificere nye tiltag og anbefalinger, som kan mindske digital svindel.¹⁶

En stor del af svindel med kreditoverførsler sker til danske konti

I modsætning til svindel og misbrug med betalingskort sker en stor del af den samlede svindel med kreditoverførsler til danske konti, se figur 7.

Som en del af afdækningen af svindel og misbrug med digitale betalinger i Danmark har Nationalbanken været i dialog med nogle af de største betalings- og pengeinstitutter i Danmark for bl.a. at få indblik i de svindelmønstre, som typisk rammer deres kunder, og hvorfor svindelrelaterede kreditoverførsler særligt overføres til danske konti.

Institutterne anfører flere mulige forklaringer. En årsag er, at betalingsinfrastrukturen til indenlandske kreditoverførsler er bedre forbundet end til udenlandske konti. Det skyldes bl.a., at de fleste kreditoverførsler til udlandet kræver flere oplysninger, for at overførslen kan gennemføres. Derudover tager kreditoverførsler til udlandet typisk længere tid, hvilket giver både institutterne, borgerne og virksomhederne mere tid til at forhindre de svindelrelaterede overførsler.

En anden årsag til er ifølge institutterne, at svindel med kreditoverførsler ofte sker, ved at svindlerne manipulerer borgere eller medarbejdere til at overføre penge til svindlerne: Her vil betalerne formentligt opfatte en overførsel til en udenlandsk konto mere mistænkelig end til en dansk bankkonto.

Endelig bør svindelmønsteret, ifølge pengeinstitutterne, ses i sammenhæng med, at svindlerne ofte anvender en kombination af svindel med betalingskort og kreditoverførsler. Det indebærer, at svindlerne bl.a. anvender en stjålet modtagerkonto, hvortil de også har kendskab til betalingskortoplysninger. Det muliggør kreditoverførsler fra andre borgere eller virksomheder, hvorefter svindlerne kan betale, hæve, sløre eller overføre pengene til udlandet.

Nationalbanken undersøgte i foråret 2023 borgernes betalingsvaner med en spørgeskemaundersøgelse. Undersøgelsen gav bl.a. indblik i, hvilke typer af svindel som borgerne udsættes for, og hvorvidt digital svindel i større omfang rammer bestemte dele af befolkningen. Respondenterne blev bl.a. spurgt, om de inden for det seneste år havde foretaget en betaling i forbindelse med et køb eller en investeringsmulighed, som viste sig at være svindel.¹⁷

Ifølge undersøgelsen havde 16 pct. af befolkningen betalt for en vare eller tjeneste, som de aldrig modtog. Ligeledes tilkendegav knap 5 pct. af de adspurgte borgere i undersøgelsen, at de havde betalt penge for en investering, som viste sig at være svindel.¹⁸ Resultaterne indikerer dermed, at en større del af befolkningen har oplevet betalingssituationer, som potentielt havde svindel til formål, men det betyder ikke nødvendigvis, at borgerne har oplevet et økonomisk tab.¹⁹

På tværs af befolkningen var det særligt dem under 50 år, der oplevede at betale for en vare eller service, som de aldrig modtog. Resultaterne skal dog ses i lyset af, at de samme befolkningsgrupper ofte handler mere på internettet. Ligeledes viste undersøgelsen, at det typisk var borgerne under 60 år, som overførte eller betalte penge for en investering, som viste sig at være svindel. Resultaterne indikerer dermed, at digital svindel rammer alle dele af befolkningen, se figur 11.²⁰

I Nationalbankens undersøgelse blev borgerne også spurgt om, hvorvidt de inden for det seneste år var blevet kontaktet telefonisk af en person, som fx udgav sig for at være fra en bank eller myndighed, men viste sig at være en svindler. Ifølge undersøgelsen havde ca. 18 pct. af befolkningen mindst én gang i løbet af det seneste år oplevet at blive ringet op eller modtage en SMS fra en svindler. Langt de fleste borgere, som blev kontaktet, gennemskuede dog svindlen og overførte derfor ingen penge. Det lykkedes dog alligevel svindlerne at manipulere ca. 1 pct. af befolkningen til at overføre penge, se figur 12.²¹

Analysen består af en dansk og engelsk version. I tilfælde af tvivl om oversættelsens korrekthed gælder den danske version.

Redaktionen er afsluttet 22. april 2024.