I sin kronikk 18 august skriver Vipps følgende: For bestemor som trenger hjelp, finnes det alternative måter å hjelpe henne på. Anbefalt er å la BankID-en hennes i fred, og heller bruke egen BankID gjennom å være disponent på hennes konto. Få et samtykke til å representere henne på offentlige helsetjenester. Å overta bestemors BankID er en ugrei måte å hjelpe henne på.
I tillegg har Vipps/BankID en kampanje på sine nettsider for å oppfordre alle til å aldri dele sin BankID, men heller oppnevne en eller flere disponenter som da kan få tilgang til din konto og gjøre ærend på dine vegne. *Etter nesten 4 uker med testing av disposisjonsrett vil jeg påstå at BankID ikke synes å forstå hva de faktisk anbefaler.*
Med god hjelp fra folk jeg stoler på har jeg over 4 uker ettergått sikkerhet, personvern og brukeropplevelse for oppsett og bruk av disposisjonsrett. Her er mine funn oppsummert.
Oppsett av disposisjonsrett er vanskelig
Tante Olga og onkel Ola trenger hjelp, og du vil bistå. For at de skal kunne gi deg disposisjonsrett må du ha konto i samme bank som dem. De må klare å finne frem i nettbankens brukergrensenitt for bestilling av disposisjonsrett, og følge rutinen for det. De trenger ditt navn og fødselsnummer, samt muligens også adresse og telefonnummer. De må lese og forstå vilkårene. I en bank må de bruke BankID for å digitalt signere en avtale som gjelder til 31.12.9999.
Ja, du leste riktig årstall. Godt at banken har langvarig perspektiv på familiær bistand. Det ser ikke ut til at mange banker tilbyr bestilling av disposisjonsrett via papirskjema. I ett tilfelle inneholdt ikke papirskjemaet noen vilkår, skjemaet mått signeres av kontoeier og disponent, samt 2 vitner som er tilstede. Ikke så lett om vi snakker litt avstand mellom deg og dem du skal hjelpe. Ved bestilling av disposisjonsrett gjennom bruk av papirskjema ble ingen av partene, dvs kontoeier, disponent eller vitner,kontaktet eller varslet på noe tidspunkt, selv ikke etter at tilgangen var etablert. I ett tilfelle skulle disponenten varsles via sms og signere avtalen, men meldingen kom aldri frem. Like fullt sa nettbanken at disposisjonsretten var etablert. I et annet tilfelle fant vi at disposisjonsretten var opprettet, selv om disponenten ikke hadde noe kundeforhold i den aktuelle banken.
Disposisjonsretten er tilnærmet usynlig
Etter å ha opprettet disposisjonsrett for en eller flere, du kan gi tilgang til så mange du vil, så er det ikke synlig i hverken mobilapp eller ved innlogging i vanlig nettleser at noen har disposisjonsrett på en konto. Det krever at kontoeier graver seg ned i ulike menyer, som varierer i navn og utseende fra bank til bank. Litt skummelt å si, men det er altså vanskelig for Olga og Ola å finne ut om noen har oppnådd uautorisert tilgang til deres kontoer. Det er faktisk ikke gitt at de på noe tidspunkt blir varslet om at slik tilgang er opprettet, dersom det bestilles av andre uten tillatelse, og uten å ha tilgang på deres BankID på noe tidspunkt.
Disposisjonsretten innebærer også at en disponent kan gå gjennom hele kontohistorikken din og se hvem du har fått penger fra, eller betalt penger til manuelt eller med kort i mange, mange år tilbake i tid. Uten at det er relevant for din bistand til tante og onkel selvfølgelig. Forhåpentligvis har de ingenting å skjule i betalingshistorikken sin.
Disposisjonsretten er tilnærmet ubrukelig
Tante og onkel får som alle andre regninger. I dag kommer de fleste elektronisk. Imidlertid er efaktura bundet opp mot fødselsnummer, så en disponent kan hverken se eller godkjenne innkomne efakturaer før kontoeier selv har logget på og godkjent dem. Derfor er det dessverre ikke sikkert at du faktisk kan hjelpe dem med å få betalt sine regninger, hverken husleien eller sydenferien. Det du imidlertid kan gjøre er å overføre alle deres penger til deg selv, eller sende dem til en annen konto i annen bank - kanskje også i utlandet.
Disposisjonsretten er farlig
Kontoeier er selv ansvarlig for alle bevegelser som gjøres på konto av en disponent. Derfor er det viktig å kun gi disposisjonsrett til folk man stoler på. Akkurat samme ansvarsforhold vil forøvrig gjelde dersom man skulle finne på å dele sin BankID med andre, ingen forskjell i ansvar der. Imidlertid viser det seg at alt som en disponent måtte gjøre av betalingstransaksjoner logges som om det er kontoeier selv som utfører dem.
Du som kontoeier kan ikke se hvilken disponent som har sendt pengene dine til en annen konto, bank eller utland
Og enda verre: det kan ikke banken heller, ifølge skriftlig forklaring mottatt fra kundeservice hos en av de største bankene i Norge. Det er jo ikke noe problem for banken selvfølgelig, alle bevis sier at du har bestilt disposisjonsrett, godkjent vilkårene og utført alle transaksjonene selv.
Den aktuelle banken ba meg snakke med disponentene på min konto for åfinne ut hvem som kan ha gjort hva - hvorav en beviselig ikke har noe kundeforhold hos banken, og følgelig aldri mottok noen melding fra banken om at disposisjonsrett var opprettet.
De problemene observert her har vist at disposisjonsrett for private i norske banker er en funksjon med alvorlige mangler. Det kan være svært vanskelig å sette opp. Både kontoeier og disponenter kan risikere å ikke få noen beskjed om at uvedkommende har opprettet disposisjonsrett i deres navn. Funksjonen har ingen granularitet for hva en disponent kan se og gjøre, en risiko for både økonomi og personvern. Hverken bank eller kontoeier kan se hvem som har gjort hva, og det er uansett kontoeiers ansvar. Det er vanskelig å se at en påstand om at disposisjonsrett skal gi et juridisk skille av betydning eller beskyttelse for et offer når noe går galt.
Dersom Vipps/BankID og Finans Norge mener at dagens funksjonalitet for disposisjonsrett er det eneste rette alternativet å bruke, så er det for meg åpenbart at finansbransjen ikke har klart å regulere seg selv. Da er det sikre alternativet å la myndighetene regulere bransjen til fordel for kundenes sikkerhet og personvern. Derfor håper jeg at forslaget til ny finansavtalelov vedtas i Stortinget snarest mulig.