Hvor går egentlig grensen for når noe blir kriminelt nok til at vi som samfunn mener at et lovbrudd skal straffes etter loven – og når tenker vi at det er greit at politiet og rettssystemet lar en forbrytelse “gå forbi” ustraffet fordi lovbruddet rett og slett ikke er alvorlig nok? Det kan være mange grunner til at det siste kan være fornuftig, blant annet for å frigjøre kapasitet i rettssystemet til å straffe alvorligere lovbrudd.
Som et eksempel kan man tenke seg en fartskontroll på motorveien. Alle er enige i at politiet umulig kan ha kapasitet til å skrive ut forelegg til alle som bryter fartsgrensen med 5 km/t, og at det kan være fornuftig å “legge listen” litt høyere og prioritere å fange de som faktisk utgjør farligere fartsoverskridelser og uaktsom kjøring.
Men hvor går så disse grensene for hva vi tenker er “akseptable lovbrudd” når det kommer til annen type kriminalitet? Skal vi la potensielt kriminelle gå rundt i nabolaget og kjenne på om dørene er låst hos folk som er på ferie? Skal vi la potensielt kriminelle rekognosere og sette “merkelapper” på dørkarmene i nabolaget? Skal vi la potensielt kriminelle naske på nærbutikken så lenge verdiene de stjeler er under 1000 kr? Skal vi la potensielt kriminelle forsøke å gjøre datainnbrudd hos bedriftene våre? Skal vi la potensielt kriminelle prøve å stjele identiteten din? Alt dette uten å gjøre strafferettslige reaksjoner mot de i etterkant – og hvor skal eventuelt grensen gå før vi tenker at det er riktig å bruke skattepengene våre på å la disse ta en straff for å ha utført et lovbrudd?
Det er ikke alltid like lett å si hvor disse terskelverdiene skal ligge, men jeg tror nok en generell oppfatning vil være at det er lettere å la kriminelle som utfører “cyberkriminalitet” gå ustraffet fremfor de som utfører “fysisk kriminalitet”. Denne oppfatningen tror jeg også politiet sitter på i sine vurderinger.
I mai i år hadde jeg en litt ubehagelig opplevelse av at noen hadde prøvd å bruke min identitet til å gjøre økonomisk vinning. Jeg oppdaget hendelsen når jeg kom hjem etter å ha vært på en reise. I postkassen hadde det samlet seg opp en god stabel av tilsynelatende identiske vinduskonvolutter. Først tenkte jeg at det var ett eller annet trykkeri som hadde hatt en liten “heng” og produsert litt mange kopier av samme brevet, men når jeg begynte å åpne brevene forstod jeg raskt at det var noen ugler i mosen.
Brevene var alle fra selskaper som driver med kredittvurderinger på vegne av andre selskaper. Jeg var kredittvurdert av til sammen 10-12 banker og andre finansinstitusjoner. Det luktet jo lang vei at det her var skjedd noe som ikke var helt “innenfor”, men jeg var usikker på hva jeg burde gjøre med dette. Formiddagen etterpå satte jeg meg derfor til med telefonen og begynte å ringe rundt til de ulike bankene som hadde bestilt kredittvurderingene av meg. Etter en lang ringerunde kunne jeg oppsummere med at det var søkt om diverse forbrukslån og kredittkjøp med mitt personnummer og mitt navn. Det største lånet var på 250.000 kr, og kontonummeret som var oppgitt var i hvert fall ikke mitt. De kreative kjeltringene hadde også oppgitt et telefonnummer som ikke tilhørte meg i søknadene.
Telefonnummeret ble sjekket mot 1881, og var oppført på Bergen Kommune. Nysgjerrigheten tok overhånd, så jeg måtte også prøve å ringe dette nummeret. Nummeret var disponert av en hyggelig, godt voksen rektor ved en skole ikke langt unna meg. Det ble fort tydelig for meg at vedkommende var like uvitende som meg – og at det nok ikke var hensikten at jeg skulle kunne ringe opp vedkommende som hadde forsøkt seg på å låne penger. Kontonummer er ikke like enkelt å få oppgitt hvem de tilhører – så stort lenger enn dette kom jeg ikke i kartleggingen av hva som hadde skjedd. Men alle lånesøknadene ble stoppet – og jeg ble forsikret om at ingen penger ville bli utbetalt.
For meg som jobber med IT-sikkerhet virker dette som et relativt alvorlig tilfelle av forsøk på identitetstyveri, og gjennom dette å ha forsøkt seg på å utgi seg for å være en annen for å ta opp lån i denne sitt navn. Men i utgangspunktet var jeg usikker på hva jeg nå skulle gjøre videre med saken. Jeg ringte derfor til kriminalvakten hos Hordaland Politidistrikt for å be om råd. Rådet var soleklart – dette må du komme inn og anmelde snarest!
Jeg satte meg dermed i bilen og kjørte til nærmeste politistasjon i Åsane. Stabelen med kredittvurderinger ble sikret kopier av, alle opplysningene jeg hadde fått underveis som telefonnummer og kontonummer notert og lagt ved i anmeldelsen. Saken burde være relativt grei, her var det nok av spor og ytterligere spor som ip-adresser osv ville enkelt kunne sikres hos de ulike finansinstitusjonene som hadde mottatt søknadene gjennom nettsidene sine.
Jeg ble derfor litt overrasket når jeg ca. 2 uker etterpå mottok brevet under fra politiet.
Slik jeg ser det er det vanskelig ut fra dette svaret fra politiet å tolke dette noen andre steder enn at de mener at det anmeldte forholdet er for lite alvorlig til at de kan prioritere å etterforske forholdet. Er det generelt sett på som lite alvorlig å prøve å ta opp lån i en annen sin identitet – eller ville dette blitt sett på som mer alvorlig dersom noen fysisk gikk inn i en bankfilial og forsøkte å låne penger i mitt navn?
Spørsmålet kan forfølges videre; vil det være mindre alvorlig å forsøke å bryte seg inn i datasystemene til en bedrift (“hacke”) enn å forsøke å bryte seg inn i lokalene fysisk for å stjele noe fra bedriften? I dag er det jo for mange bedrifter slik at de største verdiene faktisk ligger i IT-systemene?
Jeg er overbevist om at politiet ville satt høyere prioritet på en objektivt sett mindre alvorlig sak dersom det var en “fysisk” forbrytelse og ikke en elektronisk. Når sporene i tillegg var så litt tilgjengelige som de var i denne saken tror jeg også de har etterforsket mange saker det var mer krevende å komme til bunns i. Jeg tror (og dette er igjen min personlige mening) at dette bunner ut i kompetanse, og at vi er helt avhengig for fremtiden av at politiet løfter sin kompetanse innenfor “cyberkrim”, og at denne brukes aktivt for å markere at elektronisk kriminalitet er like alvorlig som det som skjer utenfor den elektroniske verden.
Verdiene i samfunnet vårt er til en stor grad flyttet over til “cyberworld” – politiet sitt fokus, kompetanse og innsats bør følge med samfunnet forøvrig!