DEBATT

BankID: Disposisjonsrett er ikke lett

Disposisjonsrett er et dårlig alternativ til utlån av BankID

Per Thorsheim ønsker seg endringer i dagens Finansavtalelov.
Per Thorsheim ønsker seg endringer i dagens Finansavtalelov. Foto: Marius Jørgenrud
Per Thorsheim, sikkerhetsekspert
15. sep. 2020 - 19:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

I sin kronikk 18 august skriver Vipps følgende: For bestemor som trenger hjelp, finnes det alternative måter å hjelpe henne på. Anbefalt er å la BankID-en hennes i fred, og heller bruke egen BankID gjennom å være disponent på hennes konto. Få et samtykke til å representere henne på offentlige helsetjenester. Å overta bestemors BankID er en ugrei måte å hjelpe henne på.

I tillegg har Vipps/BankID en kampanje på sine nettsider for å oppfordre alle til å aldri dele sin BankID, men heller oppnevne en eller flere disponenter som da kan få tilgang til din konto og gjøre ærend på dine vegne. *Etter nesten 4 uker med testing av disposisjonsrett vil jeg påstå at BankID ikke synes å forstå hva de faktisk anbefaler.*

Med god hjelp fra folk jeg stoler på har jeg over 4 uker ettergått sikkerhet, personvern og brukeropplevelse for oppsett og bruk av disposisjonsrett. Her er mine funn oppsummert.

Nesten alle nordmenn opplever forsøk på digital svindel, ifølge en undersøkelse. Vanligste kontaktmetode er epost eller tekstmelding.
Les også

Ni av ti nordmenn utsettes for digitale svindelforsøk

Oppsett av disposisjonsrett er vanskelig

Tante Olga og onkel Ola trenger hjelp, og du vil bistå. For at de skal kunne gi deg disposisjonsrett må du ha konto i samme bank som dem. De må klare å finne frem i nettbankens brukergrensenitt for bestilling av disposisjonsrett, og følge rutinen for det. De trenger ditt navn og fødselsnummer, samt muligens også adresse og telefonnummer.  De må lese og forstå vilkårene. I en bank må de bruke BankID for å digitalt signere en avtale som gjelder til 31.12.9999.

Ja, du leste riktig årstall. Godt at banken har langvarig perspektiv på familiær bistand. Det ser ikke ut til at mange banker tilbyr bestilling av disposisjonsrett via papirskjema. I ett tilfelle inneholdt ikke papirskjemaet noen vilkår, skjemaet mått signeres av kontoeier og disponent, samt 2 vitner som er tilstede. Ikke så lett om vi snakker litt avstand mellom deg og dem du skal hjelpe. Ved bestilling av disposisjonsrett gjennom bruk av papirskjema ble ingen av partene, dvs kontoeier, disponent eller vitner,kontaktet eller varslet på noe tidspunkt, selv ikke etter at  tilgangen var etablert. I ett tilfelle skulle disponenten varsles via sms og signere avtalen, men meldingen kom aldri frem. Like fullt sa nettbanken at disposisjonsretten var etablert. I et annet  tilfelle fant vi at disposisjonsretten var opprettet, selv om disponenten ikke hadde noe kundeforhold i den aktuelle banken.

Disposisjonsretten er tilnærmet usynlig

Etter å ha opprettet disposisjonsrett for en eller flere, du kan gi tilgang til så mange du vil, så er det ikke synlig i hverken mobilapp eller ved innlogging i vanlig nettleser at noen har disposisjonsrett på en konto. Det krever at kontoeier graver seg ned i ulike menyer, som varierer i navn og utseende fra bank til bank. Litt skummelt å si, men det er altså vanskelig for Olga og Ola  å finne ut om noen har oppnådd uautorisert tilgang til deres kontoer. Det er faktisk ikke gitt at de på noe tidspunkt blir varslet om at slik tilgang er opprettet, dersom det bestilles av andre uten tillatelse, og uten å ha tilgang på deres BankID på noe tidspunkt.

