SVARER FINANS NORGE:
«Tydeligvis har jeg truffet et ømt punkt»
At digitalisering og bruk av BankID har ført til utvikling og økning av ulike typer av kriminalitet er ikke noe jeg personlig «mener», men er godt dokumenterte fakta.
Professor ved Institutt for privatrett ved Universitetet i Oslo.
Gry Nergård i Finans Norge, svarer i et blogginnlegg på organisasjonens nettside på min kronikk i DN om digitalisering og misbruk av BanKID. Innlegget er omtalt i en sak hos Bankshift under overskriften «Finans Norge slår tilbake mot professor».
Nergård innleder med å skrive at det blir «for enkelt og begrenset å gi BankID skylden for utviklingen av svindel. Som ellers ved kriminell virksomhet, er det den kriminelle som er hovedproblemet.» Til dette har jeg to kommentarer:
For det første: At digitalisering og bruk av BankID har ført til utvikling og økning av ulike typer av kriminalitet er ikke noe jeg personlig «mener», men er godt dokumenterte fakta. I Finanstilsynets nyeste risiko- og sårbarhetsanalyse står det at «flere foretak viser til at risikoen for ID-tyveri også i 2023 var en av foretakets høyeste risikoer» og at «spesielt vises det til risikoen for at en svindler overtar en kundes BankID». Rune Skjold, seksjonsleder for finans- og spesiallovgivning i Oslo politidistrikt uttalte til Finansavisen for kort tid siden at «Slik BankID er utformet nå er det lett å overta identiteten til andre» og at politiet nå «prøver å si at samfunnet må være klar over risikoen man tar ved å bruke BankID som identifikasjon når alt gjennomføres på nett».
Hvis det å påpeke at digitalisering og bruk av BankID er en sentral årsaksfaktor i utviklingen av ulike typer kriminalitet, er å «sloss mot digitalisering og BankID», er jeg i tilfelle i godt selskap med både Finanstilsynet, politiet og for så vidt også bankene selv og BankID – som i sitt svar på min kronikk bl.a. sier seg enige i at «digitaliseringen har også bidratt til å skape nye former for kriminalitet som er økende».
For det andre: Å vise til at det er «den kriminelle som er hovedproblemet» er åpenbart «for enkelt og begrenset» - for å bruke Nergårds egne ord. Hvis vi har et system med så store sårbarheter at det åpner for et eksponentielt voksende bedrageriproblem, må vi selvsagt gjøre noe med det systemet. Det finnes ingen «quick fix», men å ta innover seg alvorligheten er første steg. Det er hovedbudskapet i mitt innlegg; et budskap det er vanskelig å forstå at Finans Norge skulle si seg uenig i.
Det er ikke mulig innenfor rammene av en kronikk å presentere alle mulige løsningsforslag. Nergård peker selv på viktige tiltak. Jeg valgte i min kronikk å fremheve behovet for å snu tankegangen fra forenkling til forvanskning når det gjelder store og viktige disposisjoner. Vi må rett og slett ha mer friksjon i systemene. Dette kan gjøres på mange måter og på mange områder. Krav til vitnesignering på enkelte dokumenter, som for eksempel gjeldsbrev, er et eksempel. Krav om dobbeltsignering med en venteperiode mellom signeringene er en annen.
For ordens skyld: Jeg har ikke argumentert med å skru tiden tilbake til førdigitaliseringens tid.
Nergård indikerer med sitt innlegg at «juridisk fakultet» ikke bidrar konstruktivt i kampen mot svindel fordi det ikke er gjennomført analyser av forholdet mellom personvernlovgivningen og taushetspliktbestemmelser i spesiallovgivning. Hun avslutter med at «Den eneste måten å stoppe svindlerne på, er som allerede nevnt at samfunnet står sammen mot svindel. Jeg håper juridisk fakultet står sammen med oss om det.» Ettersom utspillet har kommet i kjølvannet av mitt innlegg, og jeg som forsker uttaler meg på egne – ikke fakultetets vegne – antar jeg at dette stikket først og fremst er rettet mot meg og ikke min arbeidsgiver.
I det tverrfaglige forskningsprosjektet Samfunnssikkerhet og digitale identiteter (SODI), som jeg leder og der Finans Norge er med som en av mange partnere, forsker vi på rollen eID-systemer spiller i moderne samfunn. Prosjektets overordnede mål er å bidra til utvikling av teknologi og rettsregler som sikrer at digitalisering kan skje på måter som ivaretar bl.a. menneskerettigheter og samfunnssikkerheten. Dessverre er vi ganske langt unna dette målet p.t.
SODI-prosjektet har i snart tre år drevet en rettshjelpklinikk som heter ID-juristen, som har bistått med gratis rettshjelp til personer som ikke får tilgang til BankID eller annen eID på øverste sikkerhetsnivå, eller som utsatt for BankID-svindel. ID-juristen har hjulpet hundrevis av mennesker i fortvilte situasjoner, og har blant annet avdekket systematiske brudd på regler i finansavtaleloven. Data fra prosjektet har bidratt til mer kunnskap om hvem som rammes av svindel, hvordan det skjer, og ulike rettssikkerhetsutfordringer ofrene står i. Jeg og SODI-prosjektet har også bidratt til å belyse og rette opp i feil rettsanvendelse i svindelsaker. Det er foreløpig produsert flere vitenskapelige artikler, masteroppgaver og rapporter om en rekke ulike temaer, og mye forskning er underveis. Prosjektet arrangerer i tillegg seminarer og andre møteplasser for offentlige og private aktører samt akademia. Vi er takknemlig for at Finans Norge er med i prosjektet og har bidratt til å løfte mange viktige spørsmål.
Nergårds innlegg tyder imidlertid på at Finans Norge hadde ønsket seg en annen prioritering av forskningsspørsmål. Det er for så vidt forståelig at finansnæringen ønsker mindre fokus på kritikkverdig praksis i egne rekker og systemer, og mer fokus på forhold andre er ansvarlig for. Konkret ønsker Nergård seg en undersøkelse av forholdet mellom personvernlovgivningen og taushetsbestemmelser i spesiallovgivningen. Jeg er enig i at en slik undersøkelse vil være nyttig, men uenig i at det er den eneste måten å bidra «konstruktivt» i kampen mot svindel. Blant alle viktige forskningsspørsmål i dette problemkomplekset, er det mange som ikke har sterke aktører på barrikadene for å sikre at de blir løftet, undersøkt og belyst.
Dersom Finans Norge ønsker å bidra med ressurser til forskning på dette eller andre konkrete forskningsspørsmål, er det svært gledelig. I så fall er det bare å ta kontakt. Nergård har både e-postadressen og telefonnummeret mitt.
Jeg heier på de tiltakene finansnæringen har iverksatt, og har planer om å iverksette. Og forbeholder meg samtidig retten til forskningsfrihet, til å påpeke fakta og til å kritisere både offentlige myndigheter, finansnæringen og andre. Så er Finans Norge naturligvis velkomne til å være uenig, selv om jeg i denne sammenhengen ikke er i stand til å forstå konkret hva Nergård egentlig er uenig i. Tydeligvis har jeg truffet et ømt punkt. Det lever jeg godt med.
