Blåsningen

Det började med ett märkligt kontoutdrag och en försvunnen struntsumma. Två månader senare var tiotusentals svenskar tvungn­a att byta bankkort, miljontals kronor var på vift och en brittisk säkerhetsexpert flögs till Stockholm för att lösa den största kortsvindeln i svensk historia. Här är berättelsen som din bank inte vill att du ska läsa.

Jesper Öhnstedt visste att hans kompanjon aldrig skulle stänga av sin mobiltelefon. Det stred mot Mattias Erikssons natur.

Mattias var den där typen som inte protesterade om så kunderna väckte honom klockan tre på morgonen, för att fem minuter senare slänga sig in i en taxi och be att få bli körd till någon nattklubb som behövde få igång kassan inför sista beställningen.

Men med tanke på vad som hänt de senaste dagarna visste Jesper inte längre vad han skulle tro om sin affärspartner.

Annons

Bankernas privatutredare från England hade varit uppe på kontoret dagen innan och lämnat dem med ett ultimatum. Fram till dess hade han pratat om allmänna säkerhetsbrister i det betalsystem som Jesper och Mattias utvecklat i sitt kassaföretag Alphacash. Nu var tonen betydligt skarpare. Utredaren anklagade dem för brott, för att tillsammans med en dömd kortbedragare ha iscensatt den största kontokortshärvan i svensk historia.

– Vi vet ju att det är någon av er, gräv fram det nu, pressade engelsmannen.

Jesper och Mattias fick ett dygn på sig att ta fram den skyldige, annars skulle polisen kopplas in.

Jesper hade utredarens ord i huvudet när han gjorde ytterligare ett försök att nå Mattias. Men inte ens telefonsvararen gick igång. Telefonen var avstängd. Det var då han förstod att hans kompanjon och den drivande kraften bakom Alphacash hade flytt landet.

Jesper ringde till polisen.

 

Det hela började ganska precis två månader tidigare. Det var den stora lönedagen efter jul- och nyårshelgerna och ett tunt lager nyfallen snö gnistrade på trottoaren utanför den nyligen nedlagda Tempobutiken på Djurö. Stora pappkassar satt upptejpade på insidan av skyltfönstren, men förbipasserande kunde ändå ana skenet från tända lysrör genom den tunna pappen.

Klockan hade hunnit bli kvart över åtta på kvällen när en man slog sig ned vid en av kassorna och började knappa in sifferkoder i betalkortsläsaren. Först sexton siffror för kortnumret, därefter fyra för sista giltighetsdatum och slutligen köpesumman efter eget huvud.

En sista knapptryckning och kortterminalen sände iväg en köporder över telefonlinjen. Proceduren upprepades om och om igen. Fingrarna rörde sig över knappsatsen.

Innan bankernas säkerhetssystem hann reagera hade mannen i kassan styrt över 1,2 miljoner kronor från 107 bankkonton till butikens postgiro.

Det tog exakt 59 minuter.

Några dagar senare loggade konsulten Mattias Öman in på sin internetbank via datorn hemma på Lidingö. Nästan sextusen kronor saknades på lönekontot. Hans ögon sökte sig över kontoutdraget och fann att någon, samma dag som februarilönen kom in, hade gjort tre köp med allt större summor.

Alla köp var gjorda i en liten Tempobutik ute på Djurö.

»Tempo, finns den kedjan kvar?« var Mattias Ömans första tanke.

Även om det bara var knappt trettio minuters bilväg till det idylliska skärgårdssamhället nordost om Stockholm, var han säker på att han inte varit där under någon av de senaste dagarna.

Annons

Mystiken tätnade när Mattias Öman kom till jobbet dagen därpå och fick veta att tre av hans arbetskamrater på samma firma inom telekombranschen hade drabbats av samma sak. En av arbetskamraterna ringde upp Tempobutiken för att reda ut vad som hänt.

Kvinnan som svarade berättade att hon blivit kontaktad av fler drabbade, men att butiken var stängd sedan flera veckor och att det måste röra sig om någon form av bedrägeri.  Hon kunde också berätta att hennes arbetskamrater inte fått sina löner utbetalda och att butikens ägare var spårlöst försvunnen.

Butiken låg inrymd i botten av en trevåningsfastighet från 60-talet med många äldre hyresgäster som hade hoppats att den nya ägaren skulle bringa ordning och reda på deras närbutik.

Den nya ägaren presenterade sig för de anställda som Jean Naaoum. Han var en välklädd ung man som talade engelska med amerikansk accent. Han fick betala en krona för butiken mot att han också tog över den gamla ägarens obetalda skatter och leverantörsskulder. I gengäld var alla butiksinventarier och ett betalkortsavtal hans.

Någon större ordning hann det inte bli på närbutiken. De äldre hyresgästerna på våningarna ovanför kunde istället storögt titta ut genom köksfönstren på eftermiddagarna och se den nya butiksföreståndaren komma till jobbet i limousin, för att andra dagar parkera en exklusiv mörkblå Jaguar framför butiken.

Jean Naaoum själv pratade gärna om sina båtaffärer i utlandet och några av dem han mötte skulle senare dra sig till minnes det ologiska i att den propert klädde mannen sade sig bo på Hotell Hilton i centrala Stockholm, samtidigt som de själva tyckte sig ana att han tillbringade de flesta nätterna på soffan inne i den mögeldrabbade livsmedelsbutikens kontor.

Dagen efter lönedagen var ägaren borta. Med sig tog han kassaterminalen och hårddisken till butikens dator.

 

På bedrägerirotelns våning högt upp i polishuset på Kungsholmen i Stockholm var Jean Naaoum ett välbekant namn. Två polisinspektörer hade jagat honom i ett halvår, men hela tiden varit steget efter.

