Personopplysninger

Bank ba kundene gi fra seg personopplysninger - usikret

Det undergraver sikkerheten når banken opererer på samme måte som svindlere, mener Norsis.

SVINDLER-METODE: Når banken ber kunder gi fra seg personopplysninger på samme måte som svindlere, altså via lenker tilsendt på SMS og e-post, skaper dette forvirring blant forbrukerne, som videre kan undergrave sikkerheten, ifølge Norsis. Nettopp dette er tilfellet når Sparebanken Sogn og Fjordane skulle oppdatere gyldig legitimasjon blant sine kunder. Nå har de tatt bort skjemaet fra nettsiden sin. Foto: skjermdump.
SVINDLER-METODE: Når banken ber kunder gi fra seg personopplysninger på samme måte som svindlere, altså via lenker tilsendt på SMS og e-post, skaper dette forvirring blant forbrukerne, som videre kan undergrave sikkerheten, ifølge Norsis. Nettopp dette er tilfellet når Sparebanken Sogn og Fjordane skulle oppdatere gyldig legitimasjon blant sine kunder. Nå har de tatt bort skjemaet fra nettsiden sin. Foto: skjermdump. Vis mer

For noen få timer siden lå det en melding på Sparebanken Sogn og Fjordane (SFF) sin nettside med følgende tekst:

«Oppdatere gyldig legitimasjon: Vi har sendt ut brev, epost eller SMS til mange av kundane våre den siste tida, fordi vi mangler gyldig legitimasjon».

Til sist i meldinga lå det ei lenke som du kunne trykke på, hvorpå du kom inn på ei ny side med mer informasjon. Der sto det at det var enklest for bankens kunder å ta med seg passet sitt og møte opp på et av bankkontorene for registrering av legitimasjon, men «dersom det er upraktisk, eller du bur langt unna, så kan du fylle ut skjema for oppdatering her og sende det med vedlegg til oss».

Lenka til skjemaet kunne alle trykke seg inn på, også undertegnede journalist som ikke er kunde hos SSF, som betyr at personopplysninger og passbilde kunne lastes opp usikret uten innlogging.

RUNDSKRIV: Et slikt brev har flere kunder i Sparebanken Sogn og Fjordane mottatt den siste tiden. Tilsvarende informasjon er også sendt via SMS og e-post, og inntil nylig lå det også info på bankens nettsider. Foto: privat.
RUNDSKRIV: Et slikt brev har flere kunder i Sparebanken Sogn og Fjordane mottatt den siste tiden. Tilsvarende informasjon er også sendt via SMS og e-post, og inntil nylig lå det også info på bankens nettsider. Foto: privat. Vis mer

Dinside har vært i kontakt med en kunde i banken som bekrefter å ha mottatt brev, SMS og e-post med forespørsel om oppdatert legitimasjon fra banken.

Nå er, derimot, all ovennevnte informasjon og alle lenkene borte fra SSFs nettside. Dét er det god grunn til.

- Undergraver sikkerheten

Seniorrådgiver Vidar Sandland ved Norsk Senter for Informasjonssikring (Norsis) mener at SSF ved å be om personopplysninger på denne måten, undergraver hele sikkerhetsnettet Norsis og andre organisasjoner forsøker å bygge rundt forbrukerne.

- Vi sier utad at folk aldri skal gi fra seg personopplysninger via lenker mottatt på e-post eller SMS, samt lenker de finner på nett. Dette er for å unngå at de blir svindlet, sier Sandland til Dinside.no.

- Når banker ber om opplysninger på samme måte som svindlere, forvirrer dette forbrukerne og bidrar til å undergrave sikkerheten, fortsetter Sandland.

ÅPENT FOR ALLE: Slik så skjemaet Sparebanken Sogn og Fjordane ønsket kundene skulle registrere seg i ut. Det lå åpent uten krav om innlogging på bankens nettside. Foto: skjermdump.
ÅPENT FOR ALLE: Slik så skjemaet Sparebanken Sogn og Fjordane ønsket kundene skulle registrere seg i ut. Det lå åpent uten krav om innlogging på bankens nettside. Foto: skjermdump. Vis mer

Derfor er skjemaet fjernet

- Vi har nå fjernet link til registreringsskjemaet for å hindre at uvedkomne får tilgang til det. Banken har også stengt løsningen midlertidig i påvente av tilbakemelding fra Finanstilsynet, samt for å unngå stor trafikk som konsekvens av en eventuell mediesak, sier Silje Marie Sunde, leder for forretningsstøtte i SSF, til Dinside.no.

Nå tar banken imot innspill fra Finanstilsynet, som for øvrig ble gjort oppmerksom på saken fra Dinside, og retter seg etter dem.

SSF understreker likevel at det ikke er mulig å sikre seg ny identitet gjennom denne løsningen, siden opplysningene som ble lagt inn i skjemaet ble kontrollert av autoriserte behandlere, og at opplysningene måtte samsvare med opplysninger banken allerede hadde om kundene.

- Ved avvik vil innsendt legitimasjon avvises, sier Sunde.

- Vi følger loven

Hun viser videre til hvitvaskingsloven og paragrafen om bekreftelse av identitet uten personlig fremmøte, som SSFs løsning var forankret i. Nettsidene til banken er sikret med https, slik at all kommunikasjon mellom kunde og bank skjer kryptert.

- Dataene som fylles ut eller blir lastet opp i skjemaet, blir igjen oversendt kryptert til banken for behandling, og tilgang til dataene er begrenset til autoriserte behandere, forklarer Sunde.

Slik burde de gjøre det

Sandland i Norsis påpeker videre at det er tre måter banker bør hente inn personopplysninger fra kundene på, her oppgitt i prioritert rekkefølge:

  1. Be kundene møte opp fysisk i banken (noe SSF for så vidt har bedt dem om).
  2. Logge inn med BankID i nettbanken, hvor du blir opplyst/påkrevd å oppgi opplysningene på en sikker måte.
  3. Sende opplysningene per post til banken.

- Bankene må ikke sende SMS og e-post eller ringe kundene og be dem klikke på ei lenke. Dette er det samme som svindlere gjør, understreker Sandland.

Sunde i SSF sier at deres løsning ikke krevde pålogging med BankID fordi mange av kundene deres ikke hadde nettbank eller BankID, og disse trengte også en mulighet for å bekrefte identiteten sin.

- Optimalt sett burde en slik løsning ligge bak BankID-pålogging, men vi har tusenvis av kunder uten dette som også har behov for et alternativ for innsending av legitimasjon, sier Sunde.

Dinside gjør oppmerksom på at Sparebanken Sogn og Fjordane (SSF) ikke er alene om å hente inn personopplysninger og legitimasjon på måten som er omtalt i denne saken. Både Norsis og SSF kjenner til lignende tilfeller hos andre banker. Tips oss gjerne hvis du oppdager lignende tilfeller.