EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

RiR 2015:21

It-relaterad brottslighet

– polis och åklagare kan bli effektivare

IT-RELATERAD BROTTSLIGHET – POLIS OCH ÅKLAGARE KAN BLI EFFEKTIVARE

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Härmed överlämnas enligt 9 § lagen (2002:1022) om revision av statlig verksamhet m.m följande granskningsrapport över effektivitetsrevision:

It-relaterad brottslighet – polis och åklagare kan bli effektivare

Riksrevisionen har granskat om Polismyndigheten och Åklagarmyndigheten har beredskap för att ändamålsenligt och effektivt handlägga och utreda it-relaterade brott. Resultatet av granskningen redovisas i denna granskningsrapport.

Företrädare för Polismyndigheten, Åklagarmyndigheten och Regeringskansliet (Justitidepartementet) har fått tillfälle att faktagranska och i övrigt lämna synpunkter på utkast till slutrapport.

Rapporten innehåller slutsatser och rekommendationer som avser

Polismyndigheten och Åklagarmyndigheten samt regeringen.

Riksrevisor Margareta Åberg har beslutat i detta ärende. Revisionsledare Tina Malmberg har varit föredragande. Revisor Helena Fröberg, revisor Tove Lindström och revisionsdirektör Anna Hansson har medverkat vid den slutliga handläggningen.

För kännedom:

Regeringen, Polismyndigheten och Åklagarmyndigheten.

IT-RELATERAD BROTTSLIGHET – POLIS OCH ÅKLAGARE KAN BLI EFFEKTIVARE

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Innehåll

forts.

IT-RELATERAD BROTTSLIGHET – POLIS OCH ÅKLAGARE KAN BLI EFFEKTIVARE

Elektroniska bilagor

Till rapporten finns två ytterligare bilagor att ladda ned från Riksrevisionens webbplats www.riksrevisionen.se. Dessa kan också begäras ut från ärendets akt genom registraturen.

Bilaga 3  Frågor i Riksrevisionens aktgranskning

Bilaga 4  Riksrevisionens enkäter till polisregionerna och åklagarområdena

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Sammanfattning och rekommendationer

Riksrevisionen har granskat om Polismyndigheten och Åklagarmyndigheten har beredskap för att ändamålsenligt och effektivt handlägga och utreda it-relaterade brott.

Granskningens bakgrund

It-relaterad brottslighet är ett växande problem. För all brottslighet har de personuppklarade brotten under perioden 2006–2014 sjunkit från 18 till 15 procent, vilken är den lägsta nivån hittills. Personuppklaringen för de granskade it-relaterade brotten ligger konstant lägre och var 7 procent år 2014. Det är viktigt att Polismyndigheten och andra delar av rättsväsendet förmår hålla jämna steg med utvecklingen på området för att det brottsutredande arbetet inte ska försämras. När människor drabbas av brott och ärendena skrivs av i stället för att utredas, finns det en risk att förtroendet för rättsväsendet påverkas negativt.

Granskningen omfattar tre brottskategorier; it-bedrägerier, internetrelaterade barnpornografibrott och attacker mot infrastruktur. Riksrevisionen gör bedömningen att dessa tre brottskategorier kan illustrera handläggning och utredning av it-relaterad brottslighet i stort. Huvudsakligt fokus i granskningen är processen från anmälan

av brott till beslut om huruvida åtal ska väckas. Granskningen avser regeringen, Polismyndigheten och Åklagarmyndigheten.

Granskningens resultat

Sammantaget visar granskningen att bristen på vedertagna metodstöd, utvecklade arbetssätt, tillräcklig kompetens och specialisering inom området gör att polis och åklagare inte har beredskap och förmåga att utreda och handlägga it-relaterade brott på ett effektivt och ändamålsenligt sätt. De identifierade bristerna riskerar också att leda till att it-relaterade brott inte hanteras likvärdigt och enhetligt, och att det i högre grad blir personberoende hur ett ärende utreds. Samtidigt visar granskningen att det finns möjligheter till förbättrad personuppklaring med ett förändrat arbetssätt.

It-relaterad brottslighet kräver förändrade arbetssätt

Antalet anmälningar av it-relaterade brott ökar kraftigt samtidigt som personuppklaringen sjunker och många ärenden skrivs av utan utredning. It-relaterade brott är många gånger komplexa att utreda, digital bevisning är ofta svår att inhämta och internet gör det möjligt att begå brott anonymt. Polis och åklagare står därmed inför stora utmaningar för att kunna möta brottsutvecklingen.

RIKSREVISIONEN 9

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

komplicerad. Det finns också indikationer på att den svenska desken vid Europol i Haag skulle kunna användas i större utsträckning.

Polismyndigheten behöver ofta information från utländska företag för att kunna utreda it-relaterade brott. Delar av Polismyndighetens samarbete med utländska företag har underlättats av att myndigheten har utvecklat en samsyn för samarbete med vissa utländska företag som levererar internetbaserade tjänster, från vilka det ofta behövs information.

Riksrevisionens enkät visar att polisregionerna har olika uppfattning om hur samarbete och samverkan mellan regionerna fungerar. Företrädare för Polismyndigheten menar att det kan vara svårt att nå ut i polisorganisationen eftersom kontakter ofta bygger

på personliga nätverk. Riksrevisionen menar att detta tyder på att det finns ett behov av tydligare strukturer för samarbete och samverkan inom Polismyndigheten. För att förbättra möjligheterna till utbyte av erfarenheter mellan it-kunniga åklagare har strukturerna för detta inom Åklagarmyndigheten nyligen förtydligats.

Många it-relaterade brott är svåra att utreda

Att många ärenden skrivs av beror ofta på att brott har begåtts utomlands, att spaningsuppslag saknas eller att brottet har varit för ringa för att vissa

utredningsåtgärder, såsom hemliga tvångsmedel, skulle kunna vidtas. Gärningstypen har även en avgörande betydelse för om ett brott utreds. Några typer av dataintrång och bedrägerier som sker via internet utreds i stort sett inte alls. Dessa ärenden är en del av en brottslighet där möjligheten att nå framgång i ett enskilt ärende i det närmaste är obefintlig i dag. Riksrevisionen kan konstatera att det finns brottstyper där polis och åklagare med gällande lagstiftning och arbetssätt i stort sett saknar förutsättningar att vidta utredningsåtgärder.

Polis och åklagare kan arbeta effektivare och mer enhetligt

Riksrevisionen kan konstatera att många it-relaterade brott generellt är svårutredda. Samtidigt visar granskningen att det finns möjligheter till förbättringar i personuppklaringen med ett förändrat arbetssätt. Riksrevisionen noterar till exempel att polis och åklagare har lyckats vända trenden för internetrelaterat barnpornografibrott, där personuppklaringen har förbättrats kontinuerligt sedan 2006. Troliga bidragande faktorer till den ökande uppklaringen är ändrade förutsättningar i lagstiftningen, att Polishögskolan började ge en specialiserad utbildning på området 2006 och att denna brottstyp särskilt prioriterades av polisledningen under 2014.

Polis och åklagare måste komma igång snabbare med de inledande utredningsåtgärderna för att säkerställa att digitala bevis inte hinner försvinna. En förutsättning för att utredningsarbetet inte ska fördröjas eller försvåras är att anmälningarna innehåller all relevant information. Aktgranskningen visar att IP-adressen antecknades fel i cirka 20 procent av anmälningarna som innehöll en IP-adress. Detta får till följd att uppgiften inte

RIKSREVISIONEN 11

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

1 Inledning

1.1Motiv till granskning

It-relaterad brottslighet ökar kraftigt och precis som för all brottslighet kan den leda till stort lidande för brottsoffren, både psykiskt, fysiskt och ekonomiskt. För all brottslighet har de personuppklarade1 brotten under perioden 2006–2014 sjunkit från 18 till 15 procent, vilken är den lägsta nivån hittills. Personuppklaringen för de granskade it-relaterade brotten ligger konstant lägre och var 7 procent år 2014. Rikspolisstyrelsen har i en tillsynsrapport och en förstudie gjort bedömningen

att det finns flera brister i handläggning och utredning av it-relaterade brott.2 Om Polismyndigheten och Åklagarmyndigheten inte klarar av att utreda denna typ av brottslighet i tillräcklig utsträckning kan det leda till ett minskat förtroende för rättsväsendet och att brottsoffer avstår från att anmäla brott. En konsekvens av en sådan utveckling är att Polismyndigheten får en sämre överblick över brottsutvecklingen och de kriminella nätverken. I ett längre perspektiv kan den it-relaterade brottsligheten också leda till att människor får lägre tillit till att utföra till exempel transaktioner över internet och ändrar sitt beteende, vilket riskerar att påverka den ekonomiska utvecklingen i stort negativt.3

1.2Syfte och revisionsfrågor

Syftet med granskningen är att undersöka om Polismyndigheten och Åklagarmyndigheten har beredskap för att ändamålsenligt och effektivt handlägga och utreda it-relaterade brott. Centralt i granskningen är att analysera vilka förutsättningar polis och åklagare har för att kunna klara upp denna typ av brottslighet, vilka åtgärder man har vidtagit samt vilka hinder och utmaningar som kvarstår. Granskningens revisionsfrågor är:

1Personuppklarade brott är de brott för vilka beslutats om åtal, utfärdats strafföreläggande eller meddelats åtalsunderlåtelse (se även 1.6.5).

2Rikspolisstyrelsen (2014), Inspektion av polismyndigheternas förmåga att handlägga IT-brott, tillsynsrapport 2014:2; Rikspolisstyrelsen (2013), Förstudierapport, Polisens brottsbekämpande verksamhet, brott med internet-relevans, dnr PoA480-5583/11, s. 4, 7–8. Förstudiens syfte är att peka på problem och brister samt att föreslå åtgärder för att förbättra Polisens förmåga att hantera detta problemområde.

3Anderson m.fl. (2012), Measuring the cost of cybercrime, s. 5–10, 24.

RIKSREVISIONEN 13

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

1.4Genomförande

Nedan följer en kort beskrivning av granskningens huvudsakliga metoder.

För en mer detaljerad redogörelse, se bilaga 2.

Riksrevisionen har haft avstämningar med en extern referensgrupp bestående av poliser och åklagare med särskild kompetens inom it-relaterad brottslighet. I början av granskningen har problemindikationer stämts av med referensgruppen, som även har bistått Riksrevisionen med information om vilka arbetsmoment som omfattas av förundersökningsarbetet. Referensgruppen har även lämnat synpunkter på de iakttagelser som Riksrevisionen gjorde efter genomförd aktgranskning.

Riksrevisionen har granskat akter gällande it-relaterade ärenden som avslutades under 2013. Granskningen avsåg totalt 350 beslut (ett ärende kan innehålla flera beslut) inom de tre brottskategorierna. Granskningen omfattar dels

175 beslut som har lett till att åtal har väckts, åtalsunderlåtelse7 meddelats, eller strafföreläggande8 utfärdats, och dels 175 beslut som har lett till att ärendet har skrivits av (se vidare 1.6.4). Urvalsmetoden innebär att resultatet är generaliserbart för it-relaterade brott som helhet, men inte för respektive

brottskategori, undantaget it-bedrägerier där urvalet är tillräckligt stort. Vidare har en person med åklagarkompetens granskat de polisledda avskrivna ärendena och en överåklagare vid Åklagarmyndigheten de åklagarledda avskrivna ärendena.

Syftet var att bedöma om mer hade kunnat göras i ärendena för att nå lagföring9 och om avskrivningsgrunderna använts enhetligt och ändamålsenligt.

En enkät har även genomförts avseende kompetens, arbetssätt och organisering som samtliga polisregioner och åklagarområden har besvarat.

Vidare har Riksrevisionen gått igenom statistik från Brå och Polismyndigheten, genomfört dokumentstudier och intervjuer med företrädare för de granskade myndigheterna (främst operativ personal i form av förundersökningsledare, utredare och it-forenisker, men även personal på strategisk nivå) samt besökt European Cybercrime Center (EC3) i Haag.

720 kap. 7 § rättegångsbalken (1942:740). Åtalsunderlåtelse innebär en möjlighet att under vissa i lagen särskilt angivna förutsättningar inte väcka åtal. Något väsentligt allmänt eller enskilt intresse får inte åsidosättas.

848 kap. rättegångsbalken (1942:740). Fråga om ansvar för brott kan tas upp av åklagare genom strafföreläggande. Ett strafföreläggande har samma verkan som en dom. Eftersom åklagaren inte väcker åtal prövas inte ansvarsfrågan i domstol.

9Enligt Åklagarmyndigheten betyder lagföring att en person har ställts till svars för sin handling genom åtal, strafföreläggande och åtalsunderlåtelse. Detta innebär inte nödvändigtvis att personen har blivit dömd. I den officiella kriminalstatistiken som publiceras av Brottsförebyggande rådet innebär lagföring att personen har dömts i tingsrätt, godkänt strafföreläggande eller åtalsunderlåtelse. http://www.aklagare.se/Om-oss/Fragor-och-Svar1/ Statistik/Vad-innebar-begreppet-lagforing-/. Riksrevisionen använder Åklagarmyndighetens definition i denna rapport.

RIKSREVISIONEN 15

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

1.6Definitioner och preciseringar av centrala begrepp

1.6.1It-relaterad brottslighet

Det finns ingen enhetlig och vedertagen definition av it-relaterad brottslighet.

Ett synsätt är att dela in denna brottslighet i tre typer av brott:

ŸŸ brott mot en it-enhet (computer integrity crimes, exempelvis dataintrång och överbelastningsattacker)

ŸŸ brott där en it-enhet används (computer-related crimes, exempelvis försäljning av icke-existerande varor på internet och phishing)

ŸŸ brott som består i att sprida digitalt material (computer content crimes, såsom barnpornografibrott eller spridning av våldspropaganda).17

Polismyndigheten har traditionellt använt termerna it-brott och it-relaterad brottslighet, och framhåller att det i svensk lagstiftning finns två definierade it-brott: dataintrång18 och datorbedrägeri.19 Båda brotten är inriktade på register och system för automatisk behandling och informationsteknik är ett rekvisit för att kunna begå brottet, som riktas mot en it-enhet. Den andra termen, it-relaterad brottslighet, används som ett samlingsbegrepp på brottslighet som begås med hjälp av informationsteknik. Själva begreppet it-relaterad brottslighet finns inte i lagstiftningen och de brottstyper som avses faller in

under olika straffbestämmelser som är teknikneutrala, det vill säga de särskiljer inte om brottet sker med informationsteknik.20 I andra sammanhang kan andra begrepp och termer användas, såsom it-kriminalitet och internetbrott, som i stort beskriver samma fenomen. Vissa menar att definitionsfrågan av it-brott och it-relaterad brottslighet har förlorat i betydelse i takt med samhällets teknikutveckling och användandet av informationsteknik i allt fler brottstyper.21 I dag är i stort sett all brottslighet mer eller mindre it-relaterad.22

I denna rapport använder vi genomgående begreppet it-relaterad brottslighet. Betydelsen är då brottslighet där informationsteknik antingen är ett hjälpmedel, en brottsarena eller ett nödvändigt rekvisit för att begå brottet. Med denna definition omfattas Polismyndighetens båda termer it-brott och it-relaterad brottslighet. Däremot omfattas inte brott där gärningspersonen har lämnat digitala spår men inte använt informationsteknik för att begå brottet, exempelvis

17Wall, David (2007/11),”Policing Cybercrimes: Situating the Public Police in Networks of Security within Cyberspace (Revised Feb. 2011)”, Police Practice & Research: An International Journal, 8(2): 183 205, s. 186 f.

184 kap. 9 c § brottsbalken (1962:700).

199 kap. 1 § andra stycket brottsbalken (1962:700).

20Brå (2000), IT-relaterad brottslighet, rapport 2000:2, s. 12.

21Kronqvist, Stefan (2013), Brott och digitala bevis. En handledning. Tredje upplagan, Norstedts Juridik, s. 22; Politiet, Politidirektoratet, Norge (2015), Datakrimstrategien, s. 31.

22Intervju med Rikspolisstyrelsen 2014-11-17.

RIKSREVISIONEN 17

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

direktiv vidta åtgärder, till exempel hålla förhör, genomföra husrannsakan, utföra spaning eller övervakning.

Under förundersökningen ska polis och åklagare utreda och besluta om det finns skäl för åtal och förbereda ärendet inför en eventuell domstolsprövning. Om det inte finns anledning till att förundersökningen fullföljs ska den läggas ned. Förundersökningsledaren beslutar om att lägga ned förundersökningen. Åtal ska alltid väckas om man på objektiva grunder kan motse en fällande dom.25

1.6.4 Avskrivna ärenden

Med avskrivna ärenden avses i denna granskning två typer av avskrivningar: dels brottsanmälningar som avslutats genom beslut om att inte inleda en förundersökning (direktavskrivning), dels ärenden som avslutats genom beslut att lägga ned förundersökningen. När någon av dessa två typer av avskrivningar redovisas separat i granskningen preciseras det genom att termerna direktavskrivning respektive nedlagd förundersökning används.

1.6.5Begrepp ur den officiella kriminalstatistiken

Med personuppklaring menas att en person har bundits till brottet genom att åtal har väckts, att strafföreläggande har utfärdats eller att åtalsunderlåtelse har meddelats. Personuppklaringsprocenten redovisar personuppklarade brott under ett år i procent av antal anmälda brott under samma period.26 I denna granskning beräknas personuppklaringsprocenten utifrån beslut, till skillnad

från Brå:s beräkningar som utgår från brott (flera beslut kan kopplas till samma brott). Detta eftersom brottstypen datasabotage, som ingår i denna granskning, inte redovisas i den officiella kriminalstatistiken. Riksrevisionens beräkningar ligger dock mycket nära Brå:s beräkningar.

1.7Disposition

I kapitel 2 presenteras utvecklingen av den it-relaterade brottsligheten, större förändringar inom rättsväsendet samt politikens inriktning. I kapitel 3

redovisas hur Polismyndigheten och Åklagarmyndigheten hanterar it-relaterade brott. I kapitel 4–6 redovisas olika förutsättningar som myndigheterna har för att handlägga och utreda it-relaterade brott.

2520 kap. 6 § rättegångsbalken (1942:740); prop. 1984/85:3, s. 10. Se dock bestämmelserna om åtalsunderlåtelse i 20 kap. 7 § rättegångsbalken (1942:740).

26Brå har en ny definition sedan 2014, nämligen personuppklarade brott under ett år i procent av handlagda brott under samma period. Med handlagda brott menas brott där polis, åklagare eller annan utredande myndighet fattat ett beslut gällande brottet under redovisningsåret. Brå, Handlagda brott, http://www.bra.se/bra/brott-och-statistik/statistik/handlagda-brott.html (hämtad 2015-11-16).

RIKSREVISIONEN 19

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

2 Den it-relaterade brottsligheten

2.1Brottsligheten förändras

Den snabba tekniska utvecklingen har öppnat upp för nya sätt, möjligheter och arenor för att begå brott, både för enskilda och för den organiserade brottsligheten.27 Med hjälp av informationsteknik kan kriminella begå många brott samtidigt på distans med en relativt liten insats, till exempel genom att sprida sabotageprogram som angriper hundratusentals datorer samtidigt. Möjligheten att begå brott på distans och agera anonymt på internet med hjälp av olika anonymiseringstjänster gör att it-relaterade brott många gånger är mindre riskfyllda för förövarna än traditionell brottslighet.28 Internet har även bidragit till att skapa en större och mindre riskfylld marknad för kriminella. Illegala varor och tjänster, såsom droger och vapen, assistans att begå mord och it-relaterade brott, bjuds numera ut på handelssidor på internets mörkare och hemliga delar, även kända som deep web och darknet.29 Virtuella valutor eller kryptovalutor, till exempel bitcoin, är vanliga betalmedel på dessa marknader eftersom transaktioner som görs med dessa betalningsmedel inte går att ångra och är mycket svåra att spåra.30

Det ökande tekniska inslaget i brottsligheten har även lett till att de kriminella nätverken inte längre är lika fasta. Utvecklingen är att kriminella personer specialiserar sig på en viss del av ett brott och säljer denna tjänst vidare till andra kriminella. Detta fenomen, känt som ”Crime as a Service” (CaaS), eller brottstjänster, tillåter kriminella personer och nätverk att begå sofistikerade brott utan att de behöver ha någon djupare teknisk kunskap. Kontakterna mellan köpare och säljare av sådana tjänster knyts ofta på olika fora på internet, främst på darknet eller deep web.31

27Intervju med Rikspolisstyrelsen 2014-11-17; Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014.

28Intervju med EC3, Europol 2015-06-02; Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014; Polismyndigheten, Noa (2015), Polisens rapport om organiserad brottslighet 2015, dnr A185.830/2015.

