Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer

En utskrift från Dagens Nyheter, 2019-10-21 22:25

Artikelns ursprungsadress: https://www.dn.se/asikt/bankerna-borde-ersatta-alla-som-lurats-av-id-bedragare/

DN Åsikt

DN Åsikt. Bankerna borde ersätta alla som lurats av ID-bedragare

Foto: Isabell Höjman/TT

Eftersom bankerna valt låg säkerhet på bank-ID borde de ersätta alla kunder som drabbats av bedragare. Bankerna har öppnat upp för bedrägerierna genom att välja en lösning med en grundläggande säkerhetsbrist.

SVT Nyheter rapporterar att kriminella har lurat till sig minst 50 miljoner kronor på ett halvår genom bedrägerier med bank-ID. Många har förlorat sina besparingar, men kan inte räkna med att bli ersatta av banken, eftersom de har ”hjälpt till” att logga in bedragarna.

Men bankerna har öppnat upp för detta genom att välja en lösning, mobilt bank-ID, som har en grundläggande säkerhetsbrist. Personnummer går att få tag på, och den som känner till någon annans personnummer kan påbörja en inloggning, och sedan hamna först i kön när den andre loggar in. Det kan ske genom att lura den andre att logga in, men det skulle också vara teoretiskt möjligt att göra programvara som ständigt försöker logga in på en mängd olika personnummer. Förr eller senare kommer någon av personerna att göra en inloggning.

Samtidigt vore det enkelt att öka säkerheten och förhindra brotten genom att komplettera med extra steg. Ett sätt är att låta inloggningen på den aktuella webbplatsen ske med personnummer plus ytterligare ett par siffror/bokstäver som bara användaren och bank-ID känner till, och som väljs när ID-appen aktiveras. Det finns en risk att tillägget avslöjas genom så kallat nätfiske, men ändå ett extra hinder.

En annan variant är att när man matat in sitt personnummer och klickat på logga in, visar inloggningssidan upp ett par unika siffror/bokstäver, som man sedan matar in i appen tillsammans med sitt lösenord. Om bedragaren också försöker logga in med samma personnummer kommer dennes inloggningssida att ha visat upp andra siffror/bokstäver. Inloggning sker endast på den inloggningssida vars siffror/bokstäver matades in i appen.

En tredje variant är att appen efter inloggning som ett extra steg visar en kort kod som måste matas in på inloggningssidan för att slutföra inloggningen. Två bokstäver från svenska alfabetet ger 29*29=841 kombinationer, ännu fler om vi lägger till siffror och skiljer på versaler/gemener, så även med korta koder är det knappast värt för bedragarna att försöka på måfå.

Vidare bör man kunna välja på sin bank att alla utbetalningar och överföringar (kortbetalningar inte inräknade) till andra konton än de egna genomförs först 24 timmar efter registrering. Då finns det tid att kontakta sin bank för den som anar oråd.

Bankerna vet naturligtvis mycket väl att deras lösning är osäker, och att det är enkelt att höja säkerheten. Men de väljer att låta bli, eftersom det skulle bli en liten aning krångligare att mata in de där bokstäverna/siffrorna i appen också. Vissa människor får alltså betala priset för denna lilla ökade bekvämlighet med sina besparingar. Eftersom bankerna har valt att göra den avvägningen, har de också valt att låta sina kunder ta den risken. De kan stoppa bedrägerierna, men väljer att låta bli. Då är det rimligt att de också hålls ansvariga för förluster som uppstår.

Bankföreningen har erbjudits att svara på inlägget, men kommunikationschef Lena Barkman skriver till Åsiktsredaktionen att ”vi avböjer att svara denna gång”.