De viktigste nyhetene om

↳ bank, finans og teknologi

Nyhetsbrev

 Logg inn

SANDKASSE

Slik vil BankID gjøre brukeren mer bevisst i betalingsøyeblikket

BankID skal finne ut om selskapet kan hente inn mer informasjon om et kjøp uten å bryte mot gjeldende personvernregler. Det kan resultere i betydelige endringer i appen som de fleste nordmenn bruker.

BankID BankAxept ønsker at den norske BankID-løsningen (t.v.) skal bli mer lik den svenske.
BankID BankAxept ønsker at den norske BankID-løsningen (t.v.) skal bli mer lik den svenske, som inneholder mer informasjon om hva brukeren faktisk godkjenner.
Jörgen Skjelsbæk
Journalist
Publisert Sist oppdatert

Alle som bruker BankID er godt kjent med spørsmålet «Er det du som bruker BankID hos …» i appen. Etter hvert så godt kjent at man bare trykker ja for å kunne gå tilbake