29Deep web är de delar av internet som inte nås av vanliga sökmotorer. Darknet är ett krypterat nätverk inom deep web som avsiktligt hålls undangömt. En särskild programvara, till exempel TOR (The Onion Router) som är en slags anonymiseringstjänst, behövs för att navigera på darknet. Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014.

30Polismyndigheten, Noa (2015), Polisens rapport om organiserad brottslighet 2015, dnr A185.830/2015, s. 53.

31Intervju med EC3, Europol 2015-06-02; Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014; Polismyndigheten, Noa (2015), Polisens rapport om organiserad brottslighet 2015, dnr A185.830/2015 s. 52.

RIKSREVISIONEN 21

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

exempelvis till offrets bankkonto på internet. Ransomware, hindrar användaren av den infekterade datorn från att använda den utan att betala en lösensumma. Det finns även sabotageprogram som skapar botnets. Ett botnet sammanlänkar datorer som via en central nod får uppgifter, till exempel att sprida skräppost (spam, oönskad e-post som skickas ut till mängder av mottagare för att sprida reklam, sabotageprogram eller nätfiskeattacker). Ett botnet kan bestå av hundratusentals datorer där ägarna inte vet om att datorerna är infekterade.

Överbelastningsattacker (DDoS-attacker) riktas mot stordatorsystem eller datornätverk, exempelvis en myndighet eller ett företag, och leder till att systemet överbelastas. Endast en liten kapacitet blir kvar för övrig kommunikation och systemet eller hemsidan riskerar att bli helt utslagen under en tid. Attackerna görs ofta med hjälp av botnets.

2.1.1It-brottsligheten omsätter stora belopp

Under de senaste decennierna har den it-relaterade brottsligheten utvecklats till en industri där kriminella personer och nätverk omsätter miljarder kronor årligen.34 Det är svårt att uppskatta exakt hur stora belopp som är i omlopp och hur stora samhällets kostnader för den it-relaterade brottsligheten är eftersom mörkertalen av brott som aldrig anmäls bedöms vara stora. Några beräknade

uppskattningar har dock tagits fram, bland annat hänvisar European Cybercrime Center (EC3) till att brottstjänster inom it-relaterad brottslighet globalt omsätter mer än 300 miljarder amerikanska dollar varje år.35 Kostnaden för den itrelaterade brottsligheten uppskattas vara mångdubbelt större än brottslighetens omsättning. Ett exempel är ett botnet som under 2010 skickade spam där ägarna tjänade ungefär 2,7 miljoner dollar på detta, medan kostnaderna för utveckling och användning av spam-filter beräknades till över en miljard dollar.

Samhällets direkta och indirekta kostnader kopplade till den it-relaterade brottsligheten innefattar flera delar. Dels uppstår kostnader för att skydda sig mot it-relaterad brottslighet med hjälp av till exempel antivirus och försäkringar. Dels uppstår direkta kostnader som en följd av själva brottet i form av förluster och kompensation till utsatta. Det uppstår även indirekta kostnader för drabbade myndigheter, banker och företag genom att deras anseenden och varumärken skadas.36

34Polismyndigheten, Noa (2015), Polisens rapport om organiserad brottslighet 2015, dnr A185.830/2015, s. 51.

35McAfee (2013), The Economic Impact of Cybercrime and Cyber Espionage, refererad i Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 19.

36Anderson m.fl. (2012), Measuring the cost of cybercrime, s. 1-4, 26.

RIKSREVISIONEN 23

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

2.2.2Svårt att identifiera misstänkta personer

När brottsligheten flyttar ut på internet krävs ofta ett omfattande spaningsarbete både på internet och i den fysiska världen för att kunna binda en misstänkt person till ett visst brott.45 Att hämta bevis från internet kan vara tekniskt komplicerat och kräva genomgång av stora mängder information. Polismyndigheten kan inhämta öppen information från internet oavsett

var den lagras fysiskt. För att Polismyndigheten ska kunna genomföra hemlig avlyssning eller övervakning av misstänkta personers elektroniska kommunikation krävs däremot domstolsbeslut.46

Även så kallade anonymiseringstjänster gör det svårare för de brottsutredande myndigheterna att spåra internetaktivitet till en viss enhet eller person . När en misstänkt it-enhet har kunnat identifieras är det en utmaning att knyta

en viss person till användandet av samma enhet.47 Specialiseringen bland de kriminella på vissa delar av ett brott har också gjort det svårare för de

brottsutredande myndigheterna att identifiera alla inblandade parter i ett brott. De olika specialiserade personerna känner sällan varandra personligen, utan bara till de smeknamn som används på de fora där tjänsterna säljs. Även om Polismyndigheten kan identifiera en deltagare i brottet innebär det inte att samtliga i det kriminella nätverket kan identifieras.48

2.3Utvecklingen för de granskade brottstyperna

Mellan åren 2006 och 2014 ökade antalet anmälda it-relaterade brott49 med

767 procent, att jämföra med cirka 18 procent för all brottslighet.50 Under samma period ökade andelen it-relaterade brott av det totala antalet anmälda brott i Sverige från 0,7 till 5,2 procent. År 2014 anmäldes totalt 75 369 it-relaterade brott. Det finns inga tecken på att den it-relaterade brottsligheten kommer att avta.

Personuppklaringsprocenten för samtliga brott har minskat från 18 procent 2006 till 15 procent 2014. Personuppklaringsprocenten för de granskade it-relaterade brotten följer i stort samma kurva, men ligger konstant 6–10 procentenheter lägre än personuppklaringen för samtliga brott, se diagram 1.

45Intervju med EC3, Europol 2015-06-02; Polismyndighetens konferens om it-relaterad brottslighet

iNynäshamn i april 2015.

46Kronqvist, Stefan (2013), Brott och digitala bevis. En handledning. Tredje upplagan, Norstedts Juridik,

s.55, 86-88, 91-95. Se 27 kap. 18-19 §§ rättegångsbalken (1942:740) för regler om hemliga tvångsmedel.

47Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014; intervju med Åklagarmyndigheten 2014-11-10.

48Intervju med EC3, Europol 2015-06-02.

49Se avsnitten 1.3 och 1.6.1 för precisering av it-relaterad brottslighet.

50Uppgifter från Brå och Riksrevisionens egna beräkningar.

RIKSREVISIONEN 25

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Det finns ingen entydig förklaring till varför personuppklaringen inte förbättras, men Brå menar att försämringen inte enbart kan förklaras av ett ökat antal anmälningar. Möjliga förklaringar som ges är att enskilda brottstyper ändrar karaktär, att åklagare och domare ställer högre krav på teknisk bevisning eller att kvaliteten i Polisens utredningsarbete har försämrats, men detta har ännu inte studerats av Brå.54 En låg personuppklaringsnivå kan innebära att poliser och åklagare i för stor utsträckning lägger ned förundersökningar som hade kunnat klaras upp. I ett flertal rapporter konstaterar Brå även att Polisen väljer att lägga ned förundersökningar som hade kunnat klaras upp.55 Antalet avskrivna it-relaterade ärenden har ökat från 6 633 stycken år 2006 till

70 014 år 2014, vilket är en ökning med 955 procent. Andelen it-relaterade brott som skrivs av har däremot legat relativt konstant och var 93 procent 2014.56

2.3.1Antalet öppna it-relaterade ärenden ökar

När ärenden är öppna under en längre tid i väntan på att utredas finns en ökad risk att misstänkta personer hinner begå fler brott. Det finns även en risk att brott hinner preskriberas.57 Polismyndigheten kallar öppna ärenden för ärenden i balans. Ett ärende i balans vid Polismyndigheten kan alltså dels vara ett ärende där det pågår aktiva utredningsåtgärder, och dels ett ärende där det finns förutsättningar att utreda ärendet men där så inte sker av någon anledning.

Ärendebalanserna för it-relaterade brott vid Polisen ökade kraftigt mellan åren 2006 och 2008, och har sedan dess legat på en jämn men hög nivå.

Undantaget är 2011 när antalet it-relaterade ärenden i balans tillfälligt minskade med 20 procent. Det är i huvudsak bedrägerier med hjälp av internet som ligger i ärendebalansen. Andelen ärenden i balans i förhållande till antalet anmälda it-relaterade brott har dock minskat under perioden, från cirka

29 procent år 2006 till cirka 13 procent år 2014. Samtidigt kan noteras att andelen it-relaterade ärenden som varit öppna i mer än 12 månader har ökat från 15 procent år 2006 till 22 procent år 2014.58 Polismyndigheten har inte definierat hur stor andel öppna ärenden som är acceptabelt. I en tillsynsrapport från Rikspolisstyrelsen 2009 rekommenderade inspektionsgruppen att en sådan gräns högst borde uppgå till 9 procent av antalet inkomna ärenden totalt per år, men denna rekommendation har inte antagits.59

54Brå (2014), Varför gav fler poliser inte ökad personuppklaring? Slutrapport i uppdraget ”Satsningen på fler poliser”, rapport 2014:17, s. 35–50.

55Brå (2014), Handläggningstider i rättskedjan 2009–2012, rapport 2014:7, s. 53.

56Uppgifter från Brå samt Riksrevisionens egna beräkningar.

57Intervju med Åklagarmyndigheten 2015-03-12.

58Uppgifter från Polismyndigheten och Riksrevisionens egna beräkningar. Sifferuppgifterna ger en bild av hur situationen såg ut i december månad under åren 2006–2014.

59Rikspolisstyrelsen (2013), Uppföljning av inspektion av polismyndigheternas ärendebalanser i den brottsutredande verksamheten, tillsynsrapport 2013:3, s. 41.

RIKSREVISIONEN 27

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

2.4Myndigheterna har uppmärksammat itrelaterad brottslighet relativt sent

Polismyndigheten och Åklagarmyndigheten har relativt sent uppmärksammat den it-relaterade brottsligheten i interna styrdokument och budgetunderlag. Först 2013 börjar området lyftas fram i en ökad utsträckning.62 Myndigheterna konstaterar att de behöver stärka sin förmåga på området. Inom Polisen tydliggör man att it-aspekten ska beaktas i alla delar av den brottsbekämpande verksamheten. En förklaring till att Polisen tidigare inte har uppmärksammat den it-relaterade brottsligheten i någon större omfattning är, enligt flera företrädare för Polismyndigheten, att det har tagit lång tid att få gehör och förståelse för omfattningen av den it-relaterade brottsligheten och på vilka sätt informationsteknik och internet används för att begå brott.63 En försvårande omständighet är att Polismyndigheten har svårt att överblicka den it-relaterade brottsligheten. Detta beror bland annat på att it-relaterade brott är svåra att särskilja i den officiella statistiken, att mörkertalen för dessa brott antas vara stora och på att det saknas ett nationellt samordnat underrättelsearbete om it-relaterad brottslighet.64 Riksrevisionen noterar att flera andra länder betonar vikten av att rättsväsendet har en uppdaterad lägesbild av den it-relaterade brottsligheten. Detta för att man effektivt ska kunna anpassa till exempel lagstiftning, arbetsmetoder och strategier till brottsutvecklingen (se bilaga 1).

