Dette er en kronikk. Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no.
I Digi.no 14. august påstår Solveig Schytz at «BankID er farligere enn du tror». Påstanden er ikke riktig. BankID i seg selv er ikke farlig. Men det er farligere enn mange tror å dele BankIDen sin med andre.
Schytz viser til en sak som har vært til behandling i tingretten og lagmannsretten, hvor en mann hadde brukt samboerens BankID til å ta opp et lån i hennes navn. Dette kunne han gjøre fordi han hadde tilgang til BankID-brikken hennes, og til det personlige passordet hennes. Tingretten mente kvinnen hadde vært uforsiktig med BankID og passord og mente hun måtte dekke bankens tap. Lagmannsretten kom til at banken måtte dekke tapet selv.
– Som helhet er kanskje ikke BankID så sikker som man skulle tro
Stortinget skal behandle nytt lovforslag
Denne høsten skal Stortinget diskutere forslag til ny finansavtalelov. I denne loven foreslås det at banken som hovedregel må dekke tapet i slike tilfeller.
Finansavtaleloven er en stor og viktig lov, som skal sikre forbrukerne gode rettigheter overfor banken. Det er bra. Jeg mener likevel det er viktig at Stortinget tenker over følgende når det gjelder forslaget til nye regler om ansvar for misbruk av elektronisk signatur:
Det er ikke BankID som er utrygg. BankID tilfredsstiller det høyeste sikkerhetsnivået i Europa til slike løsninger. Og det jobbes kontinuerlig for å forbedre sikkerheten ytterligere, for sikkerheten utfordres selvfølgelig hele tiden av noen som synes at svindel med BankID kunne være en fin måte å tjene penger på. Når det skjer svindel med BankID i dag, er det imidlertid ikke på grunn av manglende sikkerhet i BankID. Det er på grunn av at du og jeg har gitt fra oss påloggingshemmelighetene våre, enten bevisst eller ubevisst. I den type saker som Schytz nevner, har kvinnen på en eller annen måte delt passordet sitt med samboeren eller blitt fralurt dette.
Hvem skal betale for din uforsiktighet?
Og da er neste spørsmål: er det rimelig at det er banken som skal bære tapet for det lånet som mannen har tatt opp som følge av at kvinnen bevisst har delt eller vært uforsiktig med passordet sitt? Eller sagt på en annen måte: er det rimelig at bankens øvrige kunder, de som passer godt på sin egen BankID, skal betale for dette?
For ja – BankID-avtalen krever at du skal beskytte BankID-en din. Det må den gjøre. Det går ikke an å ha en elektronisk ID som kan deles. Da kan ingen stole på at du er du når du skal legitimere deg eller underskrive avtaler elektronisk. Hvis ikke nettbanken, nettbutikken, skatteetaten, legen eller NAV kan ha tiltro til at det det er riktig person som benytter BankID, fungerer ingen av disse tjenestene. Det er også derfor svært viktig at finansavtaleloven slår fast dette aktsomhetskravet som en grunnforutsetning.
Er det akseptabelt å dele identitet?
Slik den nye loven er utformet, er jeg redd for at oppfordringen til folk om å holde BankIDen sin beskyttet, blir dårligere. Når det er bankens problem hvis du blir svindlet, har det vel ikke så mye å si om du er litt slepphendt? Og dersom domstolen finner at du har vært «uaktsom», blir du kun ansvarlig for 450 kroner.
Schytz skriver at alternativet til de nye reglene er at samboere og familie må slutte å stole på hverandre. Men dersom det bli akseptabelt å dele identitet med samboere og familie, kan dette faktisk bidra til en bråstopp i digitaliseringen i både privat og offentlig sektor. Hvis ingen lenger kan stole på at du er du, vil ingen ta sjansen på å gjøre avtaler med deg.
Databutikken Digital Impuls er konkurs
Vanskelig å bevise
Som sagt skal banken som hovedregel bære tapet dersom noen misbruker andres elektroniske signatur til å for eksempel ta opp et lån. Dersom eieren av BankID har handlet uaktsomt, blir han ansvarlig for en egenandel på 450 kroner. Dersom han har opptrådt grovt uaktsomt, må han ut med 12 000 kroner. Og dersom han forsettlig har bidratt til svindelen, er han ansvarlig for hele tapet. Det høres kanskje rimelig ut, for sånn er det også når noen misbruker bankkortet ditt. Men spørsmålet er: Hvordan kan banken bevise noe som helst om hva som har skjedd innenfor husets fire vegger? I den typen saker som Schytz nevner, hvordan skal man vite hva som har skjedd? Har mannen sett over skulderen til kona? Har kona tidligere gitt mannen passordet? Har hun skrevet det ned og hatt det liggende sammen med brikken? Har han truet henne til å gi det fra seg? Har de blitt enige om at han kan «misbruke» den?
Banken har ingen mulighet til å sette opp overvåkningskameraer i de tusen hjem, slik de har ved minibanker eller fysiske brukersteder. De har ingen andre kilder som kan uttale seg om hendelsesforløpet. Jeg mener det er en reell fare for at misbruk som en standard vil koste 450 kroner. Og 450 kroner er en billig pris for noen som ønsker å svindle banken.
Hvis utfordringen er BankID …
Når alt dette er sagt, er det også grunn til å minne Stortinget om at saken ikke handler om BankID. Loven gjelder ansvar for misbruk av elektronisk signatur generelt. Så dersom det er en annen elektronisk signatur som benyttes til å inngå en låneavtale, for eksempel én som staten eier, gjelder også samme regler.
Finansavtaleloven legger ansvaret for misbruk av elektronisk signatur på banken. Denne banken trenger imidlertid ikke være den samme som har utstedt BankIDen som benyttes, og det trenger altså ikke være BankID i det hele tatt som er brukt til signering. Hvis man mener at det er bruken av elektroniske signaturer, herunder for eksempel BankID, som er problemet, burde man diskutere spørsmålet et helt annet sted enn i finansavtaleloven.
Hovedtillitsvalgt: Telenor er på ville veier