Er nettbanken din sikker?

Bare én av de tre de største bankene vil være i mål med sikkerhetsarbeid før sommeren. Hvordan ligger din bank an?

Etter at en nettbankkunde i høst tapte hundretusener på en kommafeil, ba Finansdepartementet Kredittilsynet om å foreslå tiltak for å gjøre nettbankene sikrere.

I en statusrapport til Finansdepartementet i dag, rapporterer Kredittilsynet om hvordan bankene har fulgt opp tretten sikringstiltak foreslått av Bankenes Standardiseringskontor (BSK), som skal øke kundenes trygghet i bruk av nettbank.

Ikke helt i mål

Og det kan se ut som om norske bankkunder må være årvåkne med kommafeilene til et stykke ut i 2007. Alle landets tre største banker rapporterer om punkter de fortsatt ikke er i mål med, og som de trenger 2007 for å få gjennomført.

Punktene som skal gjøre nettbankene sikrere i bruk er:

1. Feltet for tasting av kontonummer bygges opp med plass til minimum 13 karakterer og
det kontrolleres at det tastes inn eksakt 11 siffer. I motsatt fall gis feilmelding.

2. Nettbanken skal ha et kontrollbilde der kunden ser kontonummer, beløp, dato og
eventuell KID eller melding til mottaker i en oversiktlig form.

3. Beløp skal i kontrollbildet fremstå med et klart skille mellom kroner og øre og med bruk
av tusenskilletegn.

4. Kunden må aktivt ta stilling til informasjonen i kontrollbildet før vedkommende kan gå
videre og betalingen blir iverksatt.

5. Banken kan legge til rette for at kontrollbildet ved et aktivt valg fra kunden ikke
framkommer for transaksjoner under en beløpsgrense fastsatt av kunden.

6. I de nettbanker der kunden selv kan styre når kontrollbildet er påkrevd, begrenses dette til beløp under en grense satt av banken.

7. I de nettbanker der det er separate felt for kroner og øre kontrolleres at det kun er tastet inn siffer. Feilmelding fremkommer dersom det er tastet inn noe som helst annet enn
siffer i disse feltene.

8. Dersom nettbanker opererer med ett felt med ”kroner, øre” skal kunden fylle inn komma
selv om ørebeløpet er 00.

9. Nettbanken har som standard en beløpsgrense pr. transaksjon og/eller for
transaksjonsbeløp innen en periode.

10. Grunnet ulik bruk av nettbanken hos kundene bør banken vurdere å la den enkelte kunde selv endre denne beløpsgrensen.

11. I de tilfeller det registreres en transaksjon der mottakers kontonummer ikke finnes i
OCR-registeret (KID) og heller ikke er registrert i kundens mottakerregister bes kunden
kontrollere at kontonummeret er riktig.

12. Hvis banken gir kunden muligheter til å velge for eksempel beløpsgrense og grense for
vising av kontrollbilde, gis kunden en periodisk oversikt av disse valgene.

13. Bankene bør legge til rette for at kunden kan gjennomføre periodisk oppdatering av
mottakerregisteret.

Frist i år

Som sagt, har ikke bankene klart å følge opp alle tretten punktene ennå, selv om statusrapporten melder om at tiltakene vil være gjennomført før dette året er omme. Av BSKs rapport framgår det at de nå løpende vil følge opp den resterende gjennomføringen og rapportere om status til Kredittilsynet i slutten av hver måned inntil bankene har alle anbefalingene på plass.

Dette står i brevet om utsettelsene hos landets største banker:

  • DnB NOR Bank har som kjent hatt store utfordringer på IT-siden denne vinteren/våren. Dette har ført til at planlagt produksjonssetting har blitt utsatt til 21.4.2007. Dette vil igjen medføre at overflyttingen av Postbankens kunder er utsatt og vil strekke seg inn mot sommeren og i verste fall over denne. Også en rekke andre banker benytter DnB NOR. Banks nettbankløsning.
  • Fokus Bank hadde pr 31.3.2007 implementert de punktene som er relevante for nettbankløsningen, med unntak av punktene 10 og 12. Disse to punktene har måtte utsettes og vil bli implementert i løpet av sommeren 2007.
  • Nordea Bank Norge har produksjonssatt alle de relevante punktene med unntak av 9 og 10. Grunnet en forsinkelse vil implementeringen av disse to punktene først komme i slutten av uke 16.

Terra uenig

Terra-Gruppen er rett og slett uening i at alle de foreslåtte tiltakene er nødvendige, og vil ikke følge opp punkt 8.

Dette skriver Kredittilsynet til Finansdeopartementet:

Det er rapportert at nettbankløsningen utviklet for bankene i Terra- Gruppen ikke vil følge anbefaling nummer 8, til tross for at denne anbefalingen er relevant for nettbanken. Terra-Gruppen skriver til BSK om den aktuelle anbefalingen at de ”mener å ivareta en god kontroll på beløpsfeltet slik det er i dag”. I kontrollbildet som skal signeres vises beløpet med komma og utfylt ørebeløp. F.eks ”100,00” hvis kunden har tastet inn ”100”. Terra-Gruppen mener også at de har økt fokus på kundens kontroller ved at samtlige betalinger må gjennom BankID signeringsfunksjonalitet før oppdraget blir iverksatt.

Dermed er det opptil kundene i Terra-gruppen å selv vurdere om de er enige i at bankens påstand om at sikkerheten mot kommafeil nå er tilfredsstillende løst.

Hele brevet kan du lese her

Kommer mer

Arbeidet med å bedre nettbanksikkerheten er imidlertid ikke helt slutt med de tretten punktene. I mars fikk Banklovkommisjonen i oppdrag blant annet å vurdere om banken bør ha erstatningsplikt dersom den tilbyr betalingssystemer med manglende sikkerhet, om kundens tapsrisiko bør begrenses, og om en vurdering av bankens rett til å korrigere feil som skyldes egne forhold. Kommisjonen skal levere sin utredning til Justisdepartementet innen 31. desember 2007. Trykk her og les mer