BankID møter høyesterettsdom med bedre sikkerhet

En fersk høyesterettsdom legger større ansvar for rett identitet på bankene. Svaret fra bransjen er å øke sikkerheten.

Tekst: Sjur Anda foto: Cfwesenberg

Høyesterett har avsagt i dom i denne saken etter gjeldende finansavtalelov. Samtidig ser landets øverste domstol hen til forslaget til ny finansavtalelov som i disse dager ligger i justiskomiteen for behandling. I dette lovforslaget legger lovgiver ansvaret utelukkende på finansnæringen.

– Selv om bankene implementerer de nye sikkerhetstiltakene, med for eksempel varsling til den som søker lån, kan vi få en rettstilstand som likevel fratar en kunde ansvar. Dette kan skje selv om kunden på nytt har bekreftet at det er han eller hun som har søkt lånet, og skal ha det utbetalt. Det bekymrer oss, fordi det potensielt vil kunne hemme den effektive digitaliseringen Norge har nytt godt av i flere ti-år, sier Tom Staavi, informasjonsdirektør i Finans Norge. Han vil at man skal se bredt på reguleringen av digital ID.

IKKE HACKET

– Nå reguleres bruken av ID i finansavtaleloven. Digital ID brukes mange steder, og vi vil at man skal se bredere på dette, og lage en helhetlig regulering av digital ID, før man kommer med regler for hvert område. Derfor vil vi ha en utredning av dette problemkomplekset, som krever en videre regulering enn det som er på plass i dag, sier Staavi, og påpeker at sikkerheten i systemene er god.

– BankID har god sikkerhet og har ikke vært hacket. Det er hvordan brukerne benytter den og hva tjenestetilbyderne tilbyr, som fører til usikkerhet i systemet, sier han.

Høyesterett skriver at banken er den profesjonelle part og kunne gjort ytterligere tiltak før lånebeløpet ble utbetalt. Det er et sterkt signal fra Høyesterett om tiltak som finansnæringen allerede er godt i gang med å få på plass.

– I regi av Bits har en arbeidsgruppe bestående av næringen og andre relevante aktører, jobbet med ulike tiltak med mål om å forhindre svindel. Tiltakene skal ikke reversere effektiviteten og brukervennligheten av elektronisk ID for kundene. Arbeidet er i sluttfasen og vil blant annet resultere i en bransjenorm som alle medlemmer av Finans Norge vil forplikte seg til å følge. Denne vil blant annet gjøre det vanskeligere for svindlere å få utbetalt lån, selv om de har klart å overta din elektroniske ID, sier Staavi.

ARBEID ALLEREDE I GANG

– Vi har startet et omfattende arbeid for å øke sikkerheten ved digital ID i Bits. Det har vi gjort uavhengig av høyesterettsdommen. Det er et trusselbilde i samfunnet i dag og en rekke skjebner er rammet av misbrukt av digital ID, som gjør dette arbeidet svært viktig, sier Eivind Gjemdal, daglig leder i Bits, finansbransjens infrastrukturselskap. Her skal de blant annet sikre og styrke en effektiv betalingsformidling og betalingsinfrastruktur i Norge.

– Først må vi se hvordan situasjonen er i dag, hvilke tiltak vi kan treffe og hva som er mulig å gjennomføre. Vi har en bred tilnærming til hele problembildet, og vurderer det fra flere perspektiver enn bare bank, sier Gjemdal. Det innebærer at de også prater med jurister om digital ID-saker og også med talsmenn for dem som er utsatt for svindelen.

Eivind Gjemdal, daglig leder i Bits.

Foreløpig har de kommet frem til flere kortsiktige og langsiktige tiltak. På kort sikt handler det om informasjon til brukere og brukersteder. Det er også tekniske tiltak og en bransjenorm for hvordan bankene skal håndtere det. I tillegg ønsker man seg tiltak som vil kreve grep fra det offentlige.

ØNSKER FULLMAKT

– Vi vil gjerne ha en mulighet der folk kan gi andre fullmakt til å logge seg på nettbanken sin. Det er mulig i de fleste banker. Det å gi en fullmakt vil være helt annerledes enn å gi bort sin digitale signatur, og derigjennom i praksis tilgang til hele sitt digitale liv. En fullmakt vil vise hvem som er inne i nettbanken og gjør ting på vegne av deg, sier Gjemdal. Noe av det samme problemet er det hos offentlige myndigheter, som også bruker digital ID.

– Det er ikke mulig å operere med en fullmektig hos alle etatene. Det gjør at mange eldre pensjonister eksempelvis låner bort hele sin ID til andre for å få hjelp med å ordne ting. Det er ikke bra, sier Gjemdal.

På lengre sikt handler det om å lage systemer for å kunne reservere seg mot en del tjenester, som eksempelvis å kunne endre kontaktinformasjon og forbedringer i anti-svindelregistrene.

– Ved å måtte verifisere en del opplysninger mot andre registre, vil det bli vanskeligere å ta over en identitet, sier Gjemdal.

JOBBER MED BANK-ID-APP

I BankID er de ikke overrasket over dommen.

– Vi var forberedt på at dette ble utfallet. Som dommeren skriver, kunne BankID-eieren beskyttet brikken bedre, men det avgjørende er at banken i dette tilfellet burde gjort en innsats for å sjekke at pengene gikk til riktig person. Vi ser frem til bedre bransjenormer hos bankene på dette området fremover, skriver Hanne Kjærnes, kommunikasjonssjef i BankID, i en epost.

Selskapet ønsker å utvikle BankID til å bli enda tryggere.

– Vi videreutvikler BankID for å begrense svindel i enda større grad. Bankene jobber med å få på plass prosedyrer for utbetaling av lån til nye, ukjente kunder. BankID ønsker å få flest mulig over på BankID-app fremover, og det er allerede flere banker som tilbyr denne løsningen. Med app-en blir muligheten til å stjele andres BankID mye mindre – både fordi brikken ligger i mobilen, og du får varsler om at BankID brukes og kan avbryte dersom det ikke er deg, sier Kjærnes.