De hade lyssnat till förtvivlade ungdomar som lagt sina sparade pengar på förskottshyror för en ledig etta med kokvrå på Södermalm som aldrig fanns. De hade besökt ekande tomma företagslokaler som tagits över av något av Jean Naaoums bolag med postbox på Strandvägen, för att sedan plundras på inventarier för miljontals kronor.

En gammal flickvän kände honom under det Gudfadern-inspirerade namnet Ramone Carleone, medan medierna hade döpt honom till »Stureplansbedragaren« på grund av hans extravaganta utsvävningar i Stockholms krogcentrum. Under namnet Elias Malki var han dömd för kontokortsbedrägerier, sedan han under ett par intensiva veckor 2003 levt som en kung på Norrköpings innekrogar; bjudit generöst på champagne och gjort stora kontantuttag med egentillverkade kontokort med falsk information inpräntad i magnetremsan.

Den man som verkligen hette Jean Naaoum, upptäckte polisutredarna snart, var en österrikisk medborgare som avlidit flera år tidigare.

Efter några veckor ringde Swedbanks säkerhetsavdelning till Bedrägeriroteln och berättade att man spårat samtliga kortnummer som knappats in i kassan på Djurö till en lunchrestaurang i Hallonbergen, Beirut By Night. Många av restaurangens lunchgäster arbetade inom telekomindustrin i det närliggande Kistaområdet och korten de betalade sina notor med var ofta kopplade till företagskonton med hög eller ingen övre uttagsgräns.

För ägaren till Beirut By Night var det hela ett mysterium. Han litade på sina anställda, och hade dessutom lagt mycket pengar på ett helt nytt kassasystem från ett relativt nystartat kassaföretag i Norrköping.

Hur kunde hans kunders kortnummer hamna hos en ökänd bedragare?

Annons

 

Kassaföretaget Alphacash kontor låg inhyst i en liten men vacker trerumslägenhet högst upp på tredje våningen i en sliten tegelfastighet på Trädgårdsgatan i centrala Norrköping. Det hade högt i tak, med stuckaturer och stora fönster mot gatan där de öststatsliknande spårvagnarna då och då slamrade förbi.

Hade det inte varit för alla gamla lunchkartonger, urdruckna pet-flaskor och svarta soppåsar hade det kunnat röra sig om vilket litet innerstadskontor som helst. Nu påminde det mer om en ungkarlslya.

Här satt Jesper Öhnstedt och den tredje delägaren Jonas Petersson vid var sin PC-dator och utvecklade Alphacash programvara, medan Mattias Eriksson åkte runt till kunder i firmans Volvo. De var alla i trettioårsåldern.

Mattias var den naturliga företrädaren för företaget. Det var också han som stod som kontaktperson när registreringshandlingarna skickades in till bolagsverket i maj 2005. Då hade han flera bolag inom databranschen bakom sig. Några år tidigare hade han drivit en liten datorbutik i Norrköping tillsammans med en barndomsvän från Krokek. Men när han insåg att han tjänade mer pengar på att installera nätverk och utföra andra sysslor på konsultbasis lade han ned butiken.

– Alla säljer datorer i dag i alla fall, resonerade han.

På en restaurangägares inrådan fick han upp ögonen för kassaterminalbranschen. Tidpunkten var precis rätt. Där fanns mycket pengar att hämta.

Med allt hårdare redovisningskrav från skattemyndigheten och med kortbetalningarnas verkliga genombrott behövde gamla kassaregister ersättas av moderna terminaler. Och flera kassaterminaler på marknaden bestod av vanliga PC-system som Mattias Eriksson redan var van att arbeta med.

Han började serva kassasystem i Norrköpings krogvärld och blev snart känd som en både effektiv och kompromissvillig datatekniker.

Genom ett konsultuppdrag för det göteborgsbaserade företaget POS One kom han i kontakt med företagaren Håkan Tegelberg, en verklig veteran inom kassabranschen.

Håkan hade sålt kassaregister i trettio år och började tröttna på alla klagomål från kunder med krånglande terminaler. I Mattias Eriksson såg han en driven person som delade hans planer att utveckla enklare programvara, med mindre krångel.

Håkan Tegelberg anställde Mattias Eriksson och hans två programmeringskunniga vänner Jonas Petersson och Jesper Öhnstedt. Håkan Tegelberg såg sig som pappa för projektet, och stod för finansieringen mot att han någon gång i framtiden vid en eventuell försäljning skulle få en stor del av pengarna.

Framtiden såg ljus ut.

 

För att få koppla kassaterminalerna till kortsystemet slöts ett avtal med Strålfors, ett av de servicebolag som agerar länk mellan banker, butiker och kortföretag. Därmed var Alphacash godkända som en i raden av leverantörer av kassaterminaler till restauranger och butiker – och officiellt insläppta bakom murarna till det digitala betalningssystemet.

I Alphacash utvecklades Mattias Eriksson till en verklig säljmaskin. Han levde för jobbet och beskrivs som en naturbegåvning, en säljare av den gamla skolan där det räckte med ett handslag, sedan var allt okej.

Hans arbete kretsade kring restauranger och krogar. Sålde han inte kassaterminaler för Alphacash, kunde han ställa upp som entrévärd eller diskjockey. Därmed kom han också i kontakt med de mer ljusskygga sidorna av krogvärlden, som finns också i en mellanstor stad som Norrköping.

En dag nämnde han för Jonas att han hjälpt den lokala MC-klubben Top Hat MC att installera ett krypteringsprogram på klubbens datorer.

– Var det så väldans smart? frågade Jonas, väl medveten om att klubben aspirerade på att bli Hells Angels nästa avdelning i Norrköping.

Mattias Eriksson ryckte på axlarna, och menade att han bara hjälpte några killar han träffat på krogen.

När Jonas träffade en tjej i Thailand och blev allt mindre intresserad av att dra runt på krogen, gled de båda vännerna ifrån varandra. Mattias sökte sig till nytt umgänge på de mer utpräglade inneställena i Norrköping, där han beskrivs som en person som sprang runt med tjocka sedelbuntar i fickan och som kunde spendera tusentals kronor under en kväll.