2.5Större förändringar inom rättsväsendet

Under senare år har rättsväsendet tillförts ökade resurser. Mellan åren 2006 och 2014 har anslaget för Polisen ökat med 36,5 procent och för Åklagarmyndigheten med 47 procent.65 Särskilda satsningar har gjorts inom rättsväsendet under perioden, till exempel uttalade regeringen år 2006 ett mål om att Sverige skulle ha 20 000 poliser år 2010. Det innebar att antalet poliser skulle öka med drygt

62Åklagarmyndigheten nämner redan i sin verksamhetsplan år 2007 att it-bedrägerier är ett prioriterat område och att myndigheten ska se över möjligheterna att säkra bevis i it-miljö. Se Polisens och Åklagarmyndighetens budgetunderlag, verksamhetsplaner och årsredovisningar åren 2006–2014 samt Rikspolischefens inriktning år 2014.

63Intervju med Rikspolisstyrelsen 2014-11-17; intervju Polishögskolan 2014-11-18; Rikspolisstyrelsen (2013), Förstudierapport, polisens brottsbekämpande verksamhet, brott med internet-relevans,

dnr PoA480-5583/11, s. 4.

64Intervju med Rikspolisstyrelsen 2014-11-17; intervju med Polismyndigheten 2015-03-16. Polismyndigheten har velat ändra kodningen i statistiken för att lättare kunna urskilja it-relaterade brott. Brå och Åklagarmyndigheten är dock tveksamma och menar att det finns en risk för att ett för stort antal koder kan försvåra användningen av koder och leda till missvisande statistik. Brå ska nu se över möjligheterna att skapa ett system för att kunna följa utvecklingen av it-inslaget

i brottsligheten, se avsnitt 2.6.3.

65År 2014 var anslaget för Polisen 21 079 mnkr och för Åklagarmyndigheten 1 310 mnkr. Inga medel är särskilt avsatta för att utreda och handlägga it-relaterad brottslighet. Prop. 2015/16:1, utgiftsområde 4.

RIKSREVISIONEN 29

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

utredningar av komplex it-brottslighet och barnpornografibrott.72 Nationellt forensiskt center (NFC, tidigare Statens kriminaltekniska laboratorium, SKL) ansvarar för den it-forensiska arbetsprocessen medan Noa ansvarar för

komplex it-brottslighet och barnpornografibrott. 73 Polismyndigheten arbetar nu med att ta fram processbeskrivningar.

Många centrala beslut i förändringsarbetet i och med omorganisationen saknas fortfarande, bland annat på grund av att flera nyckelpersoner, som ska leda olika arbetsprocesser och verksamheter inom Polismyndigheten, ännu inte har rekryterats.74

I denna rapport används Polisen för att hänvisa till den tidigare polisorganisation och Polismyndigheten efter ombildningen.

Nationellt bedrägericentrum bildades 2013

Sedan 2013 finns Nationellt bedrägericentrum (NBC) som en enhet under bedrägerisektionen i Stockholm. Centret ska samordna resurserna inom Polismyndigheten mot bedrägeribrott för att kunna upptäcka brottsmönster som sträcker sig över flera regioner. I uppdraget ingår metodutveckling, brottsförebyggande insatser samt operativt arbete i form av samordning.75 Nationellt bedrägericentrum arbetar med alla typer av bedrägerier, alltså inte enbart it-bedrägerier.

Nationellt it-brottscenter bildades i oktober 2015

Inom Polismyndigheten finns från och med den 1 oktober 2015 ett Nationellt it-brottscenter, som ligger i Stockholm och är en del av Noa. Där finns i dagsläget cirka 45 medarbetare, men siktet är på att ha det dubbla 2017. Syftet med centret är att bidra till en kompetenshöjning för svensk polis generellt och att fungera som knutpunkt för it-relaterad brottslighet på nationell nivå. Centret är också tänkt

att fungera som en plattform för samarbete med exempelvis Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Åklagarmyndigheten och Nationellt Forensiskt Center, samt vara en internationell kontaktpunkt.76

72Ibid, s.16; intervjuer med Polismyndigheten 2015-03-16 och 2015-03-24. Processansvaret omfattar att skapa, förvalta och implementera enhetlighet, informationskanaler samt utveckling och uppföljning av processen från ansvarsnivån till alla nivåer där verksamheten ska utföras.

73Genomförandekommittén för nya Polismyndigheten (2014), Beslut om huvuddragen i den nya Polismyndighetens detaljorganisation – med medborgare och medarbetare i centrum, dnr JU 2012:16/2014/51, s. 27, 34.

74Telefonintervju med Polismyndigheten 2015-10-07.

75Polismyndigheten Stockholm (2014), Nationell lägesbild bedrägerier, s. 2; intervju med Polismyndigheten 2015-08-20.

76Genomförandekommittén för nya Polismyndigheten (2014), beslutsprotokoll, dnr Ju 2012:16/2013/4; intervju med Rikspolisstyrelsen 2014-11-17; Polismyndigheten, It-brottscentrum verklighet i oktober, https://polisen.se/Aktuellt/Nyheter/2015/Juli/IT-brottscentrum-verklighet-i- oktober/ (hämtad 2015-07-08).

RIKSREVISIONEN 31

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

för en större utredning om informations- och cybersäkerhet även fått förslag på mål och åtgärder som tar sikte på att stärka arbetet med att förebygga och bekämpa it-relaterad brottslighet. Förslagen innebär att Budapestkonventionen bör ratificeras, att informationsutbyte mellan brottsbekämpande myndigheter och andra myndigheter inom informations- och cybersäkerhetsområdet bör utredas och att det bör genomföras en översyn av hemliga tvångsmedel i den digitala miljön.84

Det finns också utredningar som hanterar den personliga integriteten och förutsättningar för det brottsutredande arbetet, såsom användandet av hemliga tvångsmedel och de svenska datalagringsbestämmelserna.85 Regeringen har även beslutat att ge en särskild utredare i uppdrag att lämna förslag till hur den grundläggande utbildningen till polis kan omformas till en högskoleutbildning. Syftet är att säkerställa att Polismyndigheten har den kompetens som krävs för att utföra sitt uppdrag i ett allt mer komplext samhälle.86

2.6.3Regeringen har gett uppdrag till myndigheterna

Under senare år har regeringen gett ett antal uppdrag till Polisen, Åklagarmyndigheten respektive Brottsförebyggande rådet (Brå) med koppling till it-relaterad brottslighet.

I regleringsbrevet 2014 fick Polisen i uppdrag att redovisa hur den på kort och lång sikt arbetar för att öka effektiviteten och kvaliteten i bedrägeribrott och andra brott som ökar kraftigt med anledning av den snabba teknikutvecklingen. Åklagarmyndigheten fick i regleringsbrevet samma år i uppdrag att

säkerställa att de har rätt kompetens vad gäller utredning av it-relaterade brott. Därutöver har myndigheterna fått generella uppdrag kopplade till arbetet med kompetensförsörjning.87

Brå fick i regleringsbrevet 2015 i uppdrag att kartlägga utvecklingen av förekomsten av it-relaterade inslag i anmälda brott. Brå ska analysera kompetens och kapacitet vad gäller it-relaterad brottslighet samt it-forensiska undersökningar i den brottsutredande verksamheten. Brå ska även överväga möjligheten att

84SOU 2015:23, Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten.

85SOU 2015:31, Datalagring och integritet; De svenska datalagringsbestämmelserna kommer även att prövas av EU-domstolen då Kammarrätten i Stockholm har begärt ett förhandsavgörande i det så kallade datalagringsmålet mellan Tele2 Sverige AB och Post- och telestyrelsen (PTS), målnummer 7380-14. EU-domstolen ogiltigförklarade EU:s datalagringsdirektiv i april 2014; Se även Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) som har i uppdrag att lämna förslag på hur skyddet för den personliga integriteten kan stärkas genom att samla tillsynen över personuppgiftsbehandling hos en myndighet och Integritetskommittén (Ju 2014:09).

86Dir. 2015:29, En förändrad polisutbildning.

87Regleringsbrev för budgetåret 2013 avseende Rikspolisstyrelsen och övriga myndigheter inom polisorganisationen; regleringsbrev för budgetåret 2014 avseende Rikspolisstyrelsen och övriga myndigheter inom polisorganisationen; regleringsbrev för budgetåret 2015 avseende Åklagarmyndigheten.

RIKSREVISIONEN 33

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

aviserar också en översikt av rambeslutet från 200195 om bekämpningen av bedrägeri och förfalskning av andra betalningsmedel än kontanter, då det inte längre är i takt med dagens brottslighet och utmaningar.96

Dessutom genomför en arbetsgrupp97 i Europeiska unionens råd just nu utvärderingar av medlemsstaternas implementering och hantering av EU- direktiv avseende cyberkriminalitet. Utvärderingen av Sverige är planerad att genomföras i mars 2016.98

95Europeiska unionens råd, rådets rambeslut 2001/413/RIF.

96Europeiska kommissionen KOM(185) slutlig, s. 21–22.

97Arbetsgruppen för allmänna frågor inklusive utvärdering.

98Europeiska unionens råd (2014) 7940/14, Seventh round of mutual evaluations – Order of visits and observers; Europeiska unionens råd (2014) 5445/1/14 REV 1, Seventh round of mutual evaluations – Questionnaire.

RIKSREVISIONEN 35

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

3 Hanteringen av it-relaterade brott

I detta kapitel redovisas iakttagelser av hur Polismyndigheten och Åklagarmyndigheten utreder och handlägger it-relaterade brott. Iakttagelserna bygger i huvudsak på Riksrevisionens aktgranskning och intervjuer.

