Etter at det nye kredittkortet til Odd Kåre Trones ble stjålet på vei til postkassen, satt 63-åringen plutselig igjen med en faktura på 26 000 kroner – og veldig mange spørsmål.
Kredittkortet, et First Card-MasterCard fra Nordea, skulle benyttes i jobbsammenheng til blant annet tjenestereiser. Da dette ikke ble brukt så ofte, la Odd Kåre Trones det til side. Kortet var ikke benyttet på et halvt år, da han fikk en faktura fra First Card der de krevde 26 000 kroner.
– Har noen vært inne og tatt kortet, var min første tanke. Jeg forstod ingenting og sjekket umiddelbart om jeg hadde kortet der hvor jeg la det. Og det hadde jeg, forklarer Trones.
Han kastet seg da over telefonen og fikk ringt sperretjenesten. I løpet av den samtalen sier mannen i andre enden, «du har flere kort du». «Nei, jeg har bare ett», svarer Trones.
Det viser seg da at det ikke er kredittkortet som Trones har i skuffen som er brukt til svindelen, men et nytt kort som var på vei i posten.
Kjøpte gavekort
Før tyveriet ble oppdaget belastet tyven kortet for 5 000 kroner på Shell 7-eleven ved fire forskjellige anledninger. I tillegg var det brukt 5 000 kroner på en Kiwi-butikk.
– Summene fikk meg til å lure. Hvordan i alle dager klarer man å bruke 5 000 kroner på en bensinstasjon? Og ved flere forskjellige anledninger, undret Odd Kåre Trones.
Informasjonen han fant ga han et nytt sjokk. På bensinstasjonen hang det såkalte MasterCard PayGoo, disse markedsføres som forhåndsbetalte gavekort en kan bruke i alle butikker som tar MasterCard. Tyven fikk kjøp kortene uten å bruke pin-kode, og med de nye gavekortene i hånden kunne han gå videre og handle lovlig i nærmest hvilken som helst butikk.
I tillegg til kjøpene på 7-eleven og Kiwi, rakk tyven å bestille en pakke på nett før kortet ble sperret. Men han var ikke smart nok å endre leveringsadressen, så pakken var det Odd Kåre Trones som fikk.
– Da jeg fikk pakken var den full av noe steroider og sprøyteutstyr, kjøpt fra en helsebutikk i England. Denne ble innlevert til politiet. Jeg er bare glad det ikke var noe verre som ble bestilt i mitt navn, til min adresse. Da hadde jeg risikert å sitte der med bevisbyrden, sier Trones.
Posten, banken eller bensinstasjonen?
Kortsvindelen ble politianmeldt og tyven viste seg å være strafferettslig utilregnelig. Kravet fra FirstCard på rundt 26 000 kroner ble ettergitt.
Etter hendelsen sitter Odd Kåre Trones igjen med mange spørsmål. Hele svindelen kunne blitt stoppet på så mange forskjellige måter- men ingen har reagert.
– Samme mann som stjal mitt kredittkort, hadde kjøpt tilsvarende gavekort på samme Shell-stasjon med et annet FirstCard-MasterCard. Disse er ikke så vanlige, så hvordan skulle han klare å tilfeldigvis finne disse kortene hvis han går og snoker i postkasser. Jeg tror han kan ha hatt en hjelper på «innsiden». Og hvorfor blir kortet sendt ut ferdig aktivert, kan jeg ikke bare aktivere det selv i nettbanken når jeg får det i posten? Og hvordan er det mulig å handle for så mange tusen på en Shell-stasjon uten å måtte bruke pin-kode, spør Trones oppgitt.
Overvåkningsrutiner
Sandnes-mannen er også overrasket over at ikke Nordea klarte å avsløre svindelen, ettersom bruken på kortet var så unormal.
– Kortet er et tjenestereisekort. Jeg bor i Sandnes, og kortet ble misbrukt i Sandnes. Det er ikke naturlig at jeg var på tjenestereise på egen hjemplass. Transaksjonene er dessuten helt unaturlige for dette kortet, og alle alarmflagg burde vært utløst. Opplegget til Nordea er helt elendig, men jeg har ikke fått noen beklagelse, sier Trones.
Hele hendelsen har skapt mye arbeid og frustrasjon for han. I tillegg til at han har blitt oppmerksom på hvor dårlige rutiner kortselskapene selv har for å unngå svindel.