För dem som ville lyssna berättade han om sin dröm att lämna stressen i Sverige. Han tänkte inte bli som sin pappa, som satt hemma i lägenheten i Krokek, drabbad av hjärtproblem redan innan han fyllde fyrtio. Det var inte värt det. Istället skulle Mattias Eriksson packa väskorna en dag, och flytta till Brasilien.

I november 2006 köpte han en tomt i området Maxaranguape, ett fiskesamhälle med tiotusen invånare, drygt två mil norr om den stora turistmetropolen Natal och inte långt ifrån fotbollsstjärnan David Beckhams och den inhemske formel ett-stjärnan Ruben Barrichellos gemensamma lyxresort Cabo São Roque.

Hela kustremsan var fylld av stora spekulationsprojekt. Med norska oljepengar och under den norska »self made« finansmannen Svein-Erik Bakkes ledning skulle det idylliska fiskesamhället inom tio år vara förvandlat till världens största semesterby med 5 000 lägenheter, åtta hotell och tre golfbanor.

En fantastisk dröm och slutmålet för ett hårt arbetsliv enligt vissa. Ett vansinnesprojekt enligt andra.

Det fanns ju inte ens en asfalterad väg från Natal till Maxaranguape.

Tre veckor efter att Mattias Eriksson köpt sin tomt begick Svein-Erik Bakke självmord och hela högriskprojektet sattes i gungning.

Det fick inte Mattias att sluta drömma.

Så gott som dagligen fick vännerna höra om fördelarna med att lämna Sverige. Mattias Eriksson skulle sticka när det arkitektritade huset var färdigbyggt, om kanske fem år. Han skulle sälja bolaget, och sedan leva på avkastningen.

Hur lätt var inte allt därnere!

 

Medan polisen jagade »Jean Naaoum« för kortbedrägerierna på Djurö uppmärksammades de svenska bankerna på allt fler obehöriga transaktioner. I månadsskiftet januari-februari 2007 drabbades en av Handelsbankens kunder av ett obehörigt uttag på 9 074 kronor. Ännu en gång kunde det spåras till ett kort som använts på Beirut By Night, men den här gången gjordes inte uttaget på en butik i Stockholms skärgård, utan på en ögrupp nästan tusen mil därifrån: Filippinerna.

Nu började rapporterna dessutom strömma in om skumma uttag från kort som aldrig hade varit i närheten av restaurangen i Hallonbergen.

Fem kort som räckts över till personalen på en stor nattklubb i Borås användes för kortköp för sammanlagt 161 000 kronor. Även den gången gjordes uttagen på Filippinerna, men också i Thailand.

En man som inte hade lämnat Norrköping på flera månader, men som dragit sitt kort på en av innekrogarna i stan, upptäckte att pengar togs ut från hans konto – i USA.

Alla storbanker var drabbade, utan urskiljning.

Någonstans i det digitala betalningssystemet fanns uppenbarligen en lucka. Det enda bankerna kunde göra innan den hade tätats var att ersätta kunderna med de förlorade beloppen, och spärra kortnumren i den takt bedrägerierna uppdagades.

 

Varje dag görs över tre miljoner transaktioner med svenska bank- och kreditkort. Det innebär att enorma värden förflyttas inom kortsystemet, värden som tidigare fanns uppdelade i var mans plånbok i form av sedlar och mynt.

För banker och handlare finns det mycket att tjäna på den här övergången – så sent som i början av 90-talet var tjugofem procent av bankernas kostnader kopplade till hanteringen av kontanter. Betalkorten har inneburit färre butiksrån, färre kostsamma penningtransporter och ökade skatteintäkter för staten i och med att det blivit svårare att betala svart för varor och tjänster. För varje kortköp tjänar dessutom systemets olika aktörer pengar i form av avgifter.

I takt med övergången till kort har de digitala säkerhetskraven ökat. Det måste gå att lita på systemet – annars påverkas hela samhällsekonomin.

Alla svenska banker håller sig därför med egna säkerhetsavdelningar som dygnet runt, sju dagar i veckan, med hjälp av sofistikerade system skannar av samtliga korttransaktioner i jakt på händelser som skiljer sig från det normala. Om någon handlar mjölk på Ica i Tranemo för att en halvtimme senare dra samma kort hos en taxichaufför i Johannesburg, finns det system som får ett meddelande att omedelbart dyka upp på dataskärmarna inne på bankernas säkerhetsavdelningar. Enligt företaget Secana, som bland annat anlitas av SEB för skanning av kundernas köpbeteenden, upptäcks 86 procent av alla kortbedrägerier genom den typen av automatiserade kontroller.

Det som nu drabbade de svenska bankerna antydde problem av mycket större dignitet. Och för åtminstone några av de inblandade experterna måste det inträffade ha gett en obehaglig känsla av deja vù.

 

Västsvensken Magnus Jakobsson var 25 år gammal när han 1999 trädde in på den internationella kortbedragarscenen.

Han hade begått en del småbrott tidigare – några inbrott i skolor och kontorslokaler tillsammans med kompisar, enklare kortbedrägerier, innehav av nio högexplosiva sprängkapslar »för att tillverka en nyårssmällare«. I de lokala medierna var han omskriven som »radiomarodören« som byggde om sin radioutrustning för att gå in och sända på polisens frekvenser.

»Jag ville bara retas lite«, sade den unge mannen under en rättegång där han även beskrev sitt stora intresse för att plocka isär och bygga ihop tekniska apparater.

När han sommaren 1999 kom i kontakt med en ryss vid namn Andrej Golov tog småfifflaren ett stort kliv rakt in i grov organiserad brottslighet. Golov var säkerhetschef vid den ryska storbanken Alfa Bank/Union Card, och beskrivs som ett matematiskt geni som fallit för frestelsen att tjäna stora och snabba pengar.

