Gry Nergård er på vegne av finansnæringen såre fornøyd med BankID og etterlyser større sikkerhetsinnsats fra kundene (innlegg i DN 31. oktober). Men her tror jeg kundene har fått en altfor stor bør å bære. Det er jo de som må betale om de ikke er forsiktige nok.
Kundene kan miste penger eller hus eller risikere mange års rettssak med banken sin.
Så heller enn å i tillegg anlegge det brede perspektivet på id-tyveri, som Nergård anbefaler, burde kanskje finansnæringen og myndighetene anlegge kundens perspektiv?
Her er noen enkle systemtiltak som kan minske kundenes risiko for id-tyveri:
- Systemet bør kreve at kundene bytter tallkoden (pin-koden) til BankID på mobil ved fastsatte mellomrom. Det må ikke være mulig å bruke en kode som er grei å gjette for en datamaskin. Å bytte må være enkelt. I dag må en ofte reinstallere BankID på mobil for å få byttet, og det kvier nok de fleste seg for.
- På tilsvarende måte må det kreves at passordet til BankID byttes ofte og slik at man ikke kan bruke et passord som er for lett å gjette. (Passordet brukes noen ganger som en ekstra sikkerhet.)
- Forventningene om hvordan en mobil med BankID og en kodebrikke skal oppbevares, må klargjøres. Det er normalt ok å ha brikken ulåst hjemme, men gjelder det også om man bor i kollektiv, har håndverkere i huset eller lar de unge har stor fest? Og er det OK å ha brikken på nøkkelknippet? Er det noen spesielle krav til oppbevaring av en mobil med BankID? Blir kravene tydeliggjort, blir usikkerheten hos kundene mindre ― om kravene er realistiske.
- For viktige transaksjoner, som salg og pantsetting av fast eiendom, bør det være vitner også når BankID brukes. Da vet man noe om hva som har skjedd når koden ble tastet.
- Tinglysingen bør stille kontrollspørsmål til kundene på samme måte som Høyesterett har krevd av bankene.
- Det bør skilles mellom BankID som identifikasjon og BankID som forpliktende underskrift. Underskriftskoden kan da holdes ekstra hemmelig. Og siden underskriftskoden brukes sjeldnere, vil risikoen for at noen snapper opp koden ved bruk bli mindre.
- Det må være mulig å avgrense bruken av BankID. BankID brukes ikke bare til nettbank. Ved id-tyveri kan BankID i dag brukes til å selge huset, noe de fleste ikke er klar over. Selv om man kan få huset tilbake, kan det skape utrygghet over lang tid. De som ikke vil ta denne risikoen, må få slippe. Nettbank er kanskje nødvendig, men de få gangene man selger huset sitt, kan det skje på gamlemåten, tenker nok noen. De må få en mulighet til å avgrense bruken av BankID, slik at den bare kan brukes i banken. Noen vil kanskje også ønske en beløpsmessig avgrensning. Les også Røsægs forrige innlegg: Min BankIDentitetskrise
Slike tiltak vil bedre kundens situasjon mer effektivt enn bare å be dem være forsiktige. Det er først og fremst systemet som må være sikkert.
En kan ikke overlate alt til kundene.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.