3.1Från anmälan till beslut om förundersökning

Polismyndigheten ansvarar för att ta emot brottsanmälningar. Allmänheten kan sedan 2006 göra polisanmälningar via internet, men mer än hälften av alla polisanmälningar, cirka 60 procent, som kommer in till Polismyndigheten tas emot av civilanställda operatörer vid Polisens kontaktcenter (PKC). Dessutom kan poliser upprätta anmälningar vid misstanke om brott.99 Riksrevisionen noterar att det har påbörjats ett arbete med att integrera

PKC i den brottsutredande verksamheten för att på så sätt effektivisera utredningsprocessen. De ärenden som inkommer till PKC granskas av en förundersökningsledare vid centret och endast ärenden som bedöms ha förutsättningar att utredas vidare ska gå vidare i utredningsprocessen. 100 Ärendena som överlämnas till polisregionerna fördelas antingen utifrån var brottet har begåtts eller var den misstänkte bor, om en misstänkt person finns med i anmälan. Därefter fördelas ärenden till lämplig utredande enhet i berörd polisregion.101 De ärenden som överlämnas ska vara bearbetade och hålla en hög kvalitet.102 Om relevanta uppgifter saknas eller om anmälan innehåller fel krävs kompletteringar som fördröjer arbetet, eller som till och med kan göra vidare utredning omöjlig.103

Riksrevisionen har inte granskat kvaliteten i anmälningarna, men aktgranskningen visar att IP-adressen antecknades fel i brottsanmälan i drygt 20 procent av ärendena där en IP-adress var känd. Detta gör att IP-adressen inte går att använda i förundersökningen. Aktgranskningen visar också

att annan teknisk information som man borde kunna arbeta vidare med, exempelvis metadata som är information om data, fanns med i anmälan i

99Telefonintervju med Polismyndigheten 2015-10-05; e-post Polismyndigheten 2015-11-06.

100Polismyndighetens budgetunderlag 2016-2018, s. 12.

101Telefonintervju med Polismyndigheten 2015-10-05; e-post Polismyndigheten 2015-11-06.

102Polismyndighetens budgetunderlag 2016-2018, s. 12.

103Intervju med Åklagarmyndigheten 2015-03-09.

RIKSREVISIONEN 37

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

3.3Fler aktörer och åtgärder i personuppklarade förundersökningar

Aktgranskningen visar att det vidtogs fler olika utredningsåtgärder efter de inledande åtgärderna i de personuppklarade förundersökningarna jämfört med de nedlagda förundersökningarna. Till exempel genomfördes it-forensisk undersökning, husrannsakan och beslag enbart i de personuppklarade förundersökningarna. Det var också vanligare att olika aktörer var delaktiga i de personuppklarade förundersökningarna. Det handlade främst om att uppgifter

begärdes in från företag, att it-forensiker var delaktiga samt att målsäganden bidrog med information. Sammantaget vidtogs ytterligare utredningsåtgärder i 91 procent av de personuppklarade förundersökningarna och i 49 procent av de nedlagda.

I 44 procent av de nedlagda förundersökningarna vidtogs inte några faktiska utredningsåtgärder.104 I de nedlagda förundersökningarna var den vanligaste åtgärden att begära information från svenska företag, följt av att hålla förhör med misstänkta och med målsägande. I de personuppklarade förundersökningarna var de vanligaste åtgärderna att förhöra misstänkta och målsägande, följt av att begära information från svenska företag och säkra kommunikation.

Det var vanligare att hålla förhör med målsägande i de personuppklarade förundersökningarna, detta gjordes i 70 procent jämfört med 24 procent för nedlagda förundersökningar. I båda grupperna hölls det oftast ett till två förhör med målsägande. Med den misstänkta och med vittnen hölls det generellt

tre till fyra förhör. Förhör med målsägande genomfördes oftast tidigare i förundersökningen än med vittnen eller den misstänkta.

Utredningsåtgärderna vidtogs generellt antingen inom fem veckor efter inledd förundersökning, eller efter mer än sex månader. Företrädare för Polismyndigheten och Åklagarmyndigheten har inte kunnat förklara vad detta beror på. Det finns också flera exempel på ärenden som blev liggande längre perioder utan att utredningsåtgärder vidtogs. Det gick inte alltid att utläsa i akterna hur lång tid olika åtgärder tog att genomföra och det har inte heller gått att identifiera någon särskilt tidskrävande åtgärd. Undantaget är så kallad fingranskning av barnpornografi, som innebär att bilderna klassificeras som barnpornografibrott, grovt barnpornografibrott eller att det inte är ett

barnpornografibrott. Fingranskning av barnpornografi tog ett halvt till ett år att genomföra, men eftersom denna brottstyp endast förekom i fyra av akterna går det inte att dra några generella slutsatser.

104Direktiv skickades av förundersökningsledaren i 6 stycken av de aktuella ärendena. Några åtgärder vidtogs dock inte utifrån dessa direktiv.

RIKSREVISIONEN 39

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

3.4.1Det finns utrymme för att vidta fler it-relaterade åtgärder

Riksrevisionens aktgranskning visar att det finns ett utrymme för att vidta fler it-relaterade åtgärder. I 73 av ärendena var till exempel en IP-adress känd antingen i anmälan eller i ett senare skede. Polisen genomförde IP-spårningar

i 47 ärenden. Därmed avstod man från att göra IP-spårningar i cirka 35 procent av de fall där man skulle kunna göra det.107 Utöver detta fanns det också flera ärenden där en IP-adress fanns tillgänglig hos ett privat företag, men där den aldrig inhämtades av Polisen. Det är generellt inte svårt för Polismyndigheten att hämta in en IP-adress och det är också en uppgift som myndigheten får lagra och göra gemensamt tillgänglig inom organisationen.108

3.5Avskrivningsgrunden överensstämde oftast med omständigheterna i fallet

Den genomgång av avskrivna ärenden som Riksrevisionen låtit genomföra visar att 125 av totalt 175 granskade avskrivna ärenden var utan anmärkning, det vill säga avskrivningsgrunden har i dessa ärenden överensstämt med omständigheterna i fallet, se tabell 2. Avskrivningsbesluten motiveras dock i olika omfattning och man hänvisar till olika avskrivningsgrunder trots att omständigheterna i ärendena är likartade. Detta har däremot inte haft någon

betydelse för beslutet att skriva av ett ärende. I ett fåtal ärenden har det visat sig finnas materiella brister där ytterligare utredningsåtgärder hade kunnat vidtas. Det är dock inte säkert att utgången i dessa ärenden skulle ha varit annorlunda om ytterligare åtgärder hade vidtagits. När fel avskrivningsgrund används innebär detta att allmänheten, i huvudsak berörda personer i det enskilda ärendet, har fått fel information om varför ärendet skrevs av. En felaktig avskrivningsgrund skulle även kunna leda till problem om man i ett senare skede vill gå tillbaka till en viss typ av ärenden.109

107IP-spårningar får göras vid misstanke om brott. 6 kap 22 § lag (2003:389) om elektronisk kommunikation; prop. 2011/12:55, s. 101.

1083 kap. 2 § första stycket punkterna 1 och 3 polisdatalagen (2010:361).

109Riksrevisionen (2015), PM ”Redovisning av granskningsuppdrag”; e-post från Riksrevisionens konsult med åklagarkompetens 2015-09-23.

RIKSREVISIONEN 41

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

3.6Gärningstypen hade betydelse för om förundersökning inleddes

De avskrivna ärendena rörde huvudsakligen dataintrång och bedrägerier som skett via internet. Skillnaderna i ärendena kan illustreras i fem så kallade gärningstyper;

ŸŸ Bedrägeri genom annonsering på internet (exempelvis Blocket och Tradera)

ŸŸ Bedrägeri genom användning av annans kontokortsuppgifter (exempelvis köp via internet)

ŸŸ Bedrägeri genom utskick av e-post med betalningsuppmaning ŸŸ Dataintrång genom elektronisk tillgång till annans dator

ŸŸ Dataintrång genom manuell användning av annans dator

Genomgången av avskrivna ärenden visar att gärningstypen hade avgörande betydelse för om förundersökning inleddes och om utredningsåtgärder vidtogs. För gärningstyperna bedrägeri genom annonsering på internet samt bedrägeri genom användning av annans kontokortsuppgifter inleddes i de flesta fall

en förundersökning, såvida inte brottet var begånget utomlands. För övriga tre gärningstyper inleddes aldrig en förundersökning, med undantag för ett ärende. Riksrevisionens aktgranskning visar att i en majoritet av de avskrivna

ärendena, närmare 70 procent, inleddes aldrig någon förundersökning. I övriga avskrivna ärenden inleddes en förundersökning som senare lades ned.

Flera av gärningstyperna som har ingått i de avskrivna ärendena som granskats är generellt svårutredda och möjligheten att nå framgång i ett enskilt ärende är i det närmaste obefintlig.110 I några gärningstyper, såsom enskilda bedrägerier som rör mindre belopp, medger till exempel inte lagstiftningen att polis och åklagare vidtar vissa åtgärder eftersom straffskalan är för låg.111

110Riksrevisionen (2015), PM ”Redovisning av granskningsuppdrag” samt komplettering till denna PM.

111För att binda en gärningsman till brottet kan det exempelvis krävas hemliga tvångsmedel i form av hemlig avlyssning eller övervakning av elektronisk kommunikation som bara får användas för brott med en viss straffskala, se 27 kap. 18-19 §§ rättegångsbalken (1942:740). Eftersom åtgärder som kan leda till tillräcklig bevisning för att väcka åtal därmed inte går att vidta är det rätt att skriva av ärendena. Rikspolisstyrelsen föreslog regeringen 2003 att hemliga tvångsmedel även skulle kunna användas vid seriebrottslighet med tillräckligt högt straffvärde. Regeringens bedömning var att tillämpningen då riskerade att bli för vid och därmed integritetskränkande (prop. 2002/03:74, s. 34).

RIKSREVISIONEN 43

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

4Organiseringen av den utredande verksamheten

I detta kapitel redovisas iakttagelser av hur Polismyndighetens och Åklagarmyndighetens handläggning och utredning av it-relaterad brottslighet är organiserad. Iakttagelserna bygger på Riksrevisionens aktgranskning och enkäter, samt på intervjuer.

