Cyberfakturabedrägerier och dess juridiska konsekvenser

Den allt vanligare nya typen av fakturabedrägeri innebär att cyberbrottslingar maskerar sig som legitima leverantörer och skickar falska fakturor med andra bankkontouppgifter till redan existerande kunder. På så vis lyckas cyberbrottslingarna begära betalning direkt till cyberbrottslingens personliga bankkonto (som ofta är utomlands).

Men vad gäller i ett sådant fall mellan kunden och leverantören? Har kunden betalat med s.k. befriande verkan eller måste kunden betala två gånger? Kan leverantören fortsätta kräva kunden på betalning eller måste leverantören kompensera kunden på något vis?

Rättsläget kring ovan frågor är något oklart och svaret kan även variera beroende på vilken typ av cyberattack det rör sig om, d.v.s. om det rör sig om ”hacking”, ”phising” eller ”spoofing”.

”Hacking” är att utnyttja sårbarheter för att få tillgång till information man inte har lov att få tillgång till.  Detta innebär att en hackare får tillgång till ett företags e-post eller IT-system och använder det som om den vore en anställd i det företaget.

”Phising” är då en cyberbrottsling utger sig för att vara en pålitlig källa i ett försök att locka en användare att agera på ett visst vis, inkl. att lämna ut känslig information såsom användarnamn, lösenord, kreditkortsnummer, m.m.

”Spoofing” är då en cyberbrottsling försöker använda identiteten hos en legitim användare eller ett företag för att lura offren att skicka pengar till dem. Sofistiketen av attacken beror på om ”spoofingen” föranleddes av en ”hacking”-attack eller om den liknar en ”phising”-attack. Om ”spoofingen” föranletts av en ”hacking”-attack innebär detta att cyberbrottslingen har alla möjligheter att göra det nästintill omöjligt för en mottagare av ett bedrägligt e-postmeddelande att urskilja om det är falskt.

Vid ”phising” eller ”spoofing” som liknar ”phising” har leverantören generellt inget ansvar gentemot kunden då leverantörens IT-system inte har äventyrats och leverantören inte kan anses ha bidragit till attacken på något vis. Leverantören har därför inte någon skuld i det som inträffat. Kunden är i ett sådant fall oftast fortfarande betalningsskyldig till leverantören och har inte betalat med befriande verkan till cyberbrottslingen.

Vid ”hacking” eller ”spoofing” med element av ”hacking” kan det vara så att leverantören agerat vårdslöst med sin IT-säkerhet eller brutit mot avtalet. När kunden då måste betala två gånger så lider kunden en skada som leverantören kan ha varit del i att vålla i och med  leverantörens agerande. Hur stor del är osäkert och bedöms från fall till fall. Vad som även ska vägas in är kundens agerande då den mottog det bedrägliga e-postmeddelandet. Praxis har visat att man inte bara kan ta för givet att det som sägs i ett e-postmeddelande är riktigt. Om kunden därför borde ha anat eller faktiskt anande oråd så borde också kunden ha agerat på ett sådant sätt att kunden kunde känna sig säker på att uppgifterna stämde. Annars kan kunden ha ansetts vara medvållande och vårdslös i sitt eget agerande.

Tips! Om du får en faktura där det finns nya kontouppgifter eller betalningsinstruktioner, var alltid noga med att kontakta någon hos leverantören (via telefon) och få uppgifterna bekräftade. Var även noga med att ta kontakt med hjälp av kontaktuppgifter du fått vid tidigare tillfälle, och inte de som du får tillsammans med den nya fakturan.

Har ditt företag blivit utsatt för ett cyberfakturabedrägeri?

Kontakta oss så kan vi guida dig igenom dina möjligheter.