– Lett å bli frastjålet BankID

– Uvedkommende kan få ut store penger dersom de får tak i din BankID, sier Lars Mamen i Fair Play Bygg.
– Uvedkommende kan få ut store penger dersom de får tak i din BankID, sier Lars Mamen i Fair Play Bygg. Foto: Ole Berg-Rusten / NTB
Artikkelen fortsetter under annonsen

Politiet er bekymret for hvor lett det er å overta identiteten til andre med BankID. Men banken kan være ansvarlig for å dekke tapet ditt.

Artikkelen fortsetter under annonsen

Denne artikkelen er tidligere publisert i Finansavisen.

Finansavisen har nylig skrevet om hvordan svindlere kan misbruke andres BankID i kuppede selskaper. Men det er langt fra den eneste måten BankID kan misbrukes. Opptak av lån i andres navn, bestilling av kredittkort, kjøp av bil og registreringer av roller i offentlige registre er andre muligheter.

– Problemet er stort, vi kan gå ut fra at det er tusenvis av BankID i hendene på uvedkommende, sier Lars Mamen. Han er daglig leder i Fair Play Bygg Oslo og omegn, en organisasjon som jobber for å avsløre kriminelle aktører i byggebransjen.

Han påpeker at konsekvensene er store.

– Det er mulig å få ut veldig store penger. Derfor er vi nødt til å gjøre noen tiltak for å få stoppet dette.

Klar over risikoen

Også Rune Skjold, seksjonsleder for finans- og spesiallovgining i Oslo politidistrikt er bekymret.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– Slik BankID er utformet nå er det lett å overta identiteten til andre, sier Rune Skjold.

– Vi er bekymret for at BankID kan brukes som identifikasjon når man ikke vet hvem som står bak den enheten som brukes på nettet.

Han forteller at de er i dialog med bankene, utviklerne bak BankID og offentlige etater.

– Vi prøver nå å si at samfunnet må være klar over risikoen man tar ved å bruke BankID som identifikasjon når alt gjennomføres på nett.

– Vi er bekymret for at BankID kan brukes som identifikasjon når man ikke vet hvem som står bak den enheten som brukes på nettet, sier Rune Skjold,seksjonsleder ved avdeling for finans- og spesiallovgivning i Oslo politidistrikt. Foto: Oliver Orskaug / Finansavisen
– Vi er bekymret for at BankID kan brukes som identifikasjon når man ikke vet hvem som står bak den enheten som brukes på nettet, sier Rune Skjold,seksjonsleder ved avdeling for finans- og spesiallovgivning i Oslo politidistrikt. Foto: Oliver Orskaug / Finansavisen

Opp 51 prosent

At risikoen er stor kommer også frem av tall fra Finanstilsynet. I Finanstilsynets Risiko- og sårbarhetsanalyse 2024 om norske finansforetaks bruk av IT- og kommunikasjonsteknologi, går det frem at flere av foretakene ser på risikoen for ID-tyveri som høy og stigende. «Spesielt vises det til risikoen for at en svindler overtar en kundes BankID», heter det i rapporten.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Finansforetakenes samlede tap knyttet til svindel økte med 51 prosent fra 2022 til 2023, til 928 millioner kroner.

Samtidig stoppet bankene en betydelig andel av svindelforsøkene melder Finanstilysent, samlet ble det forhindret tap tilsvarende 2.072 millioner kroner i 2023.

– Banken er ansvarlig

Men hvilke rettigheter har du egentlig, hvis BankIDen din kommer i uvedkommendes hender?

– Blir du utsatt for svindel, ved at noen tar eller overfører penger fra din konto uten at du har gitt samtykke til det, er lovens utgangspunkt klart: Det er banken som er ansvarlig for å dekke tapet, sier forbrukerdirektør Inger Lise Blyverket.

– Vi har sett alt for mange tilfeller hvor svindelofre blir holdt ansvarlig for at andre misbruker deres elektroniske signatur og helt uskyldige forbrukere blir ruinert fordi det ikke har vært gjort nok for å forhindre moderne svindel, sier hun.

Artikkelen fortsetter under annonsen

– Forbrukerrådet er opptatt at bankene, som den profesjonelle part, har ansvaret for at de systemene vi bruker er sikre mot svindel.