4.1Vedertagna nationella riktlinjer och metodstöd saknas

I Riksrevisionens enkät uppger sex av sju polisregioner att metodstöd för att utreda it-relaterade brott saknas. I region Syd finns ett regionalt framtaget metodstöd. I en förstudie och en tillsynsrapport har Rikspolisstyrelsen tidigare konstaterat att det finns ett behov av nationella riktlinjer för arbetet med itrelaterade brott och hur utredningar ska dokumenteras, men detta har ännu inte tagits fram.112 I Rikspolisstyrelsens förstudie konstaterade man även att det är otydligt vilka befogenheter enskilda anställda vid Polisen har vid arbete på internet, då det inte finns någon nationell vägledning för detta. Några polismyndigheter i den förra polisorganisationen hade lokala riktlinjer som även användes vid andra polismyndigheter, men dessa var inte bindande.113 Riksrevisionen noterar att it-aspekten inte heller är en del av Polisens Nationella utredningskoncept (PNU).114

Syftet med bildandet av den nya Polismyndigheten var bland annat att arbetet skulle bli mer enhetligt och effektivt. Riksrevisionen noterar att Polismyndigheten har påbörjat ett förändringsarbete med bland annat processöversyner för att åstadkomma detta. Arbetet är dock i ett relativt tidigt

skede och det saknas beslut om när processerna för komplex it-brottslighet och barnpornografibrott ska vara klara.115 Företrädare för Polismyndigheten menar

112Rikspolisstyrelsen (2014), Inspektion av polismyndigheternas förmåga att handlägga IT-brott, tillsynsrapport 2014:2, s. 10, 23; Rikspolisstyrelsen (2013), Förstudierapport, polisens brottsbekämpande verksamhet, brott med internet-relevans, dnr PoA480-5583/11, s. 5. Arbetssättet kan komma att ändras och göras mer enhetligt i och med det nationella processansvaret för barnpornografibrott, it-forensik och komplexa it-brott.

113Rikspolisstyrelsen (2013), Förstudierapport, polisens brottsbekämpande verksamhet, brott med internet-relevans, dnr PoA480-5583/11, s.15; telefonsamtal med Polismyndigheten 2015-08-27.

114Intervju med Rikspolisstyrelsen 2014-11-17.

115E-post från Polismyndigheten 2015-10-12.

RIKSREVISIONEN 45

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

4.3Den tekniska utrustningen är sällan ett hinder

Riksrevisionens enkät till polisregionerna visar att den tekniska utrustningen sällan är ett hinder för vilka it-forensiska undersökningar de kan göra, men att det finns förbättringspotential. I region Syd menar man att den tekniska utrustningen aldrig utgör ett hinder för it-forensiska undersökningar. Två regioner uppger att den ibland är ett hinder, medan fyra av sju regioner uppger att den mer sällan är ett hinder. Det är främst utrustning för att undersöka mobiltelefoner som saknas i polisregionerna. I intervjuer uppger dock företrädare för Polismyndigheten och Åklagarmyndigheten att den befintliga tekniska utrustningen inte har tillräcklig kapacitet för att hantera den stora mängd undersökningar som behöver göras.120 Företrädare för Polismyndigheten anser även att den treåriga planeringen inom it-avdelningen försvårar möjligheterna att göra nödvändiga inköp av ny utrustning med kort varsel.121 Om viss teknisk utrustning saknas i polisregionerna kan de begära biträde från Nationella operativa avdelningen (Noa) eller Nationellt forensiskt center (NFC), men detta görs inte alltid då man vid en andra bedömning ofta kommer fram till att undersökningen inte är nödvändig.122

4.4Sammanfattande iakttagelser

Vedertagna nationella riktlinjer och metodstöd saknas

ŸŸ Det saknas nationella riktlinjer och metodstöd inom Polismyndigheten för hur it-relaterade brott ska utredas. It-aspekten finns inte heller med i Polisens nationella utredningskoncept (PNU).

ŸŸ Inom Åklagarmyndigheten finns ett antal vägledningar där frågor avseende vissa it-relaterade brott tas upp, men dessa tycks inte vara kända i hela organisationen.

Specialiserade enheter kan vara en framgångsfaktor

ŸŸ Specialiserade enheter kan ge bättre förutsättningar för uppklaring, men få polisregioner har i dag specialiserade enheter för bedrägerier, barnpornografibrott eller dataintrång.

120Intervju med Polismyndigheten 2015-03-24; intervjuer med Åklagarmyndigheten 2014-11-20 och 2015-03-12.

121Intervju med Rikspolisstyrelsen 2014-11-17.

122Riksrevisionens enkät till polisregionerna. Den operativa brottsutredande verksamheten sker i första hand i polisregionerna. Noa och NFC har dock tillgång till teknisk utrustning och fördjupad specialistkunskap som polisregionerna saknar och kan vid behov vara ett stöd i det brottsutredande arbetet.

RIKSREVISIONEN 47

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

5 Kompetensförsörjningen inom it-området

I detta kapitel redovisas Riksrevisionens iakttagelser av Polismyndighetens och Åklagarmyndighetens arbete med kompetensförsörjningen avseende handläggning av it-relaterade brott. Iakttagelserna bygger främst på enkäter som besvarats av samtliga polisregioner och åklagarområden, samt på intervjuer och tidigare studier.

Både European Cybercrime Centre (EC3) och flera länder har konstaterat att den ökande användningen av informationsteknik i brottsligt syfte ställer krav på särskild kompetens inom rättsväsendets myndigheter. De rekommenderar myndigheterna att säkerställa både en grundläggande kompetens inom itområdet hos flertalet medarbetare, samt nödvändig specialistkompetens

(se bilaga 1). Regeringen bedömer att myndigheterna arbetar aktivt med sin kompetensförsörjning, men framhåller att deras strategiska kompetensförsörjning måste fortsätta att utvecklas för att kunna möta framtida utmaningar.123

5.1Polismyndigheten

I den nya Polismyndigheten är ansvaret för kompetensförsörjningen samlat hos en gemensam HR-avdelning. All utbildning ska ingå i myndighetens kompetensutvecklingsplan med en gemensam budget för utbildningsinsatser inom Polismyndigheten.124 Den senaste dokumenterade strategin för kompetensförsörjning gäller för perioden 2013–2017.125 På nationell nivå ansvarar

man för att identifiera nationella utvecklingsbehov utifrån förändringar i samhället och regionernas kompetensförsörjningsplaner. Man ansvarar även för att analysera kompetensförsörjningens betydelse för förmågan att förbättra verksamhetens resultat. Varje polisregion ska årligen ta fram en kompetensförsörjningsplan utifrån en analys av verksamhetens och medarbetarnas behov. Två av sju polisregioner har tagit fram kompetensförsörjningsplaner i vilka de redovisar behovet av antal platser per termin och kurstillfälle.

123Prop. 2015/16:1, utgiftsområde 4, s. 56.

124E-post från Polismyndigheten 2015-11-17.

125Polismyndighetens strategi för kompetensförsörjning, 2015-01-01, PM 2015:7, Saknr 759. I strategin pekas tre övergripande utvecklingsområden ut; 1) Genomföra uppdraget professionellt och skapa förtroende 2) Synlighet och tillgänglighet 3) En flexibel verksamhet för att lösa uppdraget.

RIKSREVISIONEN 49

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

företrädare för Polismyndigheten menar att det i hög grad är det egna intresset som styr medarbetarnas kompetensutveckling, i stället för det faktiska behovet av utbildningsinsatser inom myndigheten.129

Det finns ett utbildningsbehov bland it-forensiker

Riksrevisionens enkät visar att it-forensiker finns i alla polisregioner. I region Stockholm finns de både på regionnivå och polisområdesnivå. It-forensiker finns även i det nybildade nationella it-brottscentret. Det ser däremot olika ut i regionerna vilken utbildning dessa personer har. Fem regioner uppger att

samtliga eller en majoritet av it-forensikerna har genomgått fördjupad utbildning inom it-forensik eller motsvarande. I region Bergslagen har it-forensikerna endast genomgått enstaka kurser. I region Syd är hälften av it-forensikerna självlärda medan övriga saknar uppdaterad utbildning. Region Syd menar att besparingar under de senaste åren har slagit särskilt hårt mot it-forensiken

och att regionen i dag lider svårt av att kompetens saknas på området. Enbart regionerna Väst och Syd menar att det finns krav på utbildning för it-forensiker.

Särskilt utpekade it-utredare saknar utbildning

Riksrevisionen kan konstatera att det finns förhållandevis få särskilt utpekade it-utredare inom Polismyndigheten, det vill säga personer som är särskilt kunniga inom it-relaterad brottslighet och i huvudsak utreder denna typ

av brott. Riksrevisionens enkät visar att tre av sju polisregioner har särskilt utpekade it-utredare på regionnivå. I region Stockholm finns totalt fem itutredare, i region Mitt tre och i region Öst nio. I region Öst uppges samtliga it-utredare vara barnpornografiutredare. I regionerna Bergslagen, Nord och Syd har man inga särskilt utpekade it-utredare. Inte någon av it-utredarna har gått mer än enstaka kurser inom it-området och flera av dem saknar helt utbildning inom området. I region Stockholm och region Mitt har alla särskilt utpekade it-utredare genomgått enstaka kurser inom it-området. I region Öst har en fjärdedel av dem genomgått utbildning inom granskning av barnpornografi.

I region Nord har it-brottsutredare sedan tidigare varit personer med så kallade multikompetenser som utreder flera ärendetyper. Region Nord har valt att ha regional samordning men utredarna sitter ute i polisområdena. Kompetensnivån för utredare med multikompetenser uppges se olika ut och region Nord framhåller därför att det finns en tydlig utvecklingspotential inom området, bland annat behöver kompetensen om it-forensiskt material förbättras bland förundersökningsledare. I region Väst har det tidigare inte ansetts tillräckligt angeläget att ha särskilt utpekade it-utredare i konkurrens med andra intressen. Men man menar att det nu finns ett behov av att bättre

129 Intervju med Rikspolisstyrelsen 2014-11-17.

RIKSREVISIONEN 51

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

utbildningssamarbetet på it-området. Det finns dock ännu inga beslut om huruvida förslagen ska genomföras.136

5.2Åklagarmyndigheten

Åklagarmyndighetens utbildningscentrum har det nationella ansvaret för att ta fram ett lämpligt kursutbud utifrån behov och inventeringar i åklagarområdena. Medarbetare vid Åklagarmyndigheten har ett eget ansvar för att utveckla sin kompetens och cheferna ska se till att de ges möjlighet till detta.137

5.2.1Bristande it-kompetens bland åklagare

Åklagarmyndigheten framhåller i sitt budgetunderlag för 2015–2017 att brott i it-miljö ställer höga krav på åklagarna och att myndigheten måste ha möjlighet att långsiktigt satsa resurser för att kunna hantera den fortsatta utvecklingen.

