Oppdatert legitimasjon

Finanstilsynet: - Bankene bør ikke bruke slike løsninger

Det er ikke bra at bankene ber om legitimasjon og personsopplysninger på samme måte som svindlere.

IKKE BRA NOK: Finanstilsynet mener at bankene ikke bør be kundene opp oppdatert legitimasjon via lenker tilsendt på e-post eller SMS og skjema som ikke ligger bak BankID-innlogging. Foto: skjermdump.
IKKE BRA NOK: Finanstilsynet mener at bankene ikke bør be kundene opp oppdatert legitimasjon via lenker tilsendt på e-post eller SMS og skjema som ikke ligger bak BankID-innlogging. Foto: skjermdump. Vis mer

Dinside skrev nylig en sak om Sparebanken Sogn og Fjordane (SSF) som ba kundene sende dem oppdatert legitimasjon via lenker på nettsiden deres, samt e-post, SMS og brev de sendte kundene.

Skjemaet opplysningene skulle legges inn i, lå åpent og ikke bak innlogging med BankID.

I etterkant at publisieringen, har flere bankkunder kontaktet Dinside og gjort oss oppmerksomme på at flere andre banker enn SSF har bedt om personopplysninger på samme måte.

- Undergraver sikkerheten

Norsk Senter for Informasjonssikring (Norsis) mener at når bankene berom personopplysninger på denne måten, undergraver hele sikkerhetsnettet Norsis og andre organisasjoner forsøker å bygge rundt forbrukerne.

- Når banker ber om opplysninger på samme måte som svindlere, forvirrer dette forbrukerne og bidrar til å undergrave sikkerheten, sa seniorrådgiver Vidar Sandland til Dinside tidligere i uka.

RUNDSKRIV: Dette brevet ble sendt til kundene i Sparebanken Sogn og Fjordane når banken skulle oppdatere legitimasjonen og personopplysningene deres. Nå ber Finanstilsynet bankene om å ikke bruke denne metoden. Foto: privat.
RUNDSKRIV: Dette brevet ble sendt til kundene i Sparebanken Sogn og Fjordane når banken skulle oppdatere legitimasjonen og personopplysningene deres. Nå ber Finanstilsynet bankene om å ikke bruke denne metoden. Foto: privat. Vis mer

Finanstilsynet fraråder utbredt praksis

Nå har også Finanstilsynet sett nærmere på bankene som bedriver praksisen avdekket hos SSF.

De er kjent med at enkelte banker som ledd i den løpende kundeoppfølgingen og i tråd med krav i hvitvaskingsloven, ber kunder re-legitimere seg gjennom et registreringsskjema på bankens webside.

- Vi forstår at det kan skape usikkerhet hos kundene når banken ber kundene om å sende identitetsinformasjon på en måte som er mye benyttet av svindlere, og som banken i andre sammenhenger advarer kundene mot, sier direktør for digitalisering og analyse Per Mathis Kongsrud til Dinside.no.

Finanstilsynets vurdering er at slike løsninger for re-legitimering av kundene ikke skal brukes.

Tilsynet har nå fulgt opp bankene de er kjent med at benytter slike løsninger. Disse bankene må dermed finne andre løsninger for dokumentasjon av identitet for denne begrensede kundegruppen.

For kunder uten BankID

SSF valgte å fjerne linken til registreringsskjemaet etter Dinsides henvendelse, «for å hindre at uvedkomne får tilgang til det». Banken har også stengt løsningen midlertidig i påvente av tilbakemelding fra Finanstilsynet, samt for å unngå stor trafikk som konsekvens av en eventuell mediesak.

Silje Marie Sunde, leder for forretningsstøtte i SSF, sa at deres løsning ikke krevde pålogging med BankID fordi mange av kundene deres ikke hadde nettbank eller BankID, og disse trengte også en mulighet for å bekrefte identiteten sin.

- Optimalt sett burde en slik løsning ligge bak BankID-pålogging, men vi har tusenvis av kunder uten dette som også har behov for et alternativ for innsending av legitimasjon, forklarte Sunde overfor Dinside.

Finanstilsynet forstår at løsningen med skjema uten innlogging var rettet mot kunder i banken som ikke har BankID og tilgang til nettbank, og som har vanskelig for å gjennomføre et personlig fremmøte i banken, men ber bankene altså om å ikke bruke slike løsninger i framtiden.