– Hvorfor kan for eksempel ikke jeg selv bestemme at det alltid skal brukes pin-kode for å betale med kredittkortet mitt? Jeg tror kortselskapene er flinke til å sende regningene videre til andre. Slik slipper de store tap selv, og er vel ikke så interesserte i å få nye rutiner. I dette tilfellet var det nok Shell 7-eleven som måtte betale, ettersom tyven fikk brukt kortet uten pin-kode og med feil legitimasjon, sier han.
Sender ut ferdigaktiverte kort
Mange hendelser med kortsvindel kunne vært unngått om de nye kortene som ble sendt ut til kundene var inaktive.
Alle som har et bankkort eller kredittkort vet at det med jevne mellomrom dumper et nytt kort ned i postkassen som skal erstatte det gamle. I de fleste tilfeller er disse kortene allerede aktivert og klare til bruk.
– Vi jobber med løsningen for å kunne sende ut inaktive kredittkort, og håper å få en løsning på plass i 2017. Utfordringen med slike løsninger er å få til en aktivering som er brukervennlig, sier Christian Steffensen som er pressesjef i Nordea.
Unaturlige transaksjoner
Christian Steffensen i Nordea syns ikke det er rart at svindelen med kredittkortet til Odd Kåre Trones ikke ble oppdaget.
– Det er ikke unaturlig at bedriftsreisekort benyttes lokalt der kunden bor. Det kan for eksempel være representasjon, gaver eller for eksempel MasterCard PayGo i dette tilfellet. Vi har, i likhet med de fleste kortutstedere, ingen restriksjoner på denne type transaksjoner i våre systemer, sier Steffensen.
Han understreker at Nordea har et monitoreringssystem der alle transaksjoner overvåkes hele døgnet. Her har banken satt opp diverse regler for å fange opp og stoppe unaturlige transaksjoner.
– Unaturlige transaksjoner kan for eksempel være kjøp på 7-eleven i Sandnes klokka 12, og kjøp i USA klokka 13, forklarer pressesjefen.
Hvordan tyven klarte å bruke kortet for så mange tusen kroner, uten å bruke pinkode, har han derimot ikke et fullgodt svar på.
– Våre First Cards er satt opp med chip og PIN som prioritert identifiseringsløsning. Når terminalen likevel ber om signatur er det brukerstedet som er ansvarlig for å gjøre identifiseringskontroll. Det vil si, be om legitimasjon, sjekke om navn på legitimasjon er det samme som på kortet, samt at signatur på legitimasjon stemmer med signatur på kortet, forklarer Christian Steffensen.
– Beklagelig
Brukerstedet som i dette tilfellet var Shell/7-eleven, mener derimot at grunnen til at kunden (tyven) ikke trengte pin-kode må være fordi kredittkortet er satt opp med signatur som valg fra kortutsteder.
– Både kortoppsett (v/kortutsteder) og terminaloppsett (v/utsalgssted) må tillate at kunden velger signatur fremfor PIN. Vi skal gjøre det vi kan for å forhindre slike hendelser. Våre kjøpmenn skal følge lover og regler for kortbetaling, samt de rutinene som er satt sentralt hos oss. Når slike hendelser likevel skjer, er dette selvsagt beklagelig og noe vi tar alvorlig, sier Ida Håvik i Reitan Convenience.
Det er ingen hemmelighet at prepaid-kort som MasterCard PayGo er populære hos kriminelle fordi de ikke etterlater noen identifiserbare spor. Burde ikke butikkene da vært litt spesielt årvåkne ved salg av disse kortene?
– Vi forholder oss til de lover og regler som er satt av norske myndigheter, og per i dag er dette en lovlig og ordinær handelsvare i Norge. Vi er imidlertid svært bevisste på denne typen problematikk, og følger med på utviklingen, sier Ida Håvik.
Sendt ut inaktive kort i årevis
Mens Nordea sender ut aktive bankkort fordi det er for utfordrende å finne en brukervennlig løsning, har ikke en bank som Skandiabanken sendt PIN-kode på papir i posten på mange år.
– Alle våre kort; bankkort, kredittkort og ungdomskort må aktiveres i nettbanken før de kan tas i bruk. Dette utfra sikkerhetsmessige årsaker i tilfellet kortet kommer på avveie i postgang, opplyser kommunikasjonsrådgiver i Skandiabanken, Nina Dyrøy.
En slik svindel som det Odd Kåre Trones opplevde kunne ikke skjedd om kortet som ble sendt i posten var inaktivt.
– Transaksjonene hadde blitt avvist ved forsøk/bruk. Vi innførte dette for mange år siden, og som en ren selvbetjent nettbank har vi gode erfaringer med at kunden selv er klar over at han/hun selv må «klargjøre» kortet selv i nettbanken sin før bruk, sier Dyrøy.