Skip to content

"Innan vi petar i brottsbalken borde vi ta en förnyad titt på konsumenträtten"

DEBATT - av Amelia Andersdotter, ordförande Dataskydd.net

 

Regeringen har annonserat att de ämnar införa den nya brottsrubriceringen "olovlig identitetsanvändning". Nykriminaliseringen hämtar stöd i utredningen Straffrättsligt skydd för egendom (SOU 2013:85). Där finns ett kapitel om olovlig identitetsanvändning och de olika lagstiftningar som kan användas för att hantera detta.

Bedrägeri, förfalskning och dataintrång täcker de flesta för individer missgynnsamma situationer utredningen kan identifiera. Endast i ett typfall kan privatpersoner ännu inte få hjälp om en annan person använder sig av deras identitet - när någon tar ut SMS-lån i en annan persons namn. 

Det vill säga - om jag använder min partners telefon för att begära ett lån från hans bank till mitt konto, är det min partner som blir återbetalningsskyldig om han inte kan bevisa att han inte har efterfrågat ett lån.

Enligt utredningen är försäkringar ett otillfredsställande skydd mot denna sorts kränkning av individen. Därför menar utredningen att det finns ett behov av en ny brottsrubricering.

En naturligare frågeställning hade varit varför det inte är bankens problem att den lånar ut pengar till fel person.

För privatpersoner är det missgynnsamt att ansvaret för privatpersonernas trygghet och säkerhet i elektroniska miljöer flyttas från de aktörer som tillhandahåller infrastruktur, till exempel för SMS-lån, till privatpersonerna själva. Det är känt sedan åtminstone 23 år att svagt konsumentskydd får företag, särskilt i finansindustrin, att investera mindre effektivt i utvecklingen av bättre säkerhet (Why Cryptosystems Fail, R. Anderson, 1993).

I höstas publicerades därutöver en utredning om bluffakturor, där bristande information till allmänheten om hur man bestrider fakturor ses som huvudorsaken till felaktiga utbetalningar. Den rekommenderar informationsåtgärder, så att privatpersoner och företag effektivt kan utöva sin rätt att inte hållas ansvariga för avtal de inte har ingått. Det verkar ha gått statsråden förbi.

Det är synd, för vidtar man fel åtgärder riskerar det ökade skyddet för enskilda att utebli samtidigt som man höjer ineffektiviteten i statens viktiga brottsbekämpande verksamhet.

Sedan några år är det politiskt trendigt att prata om ett gemensamt ansvar för IT-säkerhet i samhället. I själva verket ligger det mesta av ansvaret och den mesta av risken fortsatt på privatpersoner.

Säkerhetsproblem med allvarliga konsekvenser för privatpersoner åtgärdas ofta inte förrän de givits uppmärksamhet i media. När vi omges med osäkra informationsteknologier blir det snabbt ett problem, för media måste också kunna fria utrymme att rapportera om andra saker än dålig IT-säkerhet.

Ibland, som med förslaget om olovlig identitetskapning, hjälper inte ens mediauppmärksamhet för att förbättra säkerhet. Polisen borde ägna sig åt bättre saker än att kompensera för att bankerna inte orkar ta reda på vem de lånar pengar till, och innan vi petar i brottsbalken borde vi ta en förnyad titt på konsumenträtten.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

6 comments

Är det inte helt enkelt så att banker och kreditinstitut lobbat för att förenkla processen? Rimligtvis borde man kräva en skriftlig ansökan med underskrift.

I princip är det så enkelt.

Det handlar också om att banker, kreditinstitut och myndigheter(!) framgångsrikt framställt IT-system som alldeles för komplicerade för dem att ta ansvar för.

Eftersom vi också ser IT-system som definierande för statens verksamhet och administrativa processer (jfr SOU 2015:39, men egentligen alla utredningar om IT-säkerhet, dataskydd elller IT-system) istället för som produkter på en marknad.

IT-systemen verkar förutsättas vara helt neutrala verktyg som på grund av sin neutralitet inte kan ha t ex dålig design, dålig arkitektur, dåligt genomförande eller undermåligt underhåll - det kan bara vara fel på de som nyttjar ett IT-system (t ex en tjänsteman, privatperson, konsument). Jag tror att det här är ett ideologiskt problem: Justitiedepartementet och stora delar av juristkåren verkar förutsätta att IT-system är per definition felfria, vilket naturligtvis inte stämmer alls.

Om man redan har läst den i artikeln länkade vetenskapliga essän av Ross Anderson, kan man med fördel läsa (iaf sammanfattningen av) Axel Arnbaks avhandling om IT-säkerhetsjuridik i EU från förra året. Den finns här: http://dare.uva.nl/record/1/492674

skit bra, vi behöver unga människor som dig som ser igenom missvisande argumentation som bygger på folks okunskap om IT. Det är svårt att göra rätt eller se misstag när folk när folk har stora grundläggande missuppfattningar rörande IT frågor

Ett annat problem för de stackars människor som utsätts för idkapningar är när det beställs saker via internet med hjälp av deras personnummer.

Internetbutikerna tar i princip urskiljningslöst ett personnummer som garant för identifikation. Sedan skickar de varorna mot betalning mot faktura, exempelvis via Klarna. Någon annan hämtar varorna. Internetbutikerna blir lurade - utsatta för bedrägeri. Ändå kräver de att den personen som blivit idkapad skall göra anmälningarna hos polisen för att de skall slippa betala fakturan.

Internetbutikerna skulle kunna utöka sina idkontroller. Det betyder å andra sidan att fler kunder inte skulle trycka på köpknappen på grund av att det blir krångligare varvid butikerna skulle förlora intäkter. De kalkylerar med att göra vissa förluster på grund av dålig idkontroll men att de i slutändan ändå tjänar mer pengar.

Mitt mellan busarna och butikerna står de förtvivlade personerna var personnummer utnyttjas.

En sak staten skulle kunna göra för att hjälpa dessa privatpersoner är att sluta sälja personnummer från Skatteverket till hemsidor som ratsit.se och birthday.se.

Man skulle också kunna sluta använda personnummer och istället ha (till exempel) olika nummer för olika syften (så som man har i Tyskland, Storbritannien, Belgien, osv). Som man då låter bli att sälja.

Faktum är att nästan alla åtgärder för att hjälpa privatpersoner som drabbas av ID-kapningar och bluffakturor som är uppenbara och intuitivt skulle kunna hjälpa inte har föreslagits. Notera att det heller inte förekommer, varken i riksdagens dokument eller i regeringens förarbeten, någon sorts bedömning om huruvida nyttan för e-handelssektorn överväger individens intresse av säkerhet och trygghet för dennes identitet.

Jag skulle känna mig personligen lite mindre illa berörd om någon i maktställning i alla fall indikerat att de var medvetna om vilka avvägningar de gör, och vilka intressen de gynnar (och vilka de inte gynnar!). För som det är nu kommer vi sannolikt bara få ännu mer otillfredsställande handläggandestatistik från BRÅ, och det hjälper ingen alls.

Glömmer aldrig diskussionen med den micros*ftfrälste säkerhetsansvarige på swedbank.. En krasch i en bankomat hade uppdagat ett skrivbord från windows! På fråga om hur man kunde använda ett system som windows som hade etablerat dålig säkerhet, i bankomater, blev jag inte klokare och inte heller hjälpte attityden "du är kritisk mot micros*ft"? Detta var före Code Red.... Vars första version enkom hopskriven för att offentligt och världsomspännande basha den stora självgoda draken i Redmond. Alla kanske inte vet, men Code Red är signalen att ge någon i det militära en tillrättavisande omgång..

När sedan diskussionen flöt eller svämmade över till dosan kom ännu en lektion om (o)säkerheten. Grejen var ju den att var summan i en faktura densamma blev svaret från dosan alltid detsamma. Den var samma vid inloggningarna också. Det var bara swedbank som varierade det föreslagna sifferkombinationen vid inloggning och invaggade kunden i faslsk säkerhet. Den micrososftfrälste sa att "ger dosan rätt testsvar fungerar den!..." Hur nu det kunde vara en säkerhet att på en given sifferkombination gav dosan alltid samma svar...För bankkunden var det en katastrof. Detta i en tid när MIM = man in the middle var en verklighet.. Det var då det och sedan har dosan vuxit i komplexitet och är väl säkrare nu och använder åtminstone datum för att förändra sin algoritm. Amöbastadiets algorytm upprepade bara vad de kriminella önskade sig.. I det var dosan otroligt säker.....

Konsumentlagen har handelns mer eller mindre nogräknade aktören som i en liten ask eller dosa... Den ger samma svar varenda gång..

Konsumenträtten är väl det man länge har choppat huvudet av för att sprida lån utan säkerhet och skapa bubblor som kan explodera när som helst aktörerna vill i någon regims ansikte eller knä...