Det ska bland annat ske genom en satsning på att inrätta it-specialiståklagare, något som inte finns i dag. Däremot kan åklagare arbetsledas till att ta ett större ansvar för utredningar av it-relaterade brott. Detta sker inom chefens arbetsledning och kräver inga formella beslut. Riksrevisionen frågade i enkäten till åklagarområdena om det i respektive område finns några särskilt utpekade it-åklagare. Det framkom då att det i nuläget finns sådana i fem

av sju åklagarområden. Åklagarområdena Nord och Öst svarade att de inte har några utpekade it-åklagare utan så kallade kontaktåklagare till nätverket för it-kunniga åklagare som bildades i mars 2015. De utpekade it-åklagarna utreder inte enbart it-relaterade ärenden. Det finns heller inga formella krav på särskild utbildning för att bli it-åklagare eller kontaktåklagare i det nyinrättade

nätverket. I åklagarområde Syd har hälften av it-åklagarna genomgått fördjupad utbildning inom it-området, medan de i övriga sex åklagarområden har gått enstaka kurser. För andra åklagare som inte har denna inriktning varierar utbildningsnivån inom it-området. En bred majoritet av åklagarna saknar utbildning inom it-området; de är oftast självlärda och endast ett fåtal har fördjupad utbildning.138 Åklagarmyndigheten framhåller i faktagranskningen att alla kontaktåklagare i nätverket har genomgått vidareutbildning på området.

136Intervju med Polishögskolan 2014-11-18; telefonsamtal med Polismyndigheten 2015-08-27; e-post från Polismyndigheten 2014-12-08.

137Åklagarmyndigheten (2012), Åklagarmyndighetens riktlinjer. Åklagarmyndighetens plan för utbildning och kompetensutveckling, ÅMR 2012:2.

138Riksrevisionens enkät till åklagarområdena.

RIKSREVISIONEN 53

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

6 Samarbete och samverkan

I detta kapitel redovisas vilka strukturer det finns för samarbete och samverkan inom området, samt iakttagelser avseende de svårigheter som finns för ett effektivt samarbete och samverkan. Riksrevisionens enkäter till samtliga polisregioner och åklagarområden och intervjuer med företrädare för myndigheterna ligger till grund för dessa iakttagelser.

Samverkan är viktigt i utredningar av it-relaterade brott. Ett behov av stärkt samverkan har identifierats både av European Cybercrime Centre och av flera länder (se bilaga 1). Till exempel behövs samverkan mellan olika polisregioner nationellt då förövare och offer i it-relaterad brottslighet inte nödvändigtvis befinner sig på samma plats geografiskt. Samma förövare begår ofta flera brott som anmäls till olika polisregioner. För att handläggningen ska bli effektiv och dubbelarbete undvikas bör dessa förundersökningar samordnas.140 Den privata sektorn genomför i allt större utsträckning övervakning på internet och tar emot rapporter om oegentligheter från företag och privatpersoner.141 Ett brett samarbete med den privata sektorn, både i Sverige och i andra länder, blir därför allt viktigare för att utbyta information om trender inom teknikutvecklingen och för att inhämta nödvändiga bevis, såsom information om användare av olika internetbaserade tjänster och IP-nummer.142 Brottens internationella karaktär ställer även krav på internationellt samarbete. Regeringen har konstaterat att myndigheterna behöver utveckla sin samverkan med privata aktörer för att kunna bemöta brottslighet på internet.143

140Rikspolisstyrelsen (2013), Förstudierapport, polisens brottsbekämpande verksamhet, brott med internet-relevans, dnr PoA480-5583/11, s. 8; intervju med Åklagarmyndigheten 2014-11-14; intervju med Rikspolisstyrelsen 2014-11-17.

141Wall, David (2007/11),”Policing Cybercrimes: Situating the Public Police in Networks of Security within Cyberspace (Revised Feb. 2011)”, Police Practice & Research: An International Journal, 8(2): 183 205; Politiet, Politidirektoratet, Norge (2015), Datakrimstrategien, s. 56, 60.

142Intervju med Rikspolisstyrelsen 2014-11-17; intervjuer med Polismyndigheten 2015-03-12 och 2015-03-16.

143Prop. 2014/15:1 utgiftsområde 4, s. 18.

RIKSREVISIONEN 55

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

6.2Det internationella samarbetet är tidskrävande

Internationellt rättsligt samarbete avser olika former av samarbete i rättsliga frågor mellan stater. Det grundar sig huvudsakligen på internationella konventioner och avtal som förhandlats fram inom Europarådet och FN. Ofta sker det internationella samarbetet genom så kallad internationell rättslig hjälp i brottmål.149 Flera företrädare för Polismyndigheten och Åklagarmyndigheten lyfter fram att det ofta tar lång tid att få internationell

rättslig hjälp. Procedurerna kring den internationella rättsliga hjälpen bedöms vara komplicerade, och vissa länder är ovilliga att samarbeta. Detta är något som kriminella personer utnyttjar genom att exempelvis placera servrar i dessa länder.150 Eftersom internationell rättslig hjälp aldrig begärdes i de ärenden som ingick i aktgranskningen har Riksrevisionen inte kunnat belägga hur lång tid den tar. Företrädare för Polismyndigheten och Åklagarmyndigheten menar att det är oklart vart man ska vända sig internationellt för att få hjälp från andra länder. Ofta vänder man sig till någon som man känner sedan tidigare. Ett utökat och förenklat internationellt samarbete efterfrågas för att förbättra förutsättningarna att lösa brott.151

Ett mer standardiserat internationellt samarbete förekommer inom EU och Europarådet som har underlättat den internationella samverkan (se bilaga 1). Det finns även en svensk desk, det vill säga en hjälpcentral bemannad med svensk personal, på Europol i Haag som svenska myndigheter kan vända sig till med frågor om internationell hjälp eller förmedling av kontakter i andra länder. Det finns ingen förd statistik över frågor som inkommer till den svenska desken, men företrädare för den menar att svensk polis skulle kunna utnyttja deras hjälp i större utsträckning. Det finns en uppfattning att kunskapen om desken generellt är låg inom Polismyndigheten.152

Vidare kan reglerna för internationell rättslig hjälp försvåra att information inhämtas från utländska företag. Huruvida man kan kontakta utländska företag direkt eller om frågan måste gå via nationella myndigheter i andra länder

149Detta innebär att ett lands rättsväsende begär bistånd från ett annat lands rättsväsende med en viss del av en utredning, såsom att ta fram vissa bevis eller att hålla förhör. Möjligheterna till internationell rättslig hjälp regleras genom olika avtal samt de berörda ländernas lagstiftningar. Grundläggande bestämmelser om rättslig hjälp finns i lagen (2000:562) om internationell rättsligt hjälp i brottmål.

150Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 11; intervju med EC3 2015-06-02, intervju med Polismyndigheten 2015-03-12, intervjuer med Åklagarmyndigheten 2014-11-10, 2015-03-09 och 2015-03-13; Politiet, Politidirektoratet, Norge (2015), Datakrimstrategien, s. 142f.

151Intervju med Åklagarmyndigheten 2014-11-14; intervju med Polismyndigheten 2015-03-12.

152Samtal med företrädare för den svenska desken vid Europol 2015-06-02.

RIKSREVISIONEN 57

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Bilaga 1. Internationell utblick

I denna bilaga redovisas exempel på internationella samarbeten samt iakttagelser och erfarenheter från fem europeiska länders hantering av den it-relaterade brottsligheten.

Väl fungerande internationell och nationell samverkan och ett utvecklat samarbete med relevanta sektorer inom det privata näringslivet är betydelsefulla komponenter i bekämpandet av den it-relaterade brottsligheten.155 Denna brottstyp är ofta gränsöverskridande och utredningar kan ha betydande internationella inslag. Till exempel kan brottsoffer, kriminella nätverk, servrar och företag som utnyttjas i

kriminellt syfte vara spridda över stora delar av världen. Samtidigt är brottsbekämpande verksamhet, jurisdiktion och normering i hög grad nationella angelägenheter. Tydliga internationella regelverk och välfungerande samarbetsformer är därför förutsättningar för att kunna utreda gränsöverskridande it-relaterad brottslighet på ett effektivt sätt.156

EU och andra internationella samarbeten

European Cybercrime Centre, Europol

European Cybercrime Centre (EC3) är Europeiska polisbyråns (Europol) avdelning för hantering av it-brott. EC3 är ett samarbetsorgan för EU:s medlemsstater samt ett antal andra länder och organisationer och bildades 2013 i syfte att skydda EU:s medborgare, företag och medlemsstater från brott som begås online.157

EC3:s uppdrag är att stödja medlemsstaternas förundersökningar, bland annat genom att koordinera insatser mellan medlemsstaterna och bistå med avdelningens särskilda kompetens, kunskap och förmågor. Europol och EC3 har inte mandat att bedriva egna förundersökningar. Avdelningen är en plattform för internationellt samarbete och ska även kunna fungera som ett nav för medlemsstaternas samlade hantering av it-relaterad brottslighet. Det handlar om att genomföra analyser av stora datamängder, att utveckla expertkompetens och sprida goda exempel samt att koordinera strategiska och operativa samarbeten med icke medlemsstater, företag, organisationer och andra internationella samarbetsorgan.158

155Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 9.

156Ibid., s. 9, 13–14.

157Europeiska kommissionen KOM(2010) 0673 slutlig.

158Ibid.

RIKSREVISIONEN 59

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

behövs. Alla relevanta aktörer bör engageras i internationella strategiska och operationella samarbeten och det krävs diversifierade och flexibla angreppssätt. De nationella myndigheterna bör dra nytta av de samarbetsformer som finns, såsom EC3. Samarbetet med länder med en hög frekvens av kriminell aktivitet på området bör enligt EC3 utvecklas. Det krävs även ett säkert sätt att dela information om brottsligheten

och erfarenheter internationellt. Utbytet av information bör också utvidgas och det rekommenderas att EC3 används som ett centralt informationsnav. Utöver

harmonisering rekommenderar EC3 även att lagstiftare ger rättsväsendet nödvändiga befogenheter för att hindra och utreda brott samt för att få tillgång till information.164

I det utredande arbetet rekommenderas de brottsbekämpande myndigheterna att dra nytta av den kunskap och information som finns, bland annat inom EC3, för att kunna prioritera och genomföra proaktiva och underrättelseledda insatser med fokus på särskilt strategiskt viktiga områden. Resurser kan då koordineras och användas på effektivaste sätt. De brottsbekämpande myndigheternas resurser och kompetens bör stärkas i samma takt som den tekniska utvecklingen och ökningen av it-relaterade brott. Myndigheterna måste också få förutsättningar för att bemöta den växande användningen av kryptering och anonymisering.165

Andra EU-byråer som hanterar it-relaterad brottslighet

Förutom Europol har EU fler decentraliserade byråer som har verksamhet kopplad till it-relaterad brottslighet.

