Den saknade länken för att stoppa bedrägeri

Kampen mot bedrägerier har länge kretsat kring en sak: detektion. Transaktionsövervakning, beteendeanalys, AI och allt mer träffsäkra modeller, alla med samma mål, att fånga den bedrägliga betalningen innan pengarna lämnar kontot. Detektionen har blivit dramatiskt bättre det senaste decenniet och det är värt att erkänna.
Men längs vägen har branschen byggt in ett antagande som kostar offren stora pengar varje år. När en betalning väl slinker igenom, och några gör alltid det, är den vedertagna uppfattningen att pengarna är borta och ärendet stängt. Kunden godkände överföringen, pengarna lämnade kontot, man går vidare till nästa larm.
Det antagandet är fel. Stora summor som hade gått att få tillbaka kommer aldrig tillbaka, av det enda skälet att ingen försökte i tid.
Frågan branschen slutat ställa
Detektion är nödvändigt, men det är inte hela bilden. Genom att lägga nästan all kraft på att stoppa betalningen i ögonblicket den görs, har branschen slutat fråga sig vad som händer minuterna och timmarna efteråt.
Det är ingen teoretisk lucka. Phishing, smishing och investeringsbedrägerier har ofta en sak gemensamt: offret förstår i många fall direkt vad som hänt. Inom några minuter ringer kunden sin bank och ber att betalningen stoppas. Då har detektionssystemen redan gjort sitt, eller misslyckats. Frågan är inte längre om bedrägeriet går att upptäcka, utan om det fortfarande går att göra något åt.
För de flesta institut finns inget riktigt svar på den frågan. Det är den blinda fläcken.
Följ pengarna
Svaret ligger i hur pengarna faktiskt rör sig. En bedräglig betalning hamnar sällan direkt i en kriminells ficka utanför det reglerade finansiella systemet. Den färdas genom en kedja av reglerade aktörer: banker, betaltjänstleverantörer, e-penninginstitut och kryptoväxlare. Var och en har sina egna kontroller.
Det är en möjlighet. Varje länk i kedjan kan agera. Den mottagande aktören kan redan ha flaggat kontohavaren som högrisk. Den kan hålla inne eller fördröja en betalning i väntan på granskning. Pengarna passerar inte alltid igenom direkt och osynligt.
En kort stund efter bedrägeriet sitter pengarna alltså fortfarande kvar i det reglerade systemet. Och så länge de gör det, går de att nå.
Ett fönster som stängs
Men fönstret står inte öppet länge. Pengarna kan nå en kryptoväxlare, växlas till krypto och lämna för en plånbok utanför den reglerade sfären, och det finns andra vägar ut. När pengarna väl lämnat systemet blir återföring extremt svår, oftast omöjlig.
Allt handlar därför om tempo: hinner aktörerna i kedjan agera innan fönstret stängs?
I praktiken är svaret ett mejl
Så här går det till i dag. När en bank vill stoppa en bedräglig betalning längre ner i kedjan tar den reda på vilken aktör som tagit emot pengarna, letar fram rätt kontaktuppgifter om den har dem, och skickar ett mejl. Sedan väntar den, och hoppas att någon på andra sidan öppnar det i tid.
Det är det bästa branschen har för att stoppa bedrägerier mellan institut. Ett mejl, skickat till en inkorg, läst när det råkar bli läst.
Svagheten är uppenbar. Bedrägerier rör sig på minuter, mejl gör det inte. Enligt Reqports data skickas ca 30 procent av de här bedrägerimeddelandena i Sverige utanför kontorstid, på kvällar, nätter och helger, alltså precis när ingen bevakar inkorgen. En process som förutsätter att en människa sitter vid sitt skrivbord kan inte hålla jämna steg med ett bedrägeri byggt för att gå fort.
Den saknade länken
Lösningen är inte komplicerad. Kommunikationen mellan aktörerna behöver bli direkt och strukturerad, i stället för manuell och mejlbaserad.
Om ett meddelande från ett institut till ett annat kan behandlas automatiskt, så att en transaktion pausas för granskning i samma ögonblick det kommer in, kan bekräftat bedrägeri stoppas i realtid och pengarna gå tillbaka till offret i stället för att försvinna ut i en oreglerad plånbok.
Det är den saknade länken. Det branschen behöver är inte ännu ett lager detektion, utan ett snabbare, automatiserat sätt för de aktörer som redan upptäcker bedrägerier att agera på det de hittar.
Det kräver ingen ny regelbok
Den naturliga invändningen är regulatorisk. Datadelning inom finansiell brottsbekämpning är föremål för stora initiativ och långa debatter, mycket av det kring de lagändringar som bredare delning skulle kräva.
Men det här fallet är smalare, och delningen sker redan i dag. När en bank mejlar nästa institut i kedjan utbyter aktörerna redan den information som behövs, knuten till en specifik transaktion de hanterar tillsammans. Det är ingen ny kategori av datadelning som väntar på ett nytt ramverk.
Poängen är inte att skapa en ny rätt att dela. Det är att göra en delning som redan sker direkt och automatisk i stället för manuell och långsam. Det behöver inte vänta på ny lagstiftning.
En bättre väg framåt
Detektionen kommer att fortsätta bli bättre, och det ska den. Men nästa verkliga minskning av bedrägeriförlusterna kommer inte från att fånga några procent fler betalningar i ögonblicket de görs. Den kommer från att täppa till glappet som öppnar sig direkt efteråt, mellan att ett institut inser att en betalning är bedräglig och att nästa institut i kedjan kan göra något åt det.
Pengarna går att rädda längre än de flesta tror. Det som har saknats är kopplingen som låter instituten agera tillsammans, i realtid.
Erik Vesterlund
VD, Reqport