Genom sitt arbete hade han full tillgång till bankens datasystem, inklusive krypteringsnycklar och servrar som hanterade elektronisk trafik för samtliga utländska kort som stacks in i uttagsautomater runt om i Ryssland. Andrej Golov tog sig in i systemet och stal hundratusentals kortnummer med tillhörande pinkoder.

Men han behövde någon som kunde föra över kortinformationen till nya plastkort, och som kunde ta risken att plocka ut pengarna. Gärna långt bort från Ryssland.

Andrej Golov blev imponerad av Magnus Jakobssons kunskaper och erbjöd honom kortinformationen i utbyte mot att han själv fick 60 procent av allt som plockades ut ur automaterna. Magnus Jakobsson godkände villkoren och fick tjugo- till trettiotusen kortnummer med tillhörande pinkoder skickade till sig.

Svensken tillverkade vita, hemmagjorda betalkort med den fyrsiffriga koden inskriven i plasten. Under ett drygt år plockade Magnus Jakobsson och personer som han anlitade ut minst tio miljoner kronor ur uttagsautomater över hela Västeuropa. Sverige, särskilt Göteborgsområdet, var extra hårt drabbat.

Det dröjde mer än ett år innan polisen lyckades stoppa det som då beskrevs som den största internationella kortbedrägerihärvan någonsin. Flera av personerna som greps med Magnus Jakobssons plastkort var medlemmar i det nybildade kriminella gänget Original Gangsters. Hösten 2001 dömdes Magnus Jakobsson till fem och ett halvt års fängelse för grova organiserade kortbedrägerier, och för att ha skaffat fram 21 pistoler åt personer i den kriminella gängmiljön.

Nu användes liknande bedrägerimetoder igen. Än en gång stod Sverige i centrum.

 

månadsskiftet februari och mars 2007 flögs i största hemlighet europachefen för det brittiska säkerhetsföretaget Cybertrusts avdelning för kriminaltekniska utredningar till Stockholm för att inleda en privat undersökning åt de fyra svenska storbankerna.

Cybertrusts utredare kom fram till att det inte var de enskilda restaurangerna som var felkällan i den växande svenska korthärvan, utan restaurangernas kassasystem. Alla drabbade restauranger hade kassor med integrerade kortläsare som de inhandlat från ett Norrköpingsbolag.

Alphacash var en av de mindre aktörerna inom kassabranschen med drygt 120 sålda kassor utspridda på ett åttiotal restauranger i framför allt Göteborgs- och Norrköpingsområdet, men det räckte för att nästan 200 000 kortkunder haft möjlighet att dra sitt kort genom terminalerna.

Cybertrusts utredare fann att Alphacash kassaterminaler i strid mot alla branschens regler sparade informationen från alla kort som dragits i restaurangerna. Den låg kvar okrypterad i terminalernas minne, och kunde när som helst tankas över till ett USB-minne eller brännas över till en CD-skiva. Det gjorde Alphacash kassaterminaler till stora skimningsutrustningar fyllda med värdefull kortinformation.

Samtidigt hittade utredaren ett fjärrstyrningsprogram i kassaterminalerna som tillät personer att ta sig in i terminalerna och hämta hem information varhelst ifrån.

Utredaren från Cybertrust rapporterade till sina uppdragsgivare att den skyldige förmodligen stod att finna bland Alphacash delägare.

»Under kvällen lade Mattias Eriksson plötsligt upp en tjock bunt med sedlar på vardags­rumsbordet inför Håkan Tegelberg och hans familj. Det var närmare 200 000 kronor.«

En stark känsla av olust sköljde över Jesper Öhnstedt i samma stund som han klev in genom dörröppningen till Mastercards mötesrum, och möttes av blickarna från över tjugo personer iklädda mörka kostymer och dräkter.

»Nu är det allvar«, tänkte han.

Utanför var det en kall onsdagsförmiddag den 13 mars och vid ett långt ljust mötesbord på fjärde våningen i en av Sergelsskraporna i Stockholm träffade han och Jonas Petersson storbankernas säkerhetspersonal öga mot öga för första gången.

Enligt inbjudan skulle mötet handla om »restaurantincidenten«.

Mycket mer visste de inte.

Nu ställde representanter för alla de fyra storbankerna samt Strålfors, Visa och Mastercard frågor om Alphacash säkerhetsrutiner.

– Vad vet ni om Strålfors Auriga-server? frågade någon.

– Hur många brandväggar har ni på kontoret?

– Vad vet ni om PCI DSS-autenticering?

Ju längre mötet fortgick, desto mer insåg Jonas och Jesper att många av frågorna handlade om sådant som bara Mattias Eriksson kunde svara på. Men han var i Brasilien, för andra gången på ett halvår. För att fira sin trettioårsdag och för att hämta hem sin nyblivna flickvän till Sverige.

De fick frågor om en olovlig transaktion gjord på en av innekrogarna i Norrköping, restaurang Carl Johan. Ett köp på 50 000 kronor hade gjorts med ett Mastercard Gold kopplat till ett konto i Hongkong. Omedelbart efter godkännandet gjordes ett ångerköp på samma summa, men istället för att hamna på Mastercardkortet fördes summan över till ett svenskt Nordeakort.

Jonas och Jesper satt som två stora frågetecken.

– Nä, så fungerar det inte, det ska inte ens gå att göra så, började Jonas.

Sedan kom han på att för den som hade tillgång till ett administratörskonto, skulle det säkert vara teoretiskt möjligt.

– Men det är definitivt inte vanligt, sade han.

När mötet var över tog Jonas och Jesper hissen ner från Mastercards kontor. De bara tittade på varandra och skakade på sina huvuden. De kände att något stort var under uppsegling som de inte hade kontrollen över.

Först när de kom ut på gatan bröts tystnaden av Jonas Norrköpingdialekt:

– Jag tror att det är någon som har en del att förklara när han kommer hem.

