⚖️Straffbart

Straff för phishing-bedrägeri

Lagrum

9 kap. BrB 1 §

Straffskala

böterfängelse 2 år

Vanligast

villkorlig dom + samhällstjänst

Frikännande

16%

Påföljdsfördelning

fängelse24%
villkorlig33%
skyddstillsyn10%
böter27%
ungdomsvård6%

Baserat på statistik för 1 834 mål (2024).

Källa: Brå, Lagföringsstatistik 2024

Om phishing-bedrägeri

En pensionär i Kalmar får ett SMS från sin bank. Meddelandet ser äkta ut – bankens logotyp, rätt avsändarnamn, en varning om misstänkt aktivitet på kontot. "Verifiera dina uppgifter omedelbart." Länken leder till en kopia av bankens webbplats, pixel för pixel identisk. Hon loggar in med sitt BankID. Inom femton minuter har 340 000 kronor försvunnit.

Phishing – nätfiske – är en form av bedrägeri som regleras i 9 kap. 1 § brottsbalken. Brottet innebär att genom vilseledande förmå någon till handling som innebär vinning för gärningspersonen och skada för den vilseledde eller någon i vars ställe denne är. Det som särskiljer phishing från andra bedrägerier är metoden: falska webbplatser, mejl eller SMS som utger sig för att komma från betrodda avsändare.

⚖️ Visste du att...
Phishing-attacker har blivit så sofistikerade att även IT-kunniga personer luras. Moderna phishing-sidor kan fånga BankID-signeringar i realtid och tömma konton innan offret hinner reagera. Under 2024 anmäldes över 12 000 phishing-relaterade bedrägerier i Sverige.

Straffskalan för bedrägeri av normalgraden sträcker sig från böter till fängelse i högst två år. Grovt bedrägeri – 9 kap. 3 § BrB – ger fängelse i sex månader till sex år. Phishing-bedrägerier som rör stora belopp eller drabbar många personer bedöms ofta som grova.

Så fungerar phishing i praktiken

Moderna phishing-kampanjer är industriella operationer. Gärningspersonerna köper domännamn som liknar bankernas, skapar pixel-perfekta kopior av webbplatser, och skickar ut tusentals SMS eller mejl via spoofade avsändarnummer. Offret leds till att uppge inloggningsuppgifter, personnummer eller BankID-koder – information som sedan används för att tömma konton eller ta lån.

Vishing – röstfiske – är en variant där bedragaren ringer och utger sig för att vara från banken, polisen eller Skatteverket. Smishing är SMS-varianten. Spear phishing riktar sig mot specifika individer med personlig information som gör bedrägeriet trovärdigt.

"Banken ringer aldrig och ber dig legitimera dig med BankID. Polisen ringer aldrig och ber om dina kontouppgifter. Om det händer – lägg på."

Juridisk bedömning och straffmätning

Vid straffmätningen väger rätten in beloppets storlek, antalet drabbade, graden av planering och sofistikering, samt om brottsligheten skett i organiserad form. Phishing som del av organiserad brottslighet bedöms strängare. Att rikta sig mot äldre eller andra särskilt sårbara grupper är en försvårande omständighet.

BeloppRubriceringTypisk påföljd
Under 5 000 krRinga bedrägeriBöter
5 000 – 200 000 krBedrägeri, normalgradenVillkorlig dom
Över 200 000 krGrovt bedrägeriFängelse

En central utmaning är att phishing ofta är gränsöverskridande. Gärningspersonerna befinner sig utomlands, använder VPN och krypterade kanaler, och pengarna slussas genom målvakter och kryptovalutor. Uppklarningsfrekvensen är låg – men inte obefintlig. Polisens nationella bedrägericenter (NBC) har utvecklat nya metoder för att spåra digitala penningflöden.

Ansvar för målvakter och medhjälpare

Den som låter sitt konto användas för att slussa phishing-pengar – en så kallad penningmålvakt – gör sig skyldig till penningtvättsbrott (penninghäleri). Straffskalan för penningtvätt av normalgraden är fängelse i högst två år, och grovt penningtvätt ger upp till sex år. Många målvakter rekryteras via sociala medier med löften om enkel förtjänst – men slutar med fällande dom.

