Nesten 300 000 kunder har allerede mottatt e-signatur fra BankID. Likevel har ikke bankene registrert seg hos Post- og Teletilsynet. Dermed slipper de å måtte dokumentere at e-signaturen er så god som de påstår.
I årene som kommer vil innbyggerne i Norge bli fortrolig med å håndtere e-signatur. Kort forklart vil e-signatur være din personlige underskrift og legitimasjon på nettet. Sparebank1 SR, Sparebank1 Nord-Norge og Terra-bankene er allerede godt i gang med å sende ut BankID i form av nytt Visa-kort med smartkort-brikke. Kundene som har mottatt det nye Visa-kortet må makulere det gamle, og begynne å bruke smartkortet og kortleser for å logge seg på nettbanken.
Men informasjonen som sendes ut er alt annet en klargjørende. Og det er ikke så rart, for det virker ikke som om bankene som står bak klarer å bli enige med seg selv om hva den kan brukes til. BankID har heller ikke registrert seg hos Post- og teletilsynet og dermed unngått deres ulike kontrollmekanismer for e-signaturer.
Kunder som vil vite mer om hva e-signatur egentlig er, blir henvist til ulike internettsider. Men ikke alt som står her gir kundene et riktig bilde.
På BankIDs nettsider står det at e-signaturen er like bindene som en håndskrevet signatur på papir. Så enkelt er det imidlertid ikke. I følge e-signaturloven må en e-signatur være såkalt kvalifisert for at den skal være bindende. For alle andre e-signaturer vil rettsvirkningen være avhengig av den konkrete sammenhengen. Du vil for eksempel kunne bruke den til å betale regninger i nettbanken, men ikke til å undertegne tinglysningsdokumenter.
Per i dag må tilbydere av e-signaturer registrere seg hos Post- og teletilsynet (NPT) for å kunne kalles seg kvalifiserte. Hittil har ingen av bankene som har tatt i bruk BankID registrert seg hos NPT. Etter en registrering vil NPT få anledning til å sjekke om signaturen er sikker nok. Siden BankID ikke har registrert seg, har NPT dermed ikke mulighet til å føre tilsyn med BankID eller kreve dokumentasjon, opplyser seniorrådgiver i NPT Kari Anne Lang-Ree til Forbruker-rapporten.
Norge kan ikke ha en strengere e-signaturlov enn EUs e-signaturdirektiv. Dette er årsaken til NPTs manglende mulighet til å føre tilsyn med BankID. For å få gode e-signaturer på markedet i Norge har myndighetene i stedet foreslått en frivillig godkjenningsordning. Det vil fungere som en slags merkeordning for e-signaturer som tilfredstiller kravene til e-kommunikasjon med det offentlige, den såkalte Kravspesifikasjonen for PKI i offentlig sektor, og den stiller strengere krav enn det loven setter. Men også dette synes eierne av BankID er en dårlig idé.
I en høringsuttalelse i fjor beskrev de forslaget som fordyrende, begrensende og byråkratisk. De fryktet dessuten at lanseringen av BankID kom til å bli veldig forsinket dersom de ble nødt til å registrere BankID som kvalifisert e-signatur. Og de så heller ikke poenget med det heller:
«Det burde etter vår mening være mer enn godt nok at bankene selv har tiltro til BankID som sikkerhetsprodukt, ikke hva lovgivningen i dag benytter som betegnelse på dette sertifikatet», skrev BankIDs eiere, Finansnæringens hovedorganisasjon (FNH) og Sparebankforeningen, i høringsuttalelsen fra juni i fjor.
BankID ledes av en gruppe hvor det ikke finnes noen formell ledelse. Gunnar Harstad er Sparebankforeningens representant i dette arbeidet, og er ansvarlig for BankIDs høringsuttalelser. Han står fortsatt på uttalelsene fra i fjor.
- Bør kundene stole på BankID fordi det er sertifisert, eller fordi bankene har tillit til BankID er sikker og fordi kundene ser at det fungerer i markedet, spør Harstad retorisk.
Han mener at den minst byråkratiske måten å bygge tillit hos kundene har store fordeler.
- Det er alltid mye bryderi med registrering. Du kan jo tenke deg når det er cirka 150 forskjellige banker som skal registrere seg. Det blir jo mye som må koordineres, og den enkelte bank må jo selv betale det meste av hva det koster for NPT å ha tilsynet. Og det er dyrt, forklarer Harstad.
Den frivillige godkjenningsordningen kommer likevel. BankID-samarbeidet innser at dette slaget er tapt, og kommer til å innrette seg etter det myndigheten sier, understreker Harstad.
Men også når det gjelder den frivillige godkjenningsordningen er markedsføringen fra BankID helt motsatt av hva eierne skriver i sine høringsuttalelser. For fortsatt fremstilles BankID som en e-signatur som skal kunne brukes til å levere selvangivelsen og andre offentlige dokumenter. Likevel skrev eierne av BankID i september i år i en høringsuttalelse at de ikke trodde at BankID ville tilfredstille kravene i PKI-standarden for offentlig sektor. Kravene var rett og slett «så vidt omfattende og unyanserte» at de ikke trodde noen ville klare å tilfredstille alle kravene. Det har imidlertid BankIDs konkurrent BuyPass klart.
Til tross for pessimismen til BankIDs eiere, har BankID-sekretariatet hele tiden påstått det motsatte. Og på spørsmål fra Forbruker-rapporten har leder for sekretariatet, Grete Sørensen, gjentatt løftet om at BankID vil tilfredstille kravene i Kravspesifikasjonen for PKI i offentlig sektor.
Harstad forklarer disse motstridene opplysningene med at situasjonen har endret seg etter at høringsuttalelsen ble levert. BankID har siden fått klare signaler på at Moderniseringsdepartementet kommer til å foreslå at reglene endres slik som BankID ønsker.
Det betyr at BankID ikke trenger å tilfredstille alle kravene i kravspesifikasjon, bare de som relaterer seg til BankIDs e-signatur, forventer Harstad. Dermed kan BankID fortsatt love kundene det de opplyser om på nettsidene. - Vi rimelig sikker på at dette kan vi levere, sier Harstad.
Det er kanskje like greit at BankID ikke kan brukes til så mye som man kan få inntrykk av. For dersom kundens kort og kode kommer på avveie kan konsekvensene nemlig bli store i kroner og øre. Også dersom misbruket skylles feil banken har gjort. For i brukeravtalen bankkundene må skrive under på, begrenser banken sitt erstatningsansvar til 100 000 kroner. Resten må du dekke, selv om det er banken som har gjort feil.
I dag er det bare Kredittilsynet som fører tilsyn med BankID. De sjekker ikke om e-signaturen er sikker nok til å kunne kalles kvalifisert eller om den tilfredstiller kravene til e-signering på offentlige dokumenter. På bakgrunn av opplysninger fra BankID kontrollerer de nå om den er sikkert nok til bankvirksomhet.
- Hvis bankene bruker BankID, utenfor sin ordinær bankdrift som e-signaturløsning, anbefaler vi sterkt at de registrerer BankID som kvalifisert sertifikat hos Post & Teletilsynet, sier Frank Robert Berg, spesialrådgiver for IT-tilsyn i Kredittilsynet.
Tips en venn om denne artikkelen
Utskriftsvennlig versjon av siden
© forbrukerportalen.no Har du kommentarer til nettstedet, send e-post til webredaksjonen.
Ansvarlig redaktører for innholdet på forbrukerportalen er Julie Bianca Dahl og Jarle Oppedal.
Nyhetsbrev og syndikerte nyheter (RSS og ATOM)