 

Mattias Eriksson var den som skötte servicen åt kunderna. För sin egen bekvämlighet hade han ett fjärrstyrningssystem som lät honom logga in i kassaterminalerna på distans. Därmed kunde han också vittja dem på information, var han än befann sig. I teorin fanns det inget som hindrade honom från att sedan skicka den vidare till en utomstående person som tillverkade nya plastkort med informationen.

När Mattias Eriksson kom hem från Brasilien försökte Jesper Öhnstedt prata med sin kompanjon om problemet, men fick bara undanglidande svar. Det var en märkbart stressad Mattias som Jesper Öhnstedt fick med sig till ett nytt möte uppe på Mastercard en vecka efter det första. Nu räckte den engelske utredaren fram ett fax med en kopia av ett körkort till delägarna för Alphacash.

Cybertrusts säkerhetsexpert berättade att mannen på körkortet var identisk med ägaren till de två bankkort som använts vid den omtalade överföringen på restaurang Carl Johan.

Jesper Öhnstedt granskade bilden, men den sade honom ingenting. Utredaren frågade om han inte kände igen mannens namn. Inte heller det hade Jesper hört talas om. Samma svar gav Mattias Eriksson.

– It’s a very bad man, sade utredaren allvarligt, och verkade bestört över att två personer som arbetade med kassasystem i Sverige inte var bekanta med namnet.

Mannen på bilden var Magnus Jakobsson.

 

En kväll några dagar senare ringde telefonen hemma hos Alphacashfinansiären Håkan Tegelberg i Kungälv. Han hörde en panikslagen röst i luren:

– Jag är hos dig om en timme. Jag måste sticka.

Det var Mattias.

Håkan Tegelberg undrade om det hade hänt Mattias flickvän något. Han visste att de hade kommit från Brasilien bara ett par dagar tidigare och att hon var i Sverige för första gången. Nu skulle de tillbaka med vändande flyg.

Mattias varken lyssnade eller förklarade:

– Vi kommer nu. Vi måste sticka, sa han.

När Mattias kom innanför dörren till Håkan Tegelbergs villa såg han lika panikslagen ut som han hade låtit i telefonen.

Han berättade en historia som gick ut på att han blivit mordhotad av en restaurangägare i Norrköping. Denne beskyllde Mattias för att ha sålt en kassaterminal som gjorde att polisen kunde uppdaga ett skattebedrägeri. Nu menade Mattias att hans enda utväg var att fly landet.

Håkan försökte lugna ner honom och förklarade att det måste finnas andra sätt.

Under kvällen lade Mattias Eriksson plötsligt
upp en tjock bunt med sedlar på vardagsrumsbordet inför Håkan Tegelberg och hans familj. Det var närmare 200 000 kronor. Enligt Håkan Tegelberg hade Eriksson dessutom väskorna fullproppade med nyinköpta laptopar och andra elektronikvaror.

Nästa dag tog Mattias Eriksson och hans flickvän bilen till Oslo och Gardemoens flygplats. Klockan närmade sig fyra på eftermiddagen den 24 mars 2007 när Air France flight AF2375 lyfte för att ta dem till Paris, och därifrån vidare till Brasilien och Natal.

 

För Norrköpingspolisen kom Jesper Öhnstedts anmälan av Mattias Eriksson som en blixt från klar himmel. Utöver spridda, till synes separata fall av kontokortsbedrägerier, fanns ingen samlad anmälan om mer storskalig brottslighet. Namnet Alphacash var okänt. Det fanns ingen utredning, ingen anmälan, ingenting. Polismännen var frustrerade. Bankerna hade gjort som de brukade. De hade skött utredningen själva.

Och nu hade den huvudmisstänkte i vad som kunde vara den hittills största kortsvindeln i Sverige redan dragit till ett land han inte kunde begäras utlämnad ifrån.

Först ytterligare ett par dagar senare, den 29 mars 2007, lämnade SEB som första bank in en polisanmälan. Veckorna därpå följde de andra storbankerna efter.

Det dröjde ytterligare fem veckor innan uppgifterna om att någonting hade hänt sipprade ut till allmänheten. Då hade mer än tre månader gått sedan den första stora bedrägeriattacken i Tempobutiken på Djurö. Bankernas utredning hade pågått nästan lika länge.

Den 7 maj avslöjade Dagens industri att Eurocard sänt ut brev till över tusen kunder i Sverige där företaget förklarade att deras kortnummer kunde ha hamnat i orätta händer. Eurocards kort är bland de mest eftertraktade bland kortbedragare eftersom de ofta saknar övre uttagsgräns. Nu skulle tusen kort bytas ut »i förebyggande syfte«.

»Vi har fått signaler. Men jag kan inte gå in i detalj på hur vi snappar upp det här«, sa Sofia Fjellestad, marknadsansvarig på Eurocard till Dagens industri.

Dagen därpå bekräftade SEB att tiotusen av bankens kort skulle bytas ut.

»Detta är större än vi först trodde«, sade bankens informationschef Kerstin Ottosson.

Journalisterna fick bokstavligen dra ut informationen från bankerna och först ett par dagar senare medgav också SEB:s konkurrenter att de var drabbade.

Handelsbanken berättade att 5 268 kunder skulle få nya kort, hos Nordea låg siffran på drygt 20 000. Den största kortutgivaren Swedbank erkände visserligen att man drabbats, men har än i dag inte angett någon siffra, med motiveringen att man aldrig redovisar den typen av uppgifter.

Finansinspektionens enhet för kredit och operativa risker fick beskedet om det stora läckaget av kortinformation via media, och bad om en förklaring. En första kontakt togs med SEB, som – samtidigt som informationschefen sagt till medierna att tiotusen kort bytts ut – meddelade Finansinspektionen att den korrekta siffran var 24 000 kort.

 

Precis som är fallet med nästan alla större amerikanska uppfinningar finns det en svårkontrollerad anekdot knuten till hur det första kreditkortet kom till. Den inleds med en dyr nota på en exklusiv affärsrestaurang på Manhattan, den 28 februari 1950.

Affärsmannen Frank McNamara hade just avslutat en middag med ett par affärsbekanta och deras fruar när han upptäckte att plånboken inte låg på sin plats i kavajens innerficka. Frank McNamara ville ändå upprätthålla skenet när notan kom in, och kontaktade hovmästaren. Diskret räckte McNamara honom ett av sina visitkort som han signerade baktill, med en uppmaning att skicka räkningen till hans kontor dagen därpå.

Samma år grundade Frank McNamara företaget Diners Club. Innan året var slut hade han gett ut 200 kort som accepterades på 27 exklusiva restauranger och två lika exklusiva hotell i området runt Wall Street.

Det var naturligtvis ingen tillfällighet att just Frank McNamara, känd och betrodd gäst, slapp diska sig från notan den där februarikvällen 1950. Liksom alla tidigare kända betalningsmedel är kreditkortet framför allt en fråga om förtroende.

Redan före vår tideräkning präglades mynt med kejsarens bild eller den härskande maktens symboler som garant för myntets värde. De första svenska sedlarna bar namnunderskrifter från alla riksbankens ledamöter för att inge förtroende och en garanti att den sköra papperslappen när som helst kunde bytas mot klingande silver.

Kortsystemet bygger på att säljaren av en vara kan lita på att den virtuella summan i kassaterminalen verkligen kan växlas in i reella pengar. Samtidigt måste kunderna kunna lita på att deras pengar är i trygga händer hos kortföretagen.

 

Magnetremsan är en enkel metod för att lagra information som dessutom är relativt felfri. Men dess enkelhet gör den också lätt att kopiera. Säkerhetsmässigt har magnetremsan beskrivits som det moderna kortsystemets akilleshäl.

I dag kan vem som helst köpa en kombinerad kortläsare och skrivare för tillverkning av egna plastkort för ett par hundralappar via butiker på internet. Samma teknik som används av företag och bostadsrättsföreningar för att tillverka passerkort, kan användas till att skapa egenhändigt tillverkade betalkort.

– Kort med magnetremsa är en usel produkt. Det är inte svårare att ändra den lagrade informationen än det är att spela in musik på ett kassettband, sade chefen för rikskriminalens finanspolis Marcus Qvennerstedt redan 2001.

Åtta år senare har alla kort som ges ut i Sverige kompletterats med säkerhetsdetaljer som det glittriga hologrammet på Visakorten, och den så kallade CVV-koden som ökar säkerheten vid betalningar på internet. På kortens framsida finns numera ofta det säkrare chipet, en elektronisk krets som kan krypteras hårdare och är betydligt svårare att knäcka för en bedragare.

Övergången från magnetremsa till chip är ett ofantligt projekt: det finns 2 800 uttagsautomater i Sverige, och mer än 187 000 kassaterminaler ute i butiker och restauranger. Handlarnas samarbetsorganisation Svensk handel uppskattar att den mer eller mindre framtvingade nyordningen kostar butikerna en miljard kronor bara i år. Sedan den första mars i år ersätter inte bankerna de handlare som utsatts för kontokortsbedrägerier vid köp där enbart magnetremsan har använts.

Samtidigt är inget system starkare än sin svagaste länk. Så länge korten har kvar magnetremsan kan de kopieras och användas nästan var som helst utanför Sverige. Flera av våra vanligaste semesterorter har ännu inte påbörjat övergången till chipteknik, och den ledande ekonomiska världsmakten USA har hittills inte visat något intresse för att gå ifrån magnetremsan – eller ens infört pinkoder för bankkort.

Händelser som Alphacashhärvan och Andrej Golovs kupp mot Alfa Bank visar också att moderna bedrägerier lika väl kan ske innanför bankernas noggrant uppbyggda skyddsmurar.

Kritiker menar att bankerna avslöjar så lite som möjligt när de utsätts för attacker, för att inte rubba folks förtroende och riskera en fördröjning av det kontantlösa samhället och investeringarna i nya chipläsare. Svensk handels säkerhetschef Dick Malmlund efterfrågar en betydligt större öppenhet från bankerna.

– De vill ju inte exponera svagheter i systemen därför att det blir dyrare för dem, men även då tappar folk förtroendet. Man måste vara ärlig. Jag tror att det handlar om att man har större problem än vad man vill torgföra, framför allt tror jag att man inte känner att man sitter på trumf.

 

I ett e-postmeddelande som gick ut till de övriga delägarna några dagar efter flykten, medgav Mattias Eriksson att han hade haft en långvarig kontakt med den dömde kontokortsbedragaren Magnus Jakobsson, men att de träffats på internet av en tillfällighet när han sökte affärskontakter i Asien. »Under denna tid så jobbade han sig in i vårat system«, skrev Eriksson. »Resultatet av detta blev att han kom åt en massa kortnummer från vårat system.«

Men mest verkade han tycka synd om sig själv:

»Vad kan jag säga annat än att jag inte sitter på någon drömsits just nu, i ett skitland utan en spänn på fickan. Jag hoppas att jag någon gång kan ordna upp saker och ting. Detta är inget som jag har gjort med uppsåt. Hoppas att ni förstår och att allt löser sig.«

Det gjorde det inte.

När kontoutdragen från företagskortet damp ned i brevlådan uppe på Alphacash kontor, upptäckte Jonas Pettersson och Jesper Öhnstedt att pengarna som finansierat Mattias Erikssons tomtköp i Natal till större delen kom från deras företagskonto. Dessutom hade landsflyktingen tömt företagskortet och maxat krediten innan han satte sig på flygplanet till Brasilien.