Sjekkliste ved ID-svindel

Varsle bankene om at du har blitt svindlet

Endre alle passord og sperr BankID og kredittkort

Anmeld forholdet til politiet

Sjekk om du er forsikret mot ID-svindel

Registrer kredittsperre

Sjekk gjeldsregisteret

Be bankene om informasjon

Følg nøye med på at posten kommer som normalt

Kilde: ID-juristen

Grovt uaktsom

– Høyesterett har avgjort at ofre som har blitt lurt av profesjonelle svindlere til å oppgi BankID-kode og passord på telefon, skal få tilbake det meste av pengene de har blitt frasvindlet, sier Blyverket.

Dommen hun viser til er fra 2022. Her ble en eldre dame over telefon lurt til å oppgi BankID-koder og passord, og svindlerne klarte å tappe kontoen hennes for litt over 150.000 kroner. Banken hevdet at hun hadde handlet med forsett, noe som ville medført at hun selv måtte dekke hele tapet. Høyesterett konkluderte med at hun hadde vært grovt uaktsom. Dermed måtte den eldre damen selv dekke 12.00 kroner av tapet, mens banken måtte dekke resten.

Artikkelen fortsetter under annonsen

Med viten og vilje

Den nye finansavtaleloven, som trådte i kraft fra 1. januar 2023, plasserer ikke alt ansvar for svindel på bankene, men den setter rimelige og fornuftige tak på beløpene forbruker eventuelt skal stå ansvarlig for, mener Blyverket.

Artikkelen fortsetter under annonsen

– I de tilfellene hvor forbruker kunne ha bidratt til å unngå svindel settes et tak på 450 kroner, har du vært grovt uaktsom må du ut med 12 000 kroner. Forbrukere som med viten og vilje har bidratt til misbruk vil naturlig nok fortsatt kunne holdes ansvarlig for å tilbakebetale hele beløpet.

Det samme gjelder også i mange tilfeller hvor uvedkommende har fått tilgang til andres BankID, og misbrukt denne. Dersom du har blitt lurt via en link, phising, kan banken også være ansvarlig.

– Dersom du er utsatt for svindel, og banken ikke vil dekke tapet – da kan du klage og få en uavhengig vurdering av saken av Finansklagenemnda bank, sier hun.

- Det er banken som er ansvarlig for å dekke tapet, sier forbrukerdirektør Inger Lise Blyverket. Foto: Forbrukerrådet
- Det er banken som er ansvarlig for å dekke tapet, sier forbrukerdirektør Inger Lise Blyverket. Foto: Forbrukerrådet

To ganger

En slik sak som nylig ble behandlet i Finansklagenemnda omhandlet en person som ble kontaktet av en mann som utga seg for å være et kryptoselskap som angivelig skulle utbetale kr 400 000 for en investering kontohaver hadde gjort for mange år siden. Kontohaver ble forledet til å oppgi kort- og BankID-opplysninger til vedkommende som ringte. Etter at det ble gjort nettbankoverføringer, tok kontohaver kontakt med bankne og fikk ny BankID. Men noen dager senere bestred kontohaver nye transaksjoner fra kontoen - kontohaveren hadde igjen oppgitt BankID-opplysninger til kryptoselskapet. I denne saken fikk banken medhold, og kunden måtte selv dekke tapet.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Fjernstyringsverktøy

En annen sak fikk motsatt konklusjon: Her måtte banken ta tapet, bortsett fra 12.000 kroner.

I dette tilfellet ble forbrukeren kontaktet av noen som ville hjelpe ham med å få tilbake penger etter en tidligere investering i Bitcoin. Forbrukeren lastet ned AnyDesk på PC og mobil.

AnyDesk er et fjernstyringsverktøy som gjør det mulig for andre å midlertidig logge seg på PCen du jobber på.

Forbrukeren logget seg inn nettbanken flere ganger, angivelig fordi fortjenesten kun kunne tilbakeføres hvis han hadde dekning på kontoen. Klager fikk feilmeldinger, som gjorde at han benyttet BankID og oppga person -og kortopplysninger flere ganger. Så ble kontoen tappet for over 700.000 kroner. Forbrukeren mente at han var blitt svindlet, og det mente også nemnda, men han måtte betale en egenandel på 12.000 kroner.