Sommerperioden er klassisk højsæson for CEO‑fraud, hvor svindlere manipulerer e‑mails og fakturaer for at flytte betalinger væk fra den rette modtager. Den praktiske hovedregel er klar: Betalingen frigør ikke kunden, hvis pengene ikke modtages af leverandøren, og banken hæfter som udgangspunkt ikke, når den gennemfører en korrekt instrueret overførsel.
Retslig risiko og betalingsansvar
Udgangspunktet i dansk aftale- og betalingsret er, at debitor bærer betalingsrisikoen. Overføres beløbet til en svindlers konto som følge af manipulerede kontooplysninger, foreligger der ikke frigørende betaling over for kreditor. Banken har efter betalingsloven og PSD2 pligt til at eksekvere ordren efter kundens egne oplysninger, men skal ikke verificere, om kontonavn og nummer matcher. Dermed bliver tabet typisk hos kunden, medmindre andre særlige forhold foreligger.
Risikoen kan begrænses ved simple kontroller: Sammenlign kontonummer med tidligere fakturaer, vær særlig opmærksom på ændringer til udenlandske konti, og verificér altid nye betalingsoplysninger via en uafhængig kanal, eksempelvis et kendt telefonnummer. Internt bør virksomheder indføre funktionsadskillelse, to‑faktor‑godkendelse og faste godkendelsesflows for hastebetalinger, der ofte er mål for social engineering.
Hvornår kan leverandøren hæfte
Leverandørens risiko kan skærpes, hvis leverandøren ved fejl eller forsømmelse har medvirket til svindlen. Eksempler er, at der udsendes forkerte kontooplysninger, at man undlader rettidig information om kendte kompromitteringer, eller at medarbejdere har handlet culpøst. En udtrykkelig aftale om risikofordeling kan også flytte risikoen, fx hvor parterne har aftalt verificeringskrav før kontoskifte.
I grænsetilfælde kan kundens berettigede tillid spille ind, hvis leverandøren har etableret en sikker kanal eller to‑faktor‑verifikation, som objektivt fremstod betryggende. Viser det sig, at sikkerhedsforanstaltningerne var utilstrækkelige, kan der opstå et erstatningsretligt ansvar. Omvendt svækkes kundens position, hvis basale kontroller blev forsømt.
Forsikring og forebyggelse
Cyberforsikringer kan dække tab efter egentlige hackerangreb i leverandørens miljø, men dækning forsvinder ofte, når betalingen aldrig når leverandøren, fordi kunden har overført til en tredjemand. Kundens behov peger derfor mod kriminalitetsforsikring, der kan omfatte social engineering og falske betalingsinstrukser. Betingelser, undtagelser og sikkerhedskrav varierer betydeligt og bør gennemgås nøje.
Forebyggelse er afgørende. Opdaterede politikker, træning i phishing, tekniske kontroller samt krav om telefonisk call‑back ved kontoskifte reducerer risikoen markant. Derudover bør leverandører dokumentere passende sikkerhedsforanstaltninger efter GDPR art. 32 og eventuelle sektorkrav som NIS2, samt etablere klar procedure for varsel og incident response ved mistanke om kompromittering.