Snart kontaktades Jonas Pettersson och Jesper Öhnstedt dessutom av skattemyndigheten som krävde dem på hundratusentals kronor i obetalda skatter, pengar de trodde att Mattias Eriksson låtit bli att betala under två års tid.

De båda vännerna startade ett nytt kassaterminalbolag, men utan integrerade kortläsare. I ett brev till en av storbankernas säkerhetsansvariga undrade de om det fanns någon framtid för dem inom branschen.

Svaret de fick: »Det kan konstateras att Alpha Cash säkerhetsarbete och tänk kring hur man hanterar känslig kortinformation har varit helt obefintlig och dessutom haft inslag av olaglig verksamhet. Det strider mot minsta tänkbara sunda förnuft och mot samtliga punkter i PCI Data Security Standard som reglerar hur kortinformation får hanteras vilket fått mycket stora konsekvenser för kassakunder, banker, kortinnehavare och flera andra parter.«

Jonas Pettersson och Jesper Öhnstedt tolkade det som ett nej.

»Jag tyckte att vi hade ett jättebra samarbete med polisen och jag tyckte att jag gav dem all den information som vi hade. Men tyvärr räckte det inte hela vägen.«

Samtidigt fortsatte bedrägerierna med kortuppgifter som läckt från Alphacash terminaler. Attackerna skedde från alla världens hörn, och utan tydliga kopplingar till Sverige. Det är troligt att en del av kortinformationen sålts för en dollar styck på något av de skyddade forum för kriminella hackers, skimmare och identitetstjuvar som finns på internet.

Med Mattias Eriksson utflugen och Magnus Jakobsson boende i Thailand gick polisens arbete trögt.

På nystartade hemsidan www.flytillbrasilien.se kunde utredarna följa Mattias Erikssons liv på andra sidan Atlanten. »Våga släpp taget och fly till Brasilien«, skrev Eriksson. »Var med om att bygga din dröm utanför Sverige. Investera i Natal, Brasilien. Billigare än så kan det inte bli. Varför lägga alla pengar på skatt och moms i Sverige när man kan åka till Brasilien och starta upp en verksamhet för en bråkdel av pengarna vad det skulle kosta i Sverige?«

Eriksson tipsade den hugade om att Norge som icke EU-land inte delade utreseinformation med Sverige, och att Gardemoen därför var den bästa platsen att rymma ifrån. Han uppgav också matnyttig information som det lokala priset på en flaska Smirnoff eller en påse fryst pommes frites, samt att stället var i stort behov av en pizzabagare. På hemsidan förbannade han de medier som skrev om Alphacash-härvan, och utmålade sig själv som utsatt för en komplott.

Trots bankernas stora kortbytesprogram fanns fortfarande fungerande kort på vift. Under hösten 2007 drabbades Strålfors av ett allvarligt dataintrång, som innebar att falska kortköp för omkring en miljon kronor kunde göras direkt i Strålfors system. När kortköpet var godkänt gjordes omedelbart ett returköp där pengarna fördes över till andra bankkonton. Kortinformationen som användes kom återigen från Alphacash, och när de IP-adresser som användes vid intrånget bland annat spårades till Brasilien och Thailand ansåg sig utredarna kunna knyta både Mattias Eriksson och Magnus Jakobsson till brottet.

I slutet av december begärde åklagaren Karl-Erik Esbo i Göteborg dem häktade, och sände ut en internationell efterlysning.

Några dagar senare skickade Magnus Jakobsson ett fax till tingsrätten där han förklarade sig oskyldig till alla anklagelser, och begärde att få förre justitieministern Tomas Bodström som försvarsadvokat.

Jakobsson hade skapat sig ett nytt liv i Thailand efter tiden i fängelset, bildat familj och fått ett bra jobb i Hong Kong, som han förlorade som en följd av anklagelserna mot honom.

 

Den 10 januari 2008 klev Magnus Jakobsson ensam in på polishuset i Göteborg och anmälde sig i receptionen. Väl hos polisen sade han ingenting på sju veckor.

– Jag försökte prata med honom men han var inte så värst pratsam, säger Bengt-Åke Nilsson som höll i utredningen vid länskriminalpolisens utredningsrotel.

Magnus Jakobsson delade bankernas uppfattning att systemet var osäkert, men nekade till att ha haft något alls med bedrägerierna att göra. I stället menade han att det var hans gamla dom från 2001 som gjorde att han misstänktes för inblandning i läckaget kring Alphacash terminaler.

– Ett tema när vi höll förhör med honom var att han hade inblick i vad det här handlade om, men han menade att den insynen hade han fått av andra skäl än för att begå brott, säger Karl-Erik Esbo.

Ungefär samtidigt som Magnus Jakobsson började prata, tystnade bankerna. Polis och åklagare som beskriver att de tidigare haft ett bra samarbete med bankernas säkerhetsavdelningar, fick inte längre svar på sina frågor.

Vilka konton var inblandade? Hur stora var summorna? IP-nummer, tider, datum?

En allt mer stressad Karl-Erik Esbo skrev ett brev till bankerna, med en kopia till Magnus Jakobssons advokat Thomas Bodström, där han förklarade att det nu fanns en man frihetsberövad, och att det därför var extra viktigt att bankerna svarade snabbt på polisens frågor.

– Jakobsson ställde krav på att vi skulle gå tillbaka till bankerna och få nya uppgifter, och jag tyckte inte att jag fick den information som jag önskade för att känna mig trygg att fortsätta
ha honom frihetsberövad, säger åklagaren.

Han fick aldrig något svar på brevet.

– När jag inte fick de svar jag behövde så hävde jag häktningen. Och det stannade väl där helt enkelt, säger Karl-Erik Esbo.

I slutet av november 2008 lade han ned förundersökningen. I en bilaga till beslutet skriver han att de brott som utretts i ett och ett halvt års tid »verkligen verkar ha begåtts«, men att utredningen inte kunnat visa vem eller vilka som begått dem.