Eurojust är i hög grad åklagarväsendets motsvarighet till Europol och har behörighet för samma sorters brott. Syftet med Eurojust är att underlätta och förbättra samordning och samarbete mellan medlemsstaterna när det gäller utredning och åtal av grov brottslighet. Eurojust ska underlätta och förbättra samordningen i utredningar som rör två eller fler medlemsstater samt bistå medlemsstaterna i rättsliga samarbeten

om till exempel internationell rättslig hjälp och utlämningar.166 Eurojust samarbetar systematiskt med EC3 och Europol i syfte att hantera it-relaterad brottslighet.167

It-relaterad brottslighet av typen attacker mot infrastruktur, dataintrång och cyberspionage hanteras även av aktörer utanför rättsväsendet. Europeiska unionens byrå för nät- och informationssäkerhet (ENISA) arbetar med detta på flera sätt och verkar för att stötta och stärka medlemsstaterna och andra EU-organ i arbetet med bland annat informationssäkerhet och hantering av incidenter.168 ENISA har även

164Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 13f, 40, 43.

165Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 14, 23, 40.

166Prop. 2001/02:86; Bet. 2001/02:JuU19; Europeiska unionens råd, rådets beslut 2002/187/RIF, rådets beslut 2009/496/RIF.

167Eurojust (2015), Årlig rapport 2014; Eurojust (2014), Report of the Strategic Meeting on Cybercrime. 19–20 November 2014.

168Europaparlamentets och rådets förordning (EU) nr. 526/2013.

RIKSREVISIONEN 61

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Europarådet

The Convention on Cybercrime of the Council of Europe (CETS 185), även kallad Budapestkonventionen, är i skrivande stund undertecknad av Sverige men inte ratificerad. Europarådets konvention syftar till att fastlägga riktlinjer för nationell lagstiftning på området samt vara ett ramverk för internationellt samarbete mellan de stater som har ratificerat konventionen. Som komplement till konventionen har Europarådet även uppföljningar och utvärderingar samt kapacitetsbyggande verksamhet och tekniska samarbetsprogram.175

Interpol

Internationella polissamarbetsorganisationen (Interpol) har cybercrime som ett särskilt prioriterat brottsområde och fokuserar på att samordna insatser och aktörer, kompetens och kapacitetsbyggande samt operationellt och forensiskt stöd. Interpol har för avsikt att tillhandahålla en global koordineringsfunktion för cybercrime genom Interpol Global Complex for Innovation (IGCI) i Singapore och avdelningen Interpol Digital Crime Centre. Centrets verksamhet omfattar forskning, utbildningar i den senaste tekniken och koordinering av specifika insatser.176

Hur andra länder hanterar it-relaterad brottslighet

Riksrevisionen har tittat närmare på hur fem andra länder hanterar it-relaterad brottslighet. Dessa länder är Storbritannien, Nederländerna, Finland, Danmark och Norge. Under projektgruppens besök på EC3 i Haag framhölls att Nederländerna och Storbritannien ligger i framkant när det gäller att bekämpa it-relaterad brottslighet.177 De tre nordiska länderna valdes ut då de har flera likartade förutsättningar med Sverige. Därtill finns det ett fördjupat polisiärt samarbete mellan de nordiska länderna. EU-

området är överlag ett attraktivt mål för it-relaterad brottslighet eftersom många använder internet och betalsystemen i stor utsträckning är digitaliserade. 178 Länderna skiljer sig åt sinsemellan på flera sätt och genomgående används olika motsvarigheter till begreppen it-brott och it-relaterad brottslighet. Detta medför svårigheter med att dra paralleller och göra jämförelser. Underlag från länderna visar ändå flera gemensamma problem och även några liknande tendenser i ländernas angreppssätt för att hantera dessa.

175Europarådet, Action against cybercrime, http://www.coe.int/en/web/cybercrime/home (hämtad 2015-10-08).

176Interpol (2015), Digital Crime Centre Directorate; Se även Interpol’s International Child Sexual Exploitation (ICSE) database.

177Intervju med EC3, Europol 2015-06-02.

178Europol EC3 (2014), The internet organised crime threat assessment (iOCTA) 2014, s. 71.

RIKSREVISIONEN 63

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

samverkansstrukturer mellan myndigheter och andra aktörer inom rättsväsende, infrastruktur, krisberedskap, säkerhetstjänster och totalförsvar.185 Strategierna innehåller ett antal mål eller dylikt för ländernas arbete med cyber- och/eller informationssäkerhet samt särskilda insatser kopplade till dessa. Samtliga länder har sådana mål med tillhörande insatser som särskilt syftar till att förbättra hanteringen av it-relaterad brottslighet.186

Att förstå och följa med i utvecklingen

Sammantaget handlar en stor del av underlagen från länderna om att säkerställa förmågan att följa med i en relativt oförutsägbar och snabb utveckling av den itrelaterade brottsligheten. En ständigt uppdaterad hotbild och god kunskap på området är nödvändigt för att effektivt kunna anpassa sådant som lagstiftning och regelverk, förutsättningar för brottsutredning såsom tillgång till metoder och tekniska verktyg samt översyner av policyer och strategier. Några exempel på insatser som syftar

till att förbättra detta är förändrad brottsstatistik, system för brottssamordning, mörkertalsundersökningar, utbyggd forskning, internationellt samarbete och samverkan med den privata sektorn.187

185Regeringen, Danmark (2014), National strategi for cyber-og informationssikkerhed – øget professionalisering og mere viden; Departementene Norge (2012), Nasjonal strategi for informasjonssikkerhet; Försvarsdepartementet, Finland (2013), Finland’s Cyber Security Strategy. Government resolution 24.1.2013; the National Coordinator for Security and Counterterrorism the Netherlands, National Cyber Security Strategy 2. From awareness to capability; Cabinet Office United Kingdom (2011), The UK Cyber Security Strategy. Protecting and promoting the UK in a digital world; Cabinet Office United Kingdom (2014), The UK Cyber Security Strategy. Report on Progress and Forward Plans.

186Regeringen, Danmark (2014), National strategi for cyber-og informationssikkerhed – øget professionalisering og mere viden, s. 28–31; Departementene Norge (2012), Nasjonal strategi for informasjonssikkerhet s. 22–23; Försvarsdepartementet, Finland (2013), Finland’s Cyber Security Strategy. Government resolution 24.1.2013, s. 8; The National Coordinator for Security and Counterterrorism the Netherlands, National Cyber Security Strategy 2. From awareness to capability, s. 23–25, 30; Cabinet Office United Kingdom (2011), The UK Cyber Security Strategy. Protecting and promoting the UK in a digital world, s. 8–9, 29–31; Cabinet Office United Kingdom (2014), The UK Cyber Security Strategy. Report on Progress and Forward Plans, s. 2, 10–11.

187E-post från Rigspolitiet, Danmark 2015-04-15; Politi, Danmark, Strategisk analyse 2015; Politiet, Politidirektoratet, Norge (2015), Datakrimstrategien, s. 74–158; Justisog beredskapsdepartementet, Norge (2015), Justisog bereskapsdepartementets strategi for å bekjempe IKT-kriminalitet, s. 6–7, 12–13, 17–18; e-post från National Crime Agency United Kingdom 2015-08-14.

RIKSREVISIONEN 65

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Bilaga 2. Metod

Intervjuer och dokumentstudier

Dokumentstudier och intervjuer har genomförts kontinuerligt under granskningen. Dokumentstudierna har omfattat bland annat regeringens och myndigheternas styrdokument, förstudier, inspektioner och tillsynsrapporter sammanställda

av Polismyndigheten och Åklagarmyndigheten, offentliga utredningar inom området, samt akademisk litteratur och internationella rapporter. Den officiella kriminalstatistiken har även analyserats.

Intervjuer har genomförts med företrädare för myndigheterna, både med operativ personal och med olika ansvariga funktioner för styrning och ledning, samt med Justitiedepartementet.

Referensgrupp

En extern referensgrupp bestående av nio poliser, inklusive it-forensiker, och åklagare med kvalificerade kunskaper inom området har bistått Riksrevisionens projektgrupp med sina erfarenheter och kompetens. Referensgruppen har bland annat använts för att identifiera olika moment i förundersökningsarbetet och de särskilda förutsättningar som är utmärkande för den it-relaterade brottsligheten. Referensgruppen har också kunnat verifiera problemindikationer och deltagit i en avslutande diskussion med utgångspunkt i de iakttagelser som gjorts under granskningen.

Aktgranskning

Riksrevisionen har genomfört en aktgranskning som avser anmälda brott. Den har omfattat totalt 350 beslut om avskrivning, åtal, åtalsunderlåtelse eller strafföreläggande fattade under 2013. Syftet med aktgranskningen har varit att identifiera och analysera eventuella brister i arbetet med handläggning och utredning av it-relaterad brottslighet genom att kartlägga vilka aktörer och kompetenser som varit delaktiga under arbetet, samt hur lång tid olika moment har tagit. Riksrevisionen har i aktgranskningen undersökt förundersökningsprotokoll med tillhörande material (så kallad slask), samt åklagarbeslut och direktiv kopplade till de granskade besluten. Undersökningen har utgått från frågor som bygger på de iakttagelser och synpunkter som referensgruppen lämnat. Frågorna återges i bilaga 3 (denna bilaga publiceras bara digitalt och finns att ladda ned på Riksrevisionens webbplats www.riksrevisionen.se).

RIKSREVISIONEN 67

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Övrigt

Riksrevisionen har även besökt European Cybercrime Center (EC3) i Haag i juni 2015. Syftet var att få mer kunskap om hur centret arbetar, ta del av goda exempel samt

att få veta mer om förutsättningarna för internationell samverkan vid utredning av it-relaterad brottslighet. Material har även sammanställts för att se hur Storbritannien och Nederländerna, som har lyfts fram av European Cybercrime Center som

mer framstående inom området, hanterar denna typ av brottslighet. Eftersom förutsättningarna är relativt lika i Norden har även Danmark, Norge och Finland studerats närmare. Detta presenteras i bilaga 1.

RIKSREVISIONEN 71

EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN

Tidigare utgivna rapporter från Riksrevisionen

Alla Riksrevisionens tidigare utgivna rapporter finns tillgängliga på

www.riksrevisionen.se

RIKSREVISIONEN 73