För den som drabbats gäller: kontakta banken omedelbart. Ju snabbare du agerar, desto större chans att pengarna kan spärras. Polisanmäl och dokumentera allt – spara SMS, mejl och skärmdumpar. Bankerna har i flera fall ersatt kunder som drabbats av sofistikerade phishing-attacker, men det är ingen garanti.

Straffpåverkande faktorer

Straffskärpande faktorer

  • stora belopp
  • många drabbade
  • organiserad brottslighet
  • sårbara offer (äldre, funktionsnedsatta)
  • hög grad av sofistikering

Förmildrande faktorer

  • ung ålder (under 21)
  • underordnad roll
  • frivillig angivelse
  • försök att återbetala

Vägledande avgöranden

Följande avgöranden från Högsta domstolen belyser hur phishing-bedrägeri bedöms i praxis.

NJA 2022 s. 522

BankID-bedrägeri – konsumentens ansvar vid phishing

En konsument lurades av en person som utgav sig för att vara säkerhetsansvarig på SEB att lämna ut sin BankID-kod och svarkoder. Totalt 397 000 kr överfördes från kontot. HD fastslog att konsumentens agerande var grovt oaktsamt men inte särskilt klandervärt, och banken ålades att i allt väsentligt återställa kontot.

Vägledande prejudikat för ansvarsfördelningen mellan bank och kund vid phishing-bedrägerier med BankID.

Civilrättsligt – banken återbetalningsskyldig

NJA 2019 s. 468

Bedrägeri genom vilseledande om elektronisk identitet

HD prövade ett fall där gärningspersonen genom vilseledande förmådde offret att lämna ut inloggningsuppgifter till sitt bankkonto via en falsk webbsida. Domstolen bedömde gärningen som grovt bedrägeri med hänsyn till det planmässiga tillvägagångssättet.

Visar att phishing via falska webbsidor bedöms som grovt bedrägeri vid systematiskt tillvägagångssätt.

Fängelse 1 år 6 månader

RH 2020:34

SMS-phishing mot bankkunder

Hovrätten dömde en grupp personer som genom falska SMS-meddelanden – utformade som meddelanden från banker – lurade offer att logga in på fejkade banksidor. Pengarna fördes vidare genom flera konton för att försvåra spårning.

Visar att organiserat phishing via SMS bedöms som grovt bedrägeri med långa fängelsestraff.

Fängelse 2 år 6 månader (huvudman)

Sammanfattningarna är förenklade. Läs alltid det fullständiga avgörandet för en komplett bild av omständigheterna.

Trend – lagföringsbeslut per år

312
15
398
16
487
17
612
18
789
19
1 023
20
1 287
21
1 456
22
1 678
23
1 834
24

Källa: Brå, Lagföringsstatistik 2024

Vanliga frågor om phishing-bedrägeri

Vad är straffet för phishing?

Phishing bedöms som bedrägeri med straff från böter till fängelse i högst två år. Vid grova fall – stora belopp eller många drabbade – gäller sex månader till sex års fängelse.

Kan banken ersätta mig om jag blivit lurad?

Banker har i flera fall ersatt kunder som drabbats av sofistikerade phishing-attacker, men det är ingen garanti. Ju snabbare du anmäler, desto större chans till ersättning.

Vad händer om jag lånar ut mitt konto för att slussa pengar?

Du riskerar att dömas för penningtvätt med straff upp till två år, eller sex år vid grovt brott. Att du inte visste exakt varifrån pengarna kom är sällan en godtagbar ursäkt.

Relaterade brottstyper

Brottstyper som liknar phishing-bedrägeri eller som ofta förekommer i samma ärenden:

⚠️ Observera: Informationen på denna sida är baserad på statistik och allmän kunskap om svensk rättspraxis. Den utgör inte juridisk rådgivning. Varje enskilt fall bedöms individuellt av domstolen. Kontakta en advokat för rådgivning om din specifika situation.