Norge

Tyver kan tappe kontoen din - selv uten passord og pinkode

Selskapet som forvalter tilgangen til nettbanken din, har vært i møte hos Finanstilsynet om alvorlig sikkerhetshull.

Guro Engvig (28) gjorde Finanstilsynet oppmerksom på en sikkerhetsbrist hos BankID. Hvis en tyv med falske ID-papirer oppretter en konto i ditt navn, og får tilgang på BankID, kan personen logge seg på din konto uten spørsmål om passord og pinkode. Du kan ikke reservere kontoen din fra at BankID-er fra andre banker kan logge seg på din konto. Signe Dons

 • Marie Melgård

Dersom en tyv stjeler eller forfalsker dine ID-papirer, kan vedkommende enkelt få tilgang til nettbanken din og tappe den for penger. De kan nemlig opprette en BankID i annen bank enn den du bruker. Denne ID-en gir automatisk tilgang til kontoen i din egen bank.

Dette kan tyvene gjøre uten å bli avkrevd personlig kode eller pin-kode.

Det finnes i dag ingen måte å reservere seg mot dette sikkerhetshullet — selv for kunder som bruker bare én bank, og som dermed aldri vil få bruk for BankID-tilgang til flere banker.

- Absurd

Aftenposten vet at Finanstilsynet nylig har hatt et møte om saken med BankID og Bankenes Standardiseringskontor (BSK). Finanstilsynet mener løsninger må på plass for å tette sikkerhetshullet.

Etter det Aftenposten erfarer, skal partene møtes på ny i nær fremtid for videre oppfølging av dette arbeidet.

Det var Guro Engvig (28) fra Oslo varslet Finanstilsynet om sikkerhetsbristen:

I sommer brøt tyver seg inn i leiligheten til Engvig og samboeren. Med seg fikk de verdisaker, bankkort og pass.

Engvig sørget for å politianmelde tyveriet. Men da hun skulle sperre bankkortet sitt, kom overraskelsen: Banken forklarte at hun kunne sperre kortet fra bruk, men hun kunne ikke reservere seg mot at andre banker gjennom BankID kan logge seg inn på hennes nettbankkonto.

Etter timer i telefon med banken, BankID og Nets, som leverer tjenesten til norske nettbanker, var svaret hele tiden det samme.

«Din sak er riktignok et eksempel på at dette er funksjonalitet vi bør vurdere, men det må vi se nærmere på», skriver Nets i en e-post til Engvig.

- Jeg synes dette var absurd. Jeg hadde allerede opplevd et innbrudd og var opptatt av å kunne beskytte meg. Jeg ble forferdet over at jeg som kunde ikke selv kunne bestemme hvem og hvordan man skal kunne logge seg inn i min bank, sier hun.

Engvig sperret BankID i sin egen bank. For å illustrere at dette er et sikkerhetshull gikk hun i en annen bank, opprettet ny konto og en ny BankID med en ny personlig kode.

Like etter gikk hun hjem, og uten spørsmål om kode eller passord fra sin gamle konto logget hun seg på den gamle kontoen med den nye BankID-en fra den nye banken, og tømte den for penger.

- Jeg kunne også endre personlig kode for den gamle nettbanken min. På denne måten kunne potensielle tyver også ha sperret meg ute fra min egen bank, sier Engvig.

Må vurdere rutinene

Kommunikasjonssjef Hege Steinsland hos BankID Norge erkjenner at det ikke finnes noen reservasjonsmuligheter, men mener dagens tjenester er tilfredsstillende.

— Vi har ingen reservasjonsmulighet mot opprettelse av BankID per i dag. Dermed kan vi ikke hindre at en person med falskt pass, eller en som misbruker ditt pass, oppretter en ny BankID i ditt navn, sier Steinsland.

Hun understreker at det finnes en sentral og døgnåpen sperretjeneste som gjør at du kan kontakte en bank og be om å få se alle BankID-er som registrert på deg, og få disse slettet med umiddelbar virkning. Men det er først etter at en BankID er opprettet.

— Til nå har dette ikke vært et problem. Jeg kjenner ikke til ett tilfelle, og derfor har vi ikke sett noen grunn til å ha en sentral sperre mot opprettelse av nye BankID-er. Prinsippet for BankID er at bankene åpner opp for hverandre og godkjenner hverandres BankID-er. Denne gjensidige anerkjennelsen er basert på tillit til at hver bank sjekker kundens pass før det utstedes en ny BankID, sier hun.

- Avklare løsninger

Finanstilsynet ser alvorlig på saken. I en e-post til Aftenposten skriver tilsynet at de har bedt BankID «avklare hvordan problemstillingen kan løses».

— Vi har akseptert at det er et potensielt problem. Tilsynet har forståelse for problemstillingen og mener at det bør etableres løsninger som gjør det mulig å foreta en slik sperring. Ut fra den informasjonen tilsynet sitter med, er denne problemstillingen hittil ikke registrert som et omfattende problem, men det er viktig å være proaktiv på å lukke potensielle sårbarheter før problemer oppstår, sier seksjonssjef for tilsyn med IT og betalingstjenester i Finanstilsynet, Frank Robert Berg.

-Banker ansvarlig for sikring

Steinsland hos BankID Norge sier at de og norske banker er enige om et regelverk hvor bankene er ansvarlig for å sikre at BankID opprettes til rett person.

- Bankene støtter opp om det gjennom en solid ID-kontroll med pass, og ved mistanke om falske BankID-er kan en kunde raskt få avdekket om de finnes og få dem sperret, sier hun.

Men for kreative tyver er ikke en ID-kontroll hos bankpersonell et hinder:

I svindelsaken med tilnavnet «Plastic Fantastic» tok tyver i bruk stjålne ID-papirer og lagde seg såkalte «ekte-falske» legitimasjonspapirer. Svindlerne brukte stjålne pass, der de beholdt navnet til offeret - men byttet ut passfotoet med et bilde av kjeltringen.

Les også

<span style="font-size:94%">Alle de 15 tiltalte dømt i <br/> Plastic fantastic-saken</span>

Deretter gikk de til en bank og fikk opprettet konti i offerets navn. Slik kunne de deretter bestille et «ekte» bankkort. Kortet er ekte fordi det er produsert av banken, men falskt fordi det er laget på feil grunnlag.

I motsetning til politiet har hverken post— eller banktjenesten i Norge tilgang til registeret over stjålne pass.

De har dermed ingen måte å kontrollere hvorvidt et pass er stjålet, før de utsteder bankkort, konti og BankID.

Engvig opplevde også at tyvene tok i bruk hennes ID-papirer i Bank-i-butikk. Ved hjelp av ID-ene tømte de kontoen hennes - til tross for at hennes bankkort var sperret.

- Hopper ikke rett på løsninger

— Hvis man har falske ID-papirer og kan passere i banken som den personen man utgir seg for å være, så kan dette skje. Men jeg har hittil ikke hørt om noe slikt tilfelle, sier Knut Kvalheim, daglig leder i Bankenes Standardiseringskontor (BSK).

BSK er ansvarlige for sikkerhetskravene i bankenes felles betalingssystemer. Kvalheim sier de har registret problemstillingen ved BankID.

— For den som rammes av dette, er det alvorlig. Temaet er registrert, men per i dag er det ikke fremsatt noe krav om endring fra vår side. Men dette vil sikkert diskuteres videre hvis det kommer flere hendelser.

- Hvor mange hendelser må til?

— Enkelttilfeller er én ting, men det er klart at hvis vi ser at dette er noe som skjer hyppig, må vi gjøre noe med det. Jeg kan ikke si nå hva en eventuell løsning vil være. Vi må vurdere de alternativ vi har.

- Burde man ikke handle etter føre-var-prinsippet når det gjelder sikkerhet?

- Selv om det er grunnholdningen, krever arbeid med sikkerhet alltid en avveining mellom flere forhold. Én akse går på sikkerhet, én på brukervennlighet, og en annen går på kostnader. Ofte går økte krav til sikkerhet ut over brukervennligheten, og det må foretas prioriteringer, sier Kvalheim.

Hvis en tyv ved hjelp av falsk ID oppretter en bankkonto i ditt navn, vil vedkommende kunne bruke bank-ID fra denne kontoen til å logge seg på dine konti. Det er per i dag ingen mulighet for å reservere en bankkonto fra pålogging fra andre banker. Berglund Erik

Vi videreutvikler våre artikler.
Hjelp oss å forbedre, gi din tilbakemelding.
Gi tilbakemelding

Relevante artikler

 1. NORGE

  Nå må Sparebank 1-kunder vise passet for å bruke BankID

 2. ØKONOMI

  Norske banker mistenkt for ulovlig samarbeid

 3. NORGE

  Stjal identiteter fra norske bedriftsledere, prøvde å svindle DNBs nettbankkunder

 4. FAMILIE OG OPPVEKST

  Ble svindlet av ekssamboeren, bankene krever at hun betaler lån han tok opp

 5. FAMILIE OG OPPVEKST

  Fem dommer avslører: De ble svindlet av samboerne sine, men må selv punge ut.

 6. NORGE

  ESA åpner konkurransesak mot norske banker