I måndags gick två jurister ut i CS och pekade på att mobilt bankid börjat missbrukas av en del tjänster. Det som är avsett att vara en legitimation knuten till enbart en person används för att inte bara legitimera sig själv utan också samtidigt släppa in olika typer av tjänster. Tjänster som exempelvis vill komma åt uppgifterna för att analysera dem åt användaren. Det skulle juridiskt kunna ses som olagligt, missbruk av urkund.
De två juristerna ville inte nämna några specifika tjänster när de varnade för felaktig användning av e-legitimation, men flera experter har hört av sig till CS och pekat ut två som använder mobilt bank-id på ett liknande sätt.
En av dem är den populära privatekonomiappen Tink som bland annat SEB investerat stora pengar i.
– Tink använder mobilt bank-id på det viset. De ber dig logga in med mobilt bank-id för att kunna använda tjänsten och då ser det för dig ut som om du loggar in på din bank men samtidigt släpper du in tjänsten som en tredje part, säger Jakob Schlyter, it-säkerhetsexpert på Kirei.
– Men jag tror inte alls de har något ont uppsåt – de vill nog bara göra en bra tjänst.
Orsaken till att Tink använder sig av den här metoden tror Jakob Schlyter är att de svenska bankerna inte har öppna api:er som tredjepartsaktörer kan använda sig av. Där kommer det att öppnas upp när EU:s betaltjänstdirektiv börjar införas under nästa år.
Läs också: Spricka mellan storbankerna om framtidens fintech-tjänster
Med öppna api:er blir det betydligt säkrare enligt Jakob Schlyter – då kommer användarna att kvittera vad en aktör får rätt att göra på ett mycket mer transparent sätt.
Förutom de juridiska aspekterna kring hur en e-legitimation får användas så varnar han också för risken med att en tjänst har åtkomst till hundratusentals svenskars banksessioner.
– Frågan är vad som händer om leverantören blir röjd, eller snarare när. Då täcks knappast användarna av någon bankgaranti – de har ju själva lämnat ut sina uppgifter, säger Jakob Schlyter.
Tinks vd Daniel Kjellén känner inte igen sig i beskrivningen.
– Det är viktigt att säga att användarna inte ger ut någon legitimation som tjänsten kan använda utan användarna legitimierar sig varje gång de vill hämta ut sådant som de vill använda i sin Tinktjänst, säger han.
Men det är ert verktyg som användaren öppnar för?
– Ja, men vi har inte fått några synpunkter på att något gått fel eller någon incident trots miljontals hämtningar.
Daniel Kjellén framhåller att användaren aktivt ger sitt medgivande och att hela tjänsten är uppbyggd på att kunderna går med på att ge Tink åtkomst till deras uppgifter.
– Vi missbrukar aldrig den data vi får.
Läs också: Nya tag för svensk e-legitimation – så ska fiaskoprojektet ros iland
Han konstaterar också att det varit väldigt oreglerat på området när Tink startade 2012-2013 och att det nu kommer att regleras med det nya betaltjänstdirektivet.
– Men det står inskrivet i direktivet att alla aktörer som bedriver den här typen av verksamhet får fortsätta som tidigare, säger han.
– Vi ser fram emot att detta nu blir reglerat och vi efterlever naturligtvis alla regulatoriska krav för vår verksamhet och kommer att ha samma inställning till kommande krav.
Även tjänsten Kollektiva som ska hjälpa användarna att pensionsspara på smartast sätt använder mobilt bank-id på ett sätt som liknar det som juristerna beskriver. Men loggar man in på sajten nu har den stängt med hänvisning till att man ”har en dialog med Pensionsmyndigheten för att skapa en långsiktig lösning.”
– Det här är en gråzon det är därför vi för tillfället inte erbjuder vår tjänst. Våra jurister tittar på det och Pensionsmyndighetens jurister tittar på det och vi har ett möte inom kort, säger Nicklas Larsson, vd på Kollektiva.
– Här finns ju olika synsätt kring hur det ska hanteras och mobilt bank-id används i många tjänster i dag. Vår ambition är att hitta en lösning som alla godkänner.
