– Finansnæringen leder an i kampen mot ID-tyveri
Et omfattende fokus på lignende saker i media viste at det var for mange tilfeller av misbruk av slekt og venners BankID for å ta opp lån. Dette er dramatisk og potensielt livsødeleggende for dem som rammes av det. En samlet næring tok derfor tak i dette for to år siden, og har siden lansert flere tiltak som nå er i ferd med å virke, skriver Gry Nergård i Finans Norge.
Av: Gry Nergård, forbrukerpolitisk direktør, Finans Norge
«Det er på tide at finansnæringen deltar i kampen mot ID-tyveri» skriver Maren Moe fra Jussbuss i Juristen 21. oktober. Det er grunn til å presisere at finansnæringen ikke bare deltar, men leder an i dette viktige arbeidet.
BankID har vært en vesentlig faktor for digitaliseringen i det norske samfunnet. Den benyttes ikke bare for banktjenester: Den sikrer for eksempel trygg betaling for varer og tjenester på nett, og benyttes som innlogging og sikkerhet i offentlige tjenester og portaler. Uten den sikkerheten som ligger i tofaktorautentisering med BankID ville mange digitale løsninger vært umulig eller mye mer svindelutsatt.
Dessverre er det uærlige mennesker der ute, som på mer eller mindre profesjonelt vis greier å begå svindel. Maren Moe tar konkret opp utfordringen med BankID-svindel der det opptas lån i svindelofferets navn. Hun viser til en Høyesterettsdom fra 2020 (HR-2020-2021-A) som påla banken en høyere aktsomhetsplikt enn det vedkommende bank hadde lagt til grunn.
Kort sagt mente Høyesterett at det ikke var tilstrekkelig at banken antok at det var BankID-innehaver selv som tok opp lån selv om både kode og personlig passord som ble brukt var riktig, men at banken måtte forsikre seg om dette gjennom ytterligere kontrolltiltak.
Et omfattende fokus på lignende saker i media viste at det var for mange tilfeller av misbruk av slekt og venners BankID for å ta opp lån. Dette er dramatisk og potensielt livsødeleggende for dem som rammes av det. En samlet næring tok derfor tak i dette for to år siden, og har siden lansert flere tiltak som nå er i ferd med å virke:
- Bankene har forpliktet seg til å gi bedre, tydeligere og oftere informasjon til kundene om hva BankID er, hva den kan brukes til og dermed hva misbrukspotensialet er, og hvorfor man derfor aldri må dele BankID-hemmeligheter med andre.
- Bankene har forpliktet seg til en lang rekke kontrolltiltak som skal avverge og avdekke svindel. Tiltakene er nedfelt i en bransjenorm. Blant annet følger det av denne at bankene ikke skal utbetale lån uten å sjekke på flere tilgjengelige måter om det faktisk er eieren av BankIDen som tar opp lånet og som får lånet utbetalt. Utfordringen er å finne riktig eier, når det ikke finnes et sikkert telefonregister å verifisere opplysningene mot.
- BankID på app er lansert. Biometri vil gjøre det vanskeligere å misbruke andres BankID. BankID på app vil også gi kunden informasjon om hvor kundens ID brukes, det reduserer risikoen for hendelser der noen lurer fra deg ID og passord, og bruker dette til noe annet enn det du tror IDen brukes til.
- Antisvindelsystemet rundt BankID forbedres, slik at flere får raskere kjennskap til svindel, og kan forhindre svindel mot andre banker.
Bankene er i ferd med å implementere disse tiltakene, og jeg håper det også merkes på Jussbuss sin saksmengde.
Jeg tror dette svarer opp de tingene Marte Moe tar opp. Likevel må vi aldri senke guarden. Alle gode krefter samarbeider for å forhindre svindel med elektronisk ID på alle samfunnsområder. Svindlere blir også stadig bedre til sitt «yrke». Derfor må alle som motarbeider svindel på alle samfunnsområder, fortsatt ha fullt trykk på dette arbeidet. Det er ikke – og skal ikke være - slik at kampen mot ID-tyveri tas av forbrukeren alene.
Ny finansavtalelov gjenspeiler også dette. Nye regler om misbruk av elektronisk signatur legger det økonomiske ansvaret på banken som et utgangspunkt. Banken har dermed stor interesse av å avverge misbruk. De nevnte tiltakene som bransjen nå ruller ut vil som sagt være med på å bidra til at alle bankene kan ta dette ansvaret på en god måte.
Det ansvaret som ligger i finansavtaleloven, går spesifikt på ansvaret for de situasjonene hvor elektroniske signatur er misbrukt i finansavtaler der brukerstedet er bank.
Finans Norge har imidlertid anført at det nå er viktig å se ut over denne konkrete situasjonen, for å unngå at svindel som blokkeres ett sted tyter ut på et annet. Det er spesielt viktig for det offentlige, som har flere brukersteder som kan være utsatt, så som Skatteetaten, Helsenorge, NAV og Kartverket. Det bør derfor utredes bredere om ansvarsforhold i all misbruk av eID og e-signatur, og for alle brukersteder. Dersom det offentlige etter hvert også ønsker å tilby eID-løsninger til brukergrupper bankene i dag ikke kan, eller tør å tilby BankID til, blir dette enda viktigere.