Datainspektionen har i tillsynsbeslut riktat krav på tre banker att förbättra inloggningen till sina bank-appar. Beslutet anses vägledande för banker verksamma i Sverige. Se pressrelease på DI:s hemsida.
I själva besluten finns bl a följande text:
Datainspektionen anser att det kan medföra stora risker för den enskildes personliga integritet om någon obehörig får tillgång till t.ex. uppgifter om konton, transaktioner med namn på mottagaren eller avsändaren och skuldsättning. Uppgifterna skulle kunna användas till att kartlägga, inte bara stora delar av en persons ekonomiska förhållanden, utan även var denne har befunnit sig och dennes inköpsvanor. Uppgifterna om transaktioner kan dessutom innehålla känsliga uppgifter i personuppgiftslagens mening, t.ex. genom att avslöja den enskildes vårdgivare.
Risken för dataintrång är betydligt högre om man använder sig av enbart lösenord för autentisering, än om man utöver lösenord använder sig av ytterligare någon faktor vid autentiseringen. Den ökade risken beror på att det är lättare att komma åt enbart ett lösenord, än att skaffa sig åtkomst till exempelvis både någons bankkort eller smarta telefon och lösenordet. Dessutom är det lättare för en användare att upptäcka att man har blivit av med till exempel sitt bankkort eller sin smarta telefon, än att någon obehörig har lyckats avslöja lösenordet.
Inom bankväsendet används redan idag lösningar som e-legitimation, koddosor och engångslösenord. Det talar för att kostnaden för att införa en starkare autentiseringslösning inte skulle behöva bli orimligt hög.
Vid en samlad bedömning av hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna finner Datainspektionen att den autentiseringslösning som [banken] för närvarande använder i sin app inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen.
Alltså: Enbart lösenord för autentisering räcker inte. Det måste finnas någon mer "faktor", dvs något unikt därutöver som kunden kan anses ha god kontroll över, t ex en dosa (med eller utan kort), en papperslapp med engångskoder eller själva smartphonen (dvs en e-legitimation i smartphonen eller något annat unikt och identifierbart innanför skalet).
Vad har då bankerna för handlingsalternativ?
Ett näraliggande alternativ för många banker i kategorin "minst en pryl till utöver smartphonen" är att använda en autentiseringslösning man redan har, t ex engångskod eller challenge/response-lösning av de typer som används av flera internetbanken. Det känns som den naturligaste lösningen på kort sikt, både för kunderna och för banken. Den har fördelen att kunderna känner till den, och den fungerar. Min ogrundade uppfattning är att denna lösning är relativt enkel och billig att införa. För kunderna medför den en viss nackdel (minst en pryl till ska finnas till hands vid autentiseringen), men den bör gå att motivera med bättre säkerhet. Såvitt jag förstår behövs den befintliga lösningen ändå i de flesta fall om man vill göra överföringar mm. när man väl är inne i appen, så kundupplevelseförsämringen blir knappast dramatisk.
I den användarvänligare kategorin "bara smartphonen, inga fler prylar" finns exempelvis e-legitimationer typ Mobilt BankID, SMS-OTP, virtuella dosor och "låsning" av kunden till smartphonen. E-legitimation är enligt min uppfattning lösningen på lite längre sikt, inte minst för att lösningen är multilateral och öppnar för utökad funktionalitet och större kundnytta jämfört med de proprietära lösningarna. För att befintliga kunder som inte är kund i annan bank ska kunna fortsätta använda "sin" banks app efter det att påloggningen ändrats behöver banken vara både förlitande part och utfärdade.
På kort sikt finns SMS-OTP (som blir väldigt klumpig – skriv in koden du just fick till din smartphone på din smartphone…) och "låsning" av kunden till smartphonen på något intelligent sätt. På medellång sikt finns olika slags virtuella dosor.
Jag är inte själv tillräckligt tekniskt bevandrad för att veta vad det finns för möjligheter att registrera något unikt och tekniskt avläsbart (t ex processor-ID, SIM-id) i samband med att man signar sig för att använda appen, men finns det sådana data som är pålitliga och som kan verifieras vid varje påloggning kan det vara ett enkelt sätt att lösa problemet i bakgrunden och låta kundupplevelsen vara oförändrad. En förutsättning för att en sådan lösning ska kunna accepteras är att kunden intuitivt förstår att förlust av smartphonen måste anmälas snarast möjligt till banken. Eftersom detta förmodligen inte känns jättenaturligt för kunden är det sannolikt så att denna typ av lösningar inte kommer att accepteras av myndigheterna vid en granskning.
Uppdatering: DI har i september 2013 beslutat att acceptera teknisk knytning av bankappar till en specifik smartphone. Det, i kombination med en pinkod, medför enligt Datainspektionen en tillräckligt hög säkerhet för att man ska godkänna denna lösning.
Lösningar typ virtuella dosor har risker. Man bör förvänta sig barnsjukdomar, och det är inte säkert att tekniken uppfyller kraven för framtida tjänster. Det innebär att lösningen riskerar att bli kortlivad, särskilt om banken bestämmer sig för att inte bara förlita sig på proprietära lösningar utan börja gå längs det multilaterala e-legitimationsspåret. Men det är mycket möjligt att vissa banker bedömer att det behövs en överbryggning mellan lösenord och e-legitimation för att kunna möta kraven från DI, media och kunder på ett effektivt sätt. Finns det då inte tekniska möjligheter att binda kunden till en viss smartphone på annat sätt blir virtuella (eller fysiska) dosor ett surt äpple att bita i.
Sammanfattningsvis är min bestämda uppfattning att bankerna har allt att vinna på att satsa på e-legitimationslösningar typ Mobilt BankID för sina appar.