Hos polisen i Norrköping och Stockholm mottogs nedläggningen med bestörtning.

– Det var inte oväntat, men tråkigt, säger Kaj Hahne vid Stockholmspolisens bedrägerirotel. Det är komplicerade utredningar och när en av de huvudmisstänkta inte finns kvar i landet blir det ännu svårare.

Han är starkt kritisk till hur bankerna och framför allt deras utredare skötte saken från första början:

– Här går bankerna upp med en privat utredare och sätter hårt mot hårt mot den som är huvudmisstänkt, utan att ha en sheriff med sig. Sedan går man därifrån. Vi hade gått tillväga på ett helt annat sätt. Med den utredning som fanns till grund hade vi kunnat gripa, eller i vart fall gått till åklagare och ordnat med ett reseförbud.

Den enda som åtalades för Alphacashsvindeln var den mångfacetterade fifflaren »Jean Naaoum«. I juni 2008 dömdes han till ett år och nio månaders fängelse, samt utvisning.

Lars Vikström, nu pensionerad informationssäkerhetschef för Handelsbanken, fick en form av samordnande roll för bankerna under utredningen. Han säger att man aldrig fick något brev från åklagaren.

– Jag tyckte att vi hade ett jättebra samarbete med polisen och jag tyckte att jag gav dem all den information som vi hade. Men tyvärr räckte det inte hela vägen. Jag beklagar det lika mycket som åklagaren.

Samma inställning redovisar alla de fyra storbankerna samstämmigt. De understryker att alla kunder gjorts ekonomiskt skadelösa och att de egna åtgärderna förhindrat verkligt stor skada som en följd av läckaget.

Bankerna är också överens så till vida att de inte vill ge en totalsumma på antalet berörda kort i Alphacash-härvan.

Enligt en av Sveriges främsta experter på IT-säkerhet, Joakim von Braun på företaget High Performance Solutions, har bankerna bytt ut »betydligt fler än 80 000 kort«.

Uppskattningen stämmer väl överens med den uppgift om 24 000 utbytta kort som SEB gav Finansinspektionen i början av maj 2007, före härvans kulmen och intrånget i Strålfors.

SEB står som utgivare för drygt en tredjedel av landets nio miljoner kort, och det har inte framkommit några uppgifter om att de skulle ha varit hårdare drabbade än några andra banker. Tvärtom är det rimligt att anta att alla bankkunder utsatts för en likvärdig risk. Bankerna skulle med samma resonemang ha förlorat betydligt mer än tio miljoner kronor.

Det gör kortsvindeln till den största hittills i svensk historia.

 

Det finns ett billigt rum att hyra, bara fem minuter från stranden i turistorten Ponta Negra söder om Natal. För 1 200 kronor blir det ditt för en vecka. Då ingår trådlös uppkoppling mot internet, vatten, el och gas.

Att döma av bilden som ligger upplagd på annonssidan Blocket tar en bred säng med aluminiumben upp större delen av det spartanskt inredda rummet.

Det är ett rum i en lägenhet i ett av Ponta Negras sämre områden som Mattias Eriksson hyr ut åt svenska turister. Lägenheten har inte mycket gemensamt med de drömmar han hade om ett bekvämt lyxliv i en arkitektritad villa.

– Nu sitter jag här nere, jag har fått skiten för alltihopa och bor i Ponta Negras slumområde, stadsdelen som hotellen varnar turisterna för att gå till efter att det har blivit mörkt, den billigaste jävla lägenheten man kan leta reda på, säger Mattias Eriksson när jag når honom på hans mobiltelefon.

Solen sken inte ens första dagen de kom till det nya landet. Flygplatsen i Rio de Janeiro var insvept i en tät dimma och de missade anslutningsflyget som skulle ta dem vidare till Natal.

– Det är ingen jävla dans på rosor här nere. Jobb är omöjligt att få. Det är det liv man har, men jag känner: att åka tillbaka till Sverige, vad har jag där?

Han vidhåller sin förklaring till varför han flydde: han var rädd, inte för polisen eller bankernas utredare, utan för en restaurangägare i Norrköping.

Enligt polisen levde Mattias Eriksson ett utsvävande liv med mycket festande de första veckorna i Brasilien. Mattias Eriksson själv säger att han hade med sig två packade resväskor och 30 000 kronor i kontanter. Oavsett vems bild som stämmer är det uppenbart att pengarna nu är slut.

En gammal barndomsvän skickade ner några tusen med Western Union. Föräldrarna hemma i Krokek har skickat en del. Han säger att han har lyckats få ihop några tusenlappar här och där genom att tillverka hemsidor åt svenska företag, men att det inte rör sig om några större summor.

Tomten med sjuttio meter ned till den brusande Atlanten tvingades han sälja »för att lösa en del skulder« och »för att köpa möbler till lägenheten«.

– Den var svårsåld som fan. Jag sålde den till långt under värdet, säger Mattias.

Livet i Brasilien som skulle ha varit enkelt att leva har blivit till en ständig jakt efter pengar. Alphacash gamla hemsida på Internet har han gjort om till en annonsplats för spelsajter på Internet. Enligt Mattias ger det honom hundra dollar med några månaders mellanrum.

Han har tagit SMS-lån i Sverige på 20 000 kronor som han inte har för avsikt att betala tillbaka och agerar  målvakt i ett säkerhetsbolag med kopplingar till den organiserade brottsligheten.

– Det är inga roliga grabbar som äger det där, så jag vill inte bråka med dem. Jag vet inte vad de gör med skiten, men jag fick betalt för det och behövde pengar för att köpa mat och betala min hyra. Jag skiter faktiskt i vad som händer med det bolaget om jag ska vara riktigt ärligt, men jag tvekar inte att göra det igen så länge det handlar om att överleva.

Trots det låter han inte alltför ångerfull:

– Jag ångrar bara en sak, och det är att jag inte gjorde det, för då hade jag i alla fall suttit här med cash.