Dersom en tyv stjeler eller forfalsker dine ID-papirer, kan vedkommende enkelt få tilgang til din nettbank og tappe den for penger. De kan nemlig opprette en BankID i annen bank enn den du bruker. Denne ID-en gir automatisk tilgang til kontoen i din egen bank.

Dette kan tyvene gjøre uten å bli avkrevd personlig kode eller pin-kode.

Det finnes i dag ingen måte å reservere seg mot dette sikkerhetshullet — selv for kunder som kun bruker én bank, og som dermed aldri vil få bruk for BankID-tilgang til flere banker, skriver aftenposten.no

- Absurd

Aftenposten vet at Finanstilsynet nylig har hatt et møte om saken med BankID og Bankenes Standardiseringskontor (BSK). Finanstilsynet mener løsninger må på plass for å tette sikkerhetshullet.

Etter det Aftenposten erfarer skal partene møtes på ny i nær fremtid for videre oppfølging av dette arbeidet.

Det var Guro Engvig (28) fra Oslo varslet Finanstilsynet om sikkerhetsbristen:

I sommer brøt tyver seg inn i leiligheten til Engvig og samboeren. Med seg fikk de verdisaker, bankkort og pass.

Engvig sørget for å politianmelde tyveriet, men da hun skulle sperre bankkortet sitt kom overraskelsen: Banken forklarte at hun kunne sperre kortet fra bruk, men hun kunne ikke reservere nettbanken sin fra at andre banker igjennom BankID kan logge seg inn på hennes konto.

Etter timer i telefon med banken, BankID og Nets, som leverer tjenesten til norske nettbanker, var svaret hele tiden det samme.

«Din sak er riktignok et eksempel på at dette er funksjonalitet vi bør vurdere, men det må vi se nærmere på», skriver Nets i en e-post til Engvig.

- Jeg synes dette var absurd. Jeg hadde allerede opplevd et innbrudd, og var opptatt av å kunne beskytte meg. Jeg ble forferdet over at jeg som kunde ikke kunne bestemme selv hvem og hvordan man skal kunne logge seg inn i min bank, sier hun.

Engvig sperret BankID i sin egen bank. For å illustrere at dette er et sikkerhetshull gikk hun i en annen bank, opprettet ny konto og en ny BankID med en ny personlig kode.

Like etter gitt hun hjem, og uten spørsmål om kode eller passord fra sin gamle konto, logget hun seg på den gamle kontoen med den nye BankID-en fra den nye banken, og tømte den for penger.

- Jeg kunne også endre personlig kode for den gamle nettbanken min. På denne måten kunne potensielle tyver også ha sperret meg ute fra min egen bank, sier Engvig.

Må vurdere rutinene

Kommunikasjonssjef Hege Steinsland hos BankID Norge erkjenner at det ikke finnes noen reservasjonsmuligheter, men mener dagens tjenester er tilfredsstillende.

— Vi har ingen reservasjonsmulighet mot opprettelse av BankID per i dag, og kan dermed ikke hindre at en person med falskt pass, eller en som misbruker ditt pass, oppretter en ny BankID i ditt navn, sier Steinsland.

Hun understreker at det finnes en sentral og døgnåpen sperretjeneste som gjør at du kan kontakte en bank og be om å få se alle BankID-er som registrert på deg, og få disse slettet med umiddelbar virkning. Men det er først etter at en BankID er opprettet.

— Til nå har dette ikke vært et problem. Jeg kjenner ikke til ett tilfelle, og derfor har vi ikke sett noen grunn til å ha en sentral sperre mot opprettelse av nye BankID-er. Prinsippet for BankID er at bankene åpner opp for hverandre, og godkjenner hverandres BankID-er. Denne gjensidige anerkjennelsen er basert på tillit til at hver bank sjekker kundens pass før det utstedes en ny BankID, sier hun.

- Avklare løsninger

Finanstilsynet ser alvorlig på saken. I en e-post til Aftenposten skriver Finanstilsynet at de har bedt BankID «avklare hvordan problemstillingen kan løses».

— Vi har akseptert at det er et potensielt problem. Tilsynet har forståelse for problemstillingen og mener at det bør etableres løsninger som gjør det mulig å foreta en slik sperring. Ut fra den informasjonen tilsynet sitter med, er denne problemstillingen hittil ikke registrert som et omfattende problem, men det er viktig å være proaktiv på å lukke potensielle sårbarheter før problemer oppstår, sier seksjonssjef for tilsyn med IT og betalingstjenester i Finanstilsynet, Frank Robert Berg.

-Banker ansvarlig for sikring

Steinsland hos BankID Norge sier at de og norske banker er enige om et regelverk hvor bankene er ansvarlig for å sikre at BankID opprettes til rett person.

- Bankene støtter opp om det i gjennom en solid ID-kontroll med pass, og ved mistanke om falske BankID-er, kan en kunde raskt få avdekket om de finnes og få dem sperret, sier hun.

Men for kreative tyver er ikke en ID-kontroll hos bankpersonell et hinder:

I svindelsaken med tilnavnet «Plastic Fantastic» tok tyver i bruk stjålne ID-papirer og lagde seg såkalte «ekte-falske» legitimasjonspapirer. Svindlerne brukte stjålne pass, der de beholdt navnet til offeret - men byttet ut passfotoet med et bilde av kjeltringen.

Deretter gikk de til en bank og fikk opprettet konti i offerets navn. Slik kunne de deretter bestille et «ekte» bankkort. Kortet er ekte fordi det er produsert av banken, men falskt fordi det er laget på feil grunnlag.

I motsetning til politiet har hverken post- eller banktjenesten i Norge tilgang til registeret over stjålne pass.

De har dermed ingen måte å kontrollere hvorvidt et pass er stjålet, før de utsteder bankkort, konti og BankID.

Engvig opplevde også at tyvene tok i bruk hennes ID-papirer i Bank-i-butikk. Med hjelp av ID-ene tømte de kontoen hennes - til tross for at hennes bankkort var sperret.

- Hopper ikke rett på løsninger

— Hvis man har falske ID-papirer, og kan passere i banken som den personen man utgir seg for å være, så kan dette skje. Men jeg har hittil ikke hørt om et tilfelle, sier Knut Kvalheim, daglig leder i Bankenes Standardiseringskontor (BSK).

BSK er ansvarlige for sikkerhetskravene til bankenes felles betalingssystemer. Kvalheim sier de har registret problemstillingen rundt BankID.

— For den som rammes av dette, så er det alvorlig. Temaet er registrert, men per i dag er det ikke et krav til endring fra vår side. Men dette vil sikkert diskuteres videre hvis det kommer flere hendelser.

- Hvor mange hendelser må til?

— Enkelttilfeller er en ting, men det er klart at hvis vi ser at dette er noe som skjer hyppig må vi gjøre noe med det. Jeg kan ikke si nå hva en eventuell løsning vil være. Vi må vurdere de alternativ vi har.

- Burde man ikke handle etter føre-var-prinsippet når det gjelder sikkerhet?

- Selv om det er grunnholdningen krever alltid arbeid med sikkerhet avveining mellom flere forhold. En akse går på sikkerhet, en på brukervennlighet og en annen går på kostnader. Ofte går økte krav til sikkerhet ut over brukervennligheten og de må foretas prioriteringer, sier Kvalheim.

Føler du deg trygg i nettbanken?