– Da jeg ranet Per, var det med hans samtykke. Hans skriftlige samtykke.
Cecilie Wian har kapret bankkontoen til sin venn Per Thorsheim. Det gjorde hun på en svært enkel måte: Hun sendte inn skjemaet «Fullmakt til å disponere konto», til banken hans.
Dermed fikk hun full kontroll over alle pengene på kontoen.
Alt som skulle til var en forfalsket signatur og opplysninger hun søkte seg til på internett.
Wian jobber til daglig i et norsk konsulentselskap, men på fritiden har hun engasjert seg i hvordan digitale løsninger kan misbrukes til å overvåke og trakassere andre. Thorsheim arrangerer konferansen PasswordsCon og konsulent.
– Det jeg synes er spesielt skummelt, er at en disponent kan sende alle mine penger ut av landet. Jeg vil ikke få noen beskjed om det før det er for seint, sier Thorsheim.
– Vi har vist at det er mangelfull kontroll, om noen i det hele tatt, med dette papirskjemaet. Konsekvensen av det er at kriminelle kan utnytte dette for å få tilgang til privatkunders bankkontoer i norske banker, sier Thorsheim.
I etterkant av testen, har Thorsheim og Wian kontaktet Storebrand. Banken forteller NRK at de har sluttet å benytte det aktuelle skjemaet.
Å være disponent for en bankkonto gir mange muligheter – man kan overføre penger, se årevis med kontohistorikk, og opprette bankkort.
Ordningen er mye brukt for å hjelpe eldre og andre hjelpetrengende familiemedlemmer med å holde styr på regningene. Det er også vanlig å benytte seg av disposisjonsrett, da ofte med elektronisk skjema, ved håndtering av en felleskonto innad i en husholdning.
Bekymret for misbruk
Dette er ikke første gangen Wian har kapret Thorsheims konto.
– De har ikke tatt lærdom av den forrige gangen vi gjorde det samme stuntet mot en annen bank. Og det syns jeg er veldig, veldig skuffende. Rett og slett, sier Wian.
Storebrand forteller NRK at de ikke er kjent med at deres skjema for disposisjonsrett har blitt misbrukt til svindel. Det samme opplyser bransjeorganisasjonen Finans Norge.
– Men det har nok mer å gjøre med på flaks og manglende kunnskap hos de kriminelle, og har ingenting med sikringstiltak i bankene å gjøre. Og man bør jo ikke basere seg på flaks, sier Thorsheim.
Nye rutiner
– Dette har vært et problem i bransjen, men våre kunder skal være trygge på at løsningene våre er 100 prosent sikre, sier kommunikasjonsrådgiver Robert Henriksen i Storebrand.
Henriksen forteller at Storebrand i vinter endret måten de oppretter disposisjonsrett og at papirskjemaet ikke lenger er tilgjengelig på deres nettsider.
– I tilfeller der våre analoge kunder ønsker å gi disposisjonsrett, krever vi at hovedeieren av kontoen personlig kontakter oss via telefon først for kontrollspørsmål. Etter at denne bekreftelsen er gjennomført, vil vi sende disposisjons- og legitimasjonsskjemaer til hovedeierens primære adresse. I tillegg vil vi inkludere en forhåndsfrankert returkonvolutt, noe som vil gjøre tilbakesendingen både enkel og sikker, sier Henriksen.
Banken har også forbedret selve skjemaet for å forhindre misbruk med krav om signatur fra to vitner. Banken har også rutiner for å varsle kontoeier slik at vedkommende kan stanse prosessen.
– Vi har helt vanntette rutiner på dette nå, sier Henriksen.
Gry Nergård i Finans Norge forteller at bankene hele tiden må balansere brukervennlighet med sikkerhet, og at det noen ganger kan glippe. I fjor kom det på plass en ny finansavtalelov, noe som har ført til at bankene har måttet oppdatere en rekke av sine skjemaer og rutiner.
I det arbeidet har nok papirskjemaet for disposisjonsrett ikke vært høyest prioritert, forteller Nergård.
Etter testene Wian gjorde nå og i 2021, er hun ikke lenger komfortabel med å alle sine penger stående på samme sted.
– Jeg har bare erkjent at alle pengene mine ikke kan stå på én konto, sier hun.