Disposisjonsretten innebærer også at en disponent kan gå gjennom hele kontohistorikken din og se hvem du har fått penger fra, eller betalt penger til manuelt eller med kort i mange, mange år tilbake i tid. Uten at det er relevant for din bistand til tante og onkel selvfølgelig. Forhåpentligvis har de ingenting å skjule i betalingshistorikken sin. 

Chat GPT Search kan bli en alvorlig Google-rival, og nå kan også gratisbrukerne benytte tilbudet.
Les også

Nå kan du teste ut Open AIs egen søkemotor

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Disposisjonsretten er tilnærmet ubrukelig

Tante og onkel får som alle andre regninger. I dag kommer de fleste elektronisk. Imidlertid er efaktura bundet opp mot fødselsnummer, så en disponent kan hverken se eller godkjenne  innkomne efakturaer før kontoeier selv har logget på og godkjent dem. Derfor er det dessverre ikke sikkert at du faktisk kan hjelpe dem med å få betalt sine regninger, hverken husleien eller sydenferien. Det du imidlertid kan gjøre er å overføre alle deres penger til deg selv, eller sende dem til en annen konto i annen bank - kanskje også i utlandet.

Disposisjonsretten er farlig

Kontoeier er selv ansvarlig for alle bevegelser som gjøres på konto av en disponent. Derfor er det viktig å kun gi disposisjonsrett til folk man stoler på. Akkurat samme ansvarsforhold vil forøvrig gjelde dersom man skulle finne på å dele sin BankID med andre, ingen forskjell i ansvar der. Imidlertid viser det seg at alt som en disponent måtte gjøre av betalingstransaksjoner logges som om det er kontoeier selv som utfører dem.

Du som kontoeier kan ikke se hvilken disponent som har sendt pengene dine til en annen konto, bank eller utland

Og enda verre: det kan ikke banken heller, ifølge skriftlig forklaring mottatt fra kundeservice hos en av de største bankene i Norge. Det er jo ikke noe problem for banken selvfølgelig, alle bevis sier at du har bestilt disposisjonsrett, godkjent vilkårene og utført alle transaksjonene selv.

Den aktuelle banken ba meg snakke med disponentene på min konto for åfinne ut hvem som  kan ha gjort hva - hvorav en beviselig ikke har noe kundeforhold hos banken, og følgelig aldri mottok noen melding fra banken om at disposisjonsrett var opprettet.

De problemene observert her har vist at disposisjonsrett for private i norske banker er en funksjon med alvorlige mangler. Det kan være svært vanskelig å sette opp. Både kontoeier og disponenter kan risikere å ikke få noen beskjed om at uvedkommende har opprettet disposisjonsrett i deres navn. Funksjonen har ingen granularitet for hva en disponent kan se og gjøre, en risiko for både økonomi og personvern. Hverken bank eller kontoeier kan se hvem som har gjort hva, og det er uansett kontoeiers ansvar. Det er vanskelig å se at en påstand om at disposisjonsrett skal gi et juridisk skille av betydning eller beskyttelse for et offer når noe går galt.

Dersom Vipps/BankID og Finans Norge mener at dagens funksjonalitet for disposisjonsrett er det eneste rette alternativet å bruke, så er det for meg åpenbart at finansbransjen ikke har klart å regulere seg selv. Da er det sikre alternativet å la myndighetene regulere bransjen til fordel for kundenes sikkerhet og personvern.  Derfor håper jeg at forslaget til ny finansavtalelov vedtas i Stortinget snarest mulig.

Ordet hacking blir ofte forbundet med digital kriminalitet. Nå er det på høy tid å ta begrepet tilbake. Hacking er på ingen måte forbeholdt dunkle gutterom og nettbanditter, skriver kronikkforfatterne. Bildet viser det albanske landslaget i cybersikkerhet under årets europamesterskap i hacking i Italia.
Les også

Hacking kan bli avgjørende for nasjonal sikkerhet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra