Mobilt bank-id har blivit en verklig killer app som lett till en explosion av e-tjänster både för myndigheter och företag. Möjligheten att identifiera dig även digitalt gör det möjligt att låta dig komma åt dina uppgifter.
Säkerheten i de lösningar som används är också hög konstaterar Per Furberg, jurist som specialiserat sig just på it-rätt.
– Det är väldigt få som hävdar att det inte är de som gjort olika transaktioner med mobilt bank-id och det är ju fantastiskt bra.
Men det finns annat som hotar att destabilisera hur vi bygger tjänster som är beroende av e-legitimering varnar han och Mikael Westberg som är chefsjurist på Pensionsmyndigheten. Och det behöver inte bara handla om bedragare utan även mer seriösa aktörer.
Båda ser nämligen en utveckling mot tjänster som bygger på att vi låter tjänsterna använda sig av vår e-legitimation för att komma åt olika uppgifter. Det skulle exempelvis kunna handla om att låta en automatiserad tjänst, eller person, identifiera sig med vårt mobila e-id och skanna igenom våra personliga uppgifter för att sedan kunna göra någon typ av analys. Men vårt e-id är inte ett lösenord utan just en identitet – vår egen identitet och inte något vi lånar ut hursomhelst.
– Vi skulle aldrig acceptera att någon använde en annans legitimation för att få ut sekretessbelagda handlingar på papper, säger Per Furberg.
Läs också: Därför kan Stockholm bli världens första smarta stad
Ingen av dem vill peka på någon specifik aktör eller tjänst.
– Jag vill inte brännmärka någon enskild aktör men jag ser absolut ett bekymmer här. Generellt är det olyckligt om kluriga teknikexperter bygger tjänster med funktioner som missbrukar e-legitimationer, säger Mikael Westberg.
Det här är inte bara som vilket bedrägeri som helst där man lurar till sig andras lösenord. Att använda en legitimation och utge sig för att vara någon annan är något betydligt allvarligare.
Juridiskt kallas det för missbruk av urkund. 2013 ändrades lagen så att även e-legitimation räknas som en urkund. Och faktum är att det inte bara är ett brott att utnyttja någon annans e-id utan också att låta någon annan använda det.
Tror ni att många inte riktigt förstår att den elektroniska legitimeringen är en identitetshandling och inte en nyckel som man kan låna ut?
– Ja, så kan det vara. Men för oss på Pensionsmyndigheten är det en förutsättning att det är rätt person som identifierar sig. Nästan allt vi har är sekretessbelagt och om vi inte längre kan lita till att det är rätt person så hotar det våra e-tjänster i grunden. Och det kan rasera hela e-förvaltningen. Det här måste branschen börja oroa sig för på allvar, säger Mikael Westberg.
Pensionsmyndigheten och många tusen pensionssparare har också fått erfara hur det kan gå till i praktiken när någon har mindre seriösa avsikter.
– Vi på Pensionsmyndigheten ansvarar bland annat för premiepensionen där det finns 850 fonder att välja på med ett värde på 1 000 miljarder kronor. Det attraherar väldigt många aktörer – både seriösa och mindre seriösa, säger Mikael Westberg.
Ett uppmärksammat fall är Maltabaserade Falcon Funds som kastades ut från Pensionsmyndigheten förra året.
– Vi noterade först en aggressiv marknadsföring och sedan såg vi att många sparare lagt över hela sin premiepension i den nyöppnade fonden – från samma ip-nummer.
Läs också: Ministern: "Myndigheter för oroliga för upphandlingsregler"
Mikael Westberg beskriver hur man via ett säljbolag i Alicante ringt upp personer vars personnummer man känt till och gett ett sken av att ringa från Pensionsmyndigheten. De personer som ringts upp har sedan ombetts identifiera sig via mobilt bank-id. De som knappat in sig har sett att det handlar om Pensionsmyndigheten och omisstänksamt tryckt sin inloggningskod.
Men i själva verket har den som ringt upp redan påbörjat en inloggning hos Pensionsmyndigheten med personnumret. I och med att de som svarat i telefonen slår in sin kod så loggar de samtidigt in personen i Alicante rakt in bland sina premiepensionsfonder.
Men trots det så lade åklagaren ner ärendet om missbruk av urkund gällande Falcon Funds, även om brottsutredningen mot hur bolaget flyttat pengar fortfarande pågår.
– Jag tror ärligt talat inte att åklagaren riktigt greppade vad det handlar om utan såg det som att användaren lämnat ut sitt lösenord. Men det här handlar om legitimering, säger Per Furberg.
Mikael Westberg är något mer återhållsam men konstaterar att det är olyckligt att det inte gick till rättslig prövning.
– Vi tänkte vända oss till regeringen och begära en lagändring för att det här verkligen skulle täckas. Men såvitt vi bedömde det så täcks det redan av lagen. Vi bad också en av Sveriges största auktoriteter på området, professor Per-Ole Träskman, och han kom till samma slutsats.
Och att juridiken finns på plats så att det finns ett skydd mot missbruk av våra elektroniska identiteter är avgörande. Inte bara för att kunna stoppa bedragare och brottslingar utan också för att just se till att inte seriösa aktörer bygger tjänster på felaktiga sätt.
På Pensionsmyndigheten har man försökt täppa till hålet genom att skapa ett extra signeringssteg innan det går att flytta sina fonder.
– Fast som jag ser det är det här inte bara ett problem för oss. Det är inte bara vi som bygger våra tjänster på det här viset utan även andra myndigheter och då är det avgörande att det går att lita till e-legitimationen, säger Mikael Westberg.
Den som sanningslöst åberopar pass, betyg, identitetshandling eller annan sådan för enskild person utställd urkund såsom gällande för sig eller annan person eller lämnar ut sådan urkund för att missbrukas på det sättet döms, om åtgärden innebär fara i bevishänseende, för missbruk av urkund till böter eller fängelse i högst sex månader.
Är brottet grovt, döms till fängelse i högst två år.
För den som vill veta mer om vad som gäller kom en vägledning för myndigheterna tidigare i år, den kan du läsa här.
