Skip to content

Bankkunder kan nekas ersättning när Bank-ID kapas - ARN pekar på "särskilt klandervärt" agerande

Foto: Jessica Gow/TT

Bankkunder kan nekas ersättning för bankbedrägerier med BankID i fall där kontohavarens eget agerande varit "särskilt klandervärt". Det konstaterar Allmänna reklamationsnämnden efter att ha gått igenom ett antal fall.

 

Det är långt ifrån självklart att bankkunder får ersättning efter att ha blivit utsatta för bedrägerier där deras BankID har kapats.

I värsta fall blir det konsumenten själv som får stå för hela beloppet om en bedragare lyckats ta ut pengar, konstaterar Allmänna reklamationsnämnden (ARN) efter att ha tittat närmare på ett antal fall.

Lämnat ut identitet
I vissa av fallen hade bedragaren förmått kontohavaren att använda sitt Mobila BankID till att identifiera sig mot banken, vilket gjorde att bedragaren kunde logga in på kontohavarens internetbank och olovligen föra över pengar.

Fick stå för 120 000 kronor
I andra fall har bedragaren förmått kontohavaren att lämna ut svarskoder från en bankdosa. I ett av dessa ärenden ansåg nämnden att kontohavarens agerande var särskilt klandervärt och avslog därför hans krav på ersättning med 120 000 kronor.

I övriga ärenden kom nämnden fram till att bankerna ska ersätta kontohavarna för de obehöriga uttagen efter avdrag med 12 000 kronor, som kan liknas vid en slags lagstadgad "självrisk".

Kontaktade på Facebook
ARN har också i tidigare avgöranden ansett att konsumenter har agerat särskilt klandervärt när de, efter att ha blivit kontaktade på Facebook, har lämnat ut koder från sin bankdosa eller har loggat in på sin internetbank med användande av sitt Mobila BankID.

 

  • Anna Wetterqvist

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

14 comments

Detta är ett stort problem då bankid idag i princip är en nödvändighet för alla och systemet i sig är behäftat med stora tekniska problem.

Så länge som bankerna kan lasta över ansvaret på enskilda personer (som inte kan fixa problemen eller styra hur man kan använda bankid.) så finns inget incitament för bankerna att ta fram bättre teknisk lösning.

Även teknikointresserade seniorer som aldrig haft dator än mindre datatelefon påbjuds bank ID av banken. Snart ingenting går att göra utan egen dator idag. Räkningar saltas med en femtiolapp om de kommer som brev. Vissa företag kräver bank ID för att ta bort felaktiga uppgifter. Vill jag ta ut kontanter åt mig själv eller närstående måste jag numera åka fem mil för att hitta ett kontor som både har pengar öppet och parkering utan datatelefon. Av mina egna ärliga pengar får jag som mest ta ut femtusen per vecka! En omyndigförklaring. Resevaluta har de i princip avskaffat. Bedrägerierna kommer att öka lavinartat tro mig. Sverige och kontantlöshet är ett rent helvete för våra svenska seniorer.

Bankbedrägerierna med BankID kommer mig att tänka på det gamla ordspråket-En dåre och hans pengar är snart skilda åt- och i de här fallen fullt berättigat.

Det här är ju helt rätt eftersom om bankerna ersätter detta så kommer pengarna ju att komma från andra kunder. Pengar växer ju inte på trän.

Konstigt argument. Med det resonemanget kan ju bankerna vara hur slarviga som helst med säkerheten (bankernas inloggningssystem har uppenbara säkerhetsluckor) och sedan vägra att ersätta eftersom pengarna kommer från andra kunder.

Om jag har förstått det hela korrekt ligger det till såhär; Även om jag inte lämnar ut någon kod utan bara loggar in med Bank-id kan någon annan komma in och utföra transaktioner på mitt bankkonto. Detta är en stor miss i systemet som det är ytterst förvånande att bankerna inte gör något åt. Det rimliga hade varit att man kopplade mitt inloggningsförsök till min ip-adress. Som det nu är byggt blir den person som först försöker logga in insläppt även om den personen inte identifierar sig när jag sedan med mitt Bank-id legitimerar mig.

Hur kan systemet med Bank-id vara så svagt konstruerat? Denna svaghet måste väl ändå bankerna ta ansvar för fullt ut?

"Det rimliga hade varit att man kopplade mitt inloggningsförsök till min ip-adress."
Du pratar som du har förstånd till (I nattmössan )
Man kan logga in från olika enheter och kan ha olika IP adresser från dem,beroende på operatör,plats i världen etc.

Självklart ska man kunna använda olika enheter och därmed från olika ip-adresser. Men den ip-adress varifrån man identifierar sig med Bank-id ska vara samma som man gör ett inloggningsförsök ifrån. Om inloggningsförsök görs från en annan ip-adress än Bank-id körs från ska inloggningen inte godkännas.

Så tänker jag mig att det borde vara konstruerat för att säkerhetsnivån ska hamna på en rimlig nivå. Som det nu är räcker det med att jag slår in någon annans personnummer och sedan väntar på att denne någon startar sin "Bank-id på kort"-app för att jag ska få tillgång till denne någons bankkonto. Även om det finns time-outer i hanteringen är det inte orimligt att tänka sig att man i slutet av en månad inför betalning av diverse fakturor kan lyckas pricka in ett tillfälle när det går. Och detta tillträde har då skett utan att kontoinnehavaren ens blivt uppmanad att logga in.

Kan ja, men varför skulle man? Typiskt sitter man hemma/på arbetet med dator och telefon anslutna till samma WiFi-nät och har därför samma IP-adress. Konstruera ett vanligt scenario där man har olika IP-adress. Om min telefon kan utföra en BankID-identifiering har den ju uppkoppling och alltså finns ingen anledning att för mig att be någon annan logga in och göra ett ärende åt mig.

Självklart ska man kunna använda olika enheter och därmed från olika ip-adresser. Men den ip-adress varifrån man identifierar sig med Bank-id ska vara samma som man gör ett inloggningsförsök ifrån. Om inloggningsförsök görs från en annan ip-adress än Bank-id körs från ska inloggningen inte godkännas.

Så tänker jag mig att det borde vara konstruerat för att säkerhetsnivån ska hamna på en rimlig nivå. Som det nu är räcker det med att jag slår in någon annans personnummer och sedan väntar på att denne någon startar sin "Bank-id på kort"-app för att jag ska få tillgång till denne någons bankkonto. Även om det finns time-outer i hanteringen är det inte orimligt att tänka sig att man i slutet av en månad inför betalning av diverse fakturor kan lyckas pricka in ett tillfälle när det går. Och detta tillträde har då skett utan att kontoinnehavaren ens blivt uppmanad att logga in.

Gott så.

I utbyte föreslår jag att rättsväsendet ser till att utreda och bestraffa bedrägerierna och att lagstiftarna ger förutsättningar för det. En bra början är att betrakta alla bedrägerier som använder sig av BankID eller riktar sig mot seniorer som grova och för en gångs skull använda sig av den övre delen av straffskalan. Sex år, det svider i skinnet på IT-kidsen.

För att kombinera ansvarsfrihet från bankerna med dagens 'låt gå' attityd från rättsväsendet är inte rimligt.

Skriv ny kommentar

Innehållet i detta fält är privat och kommer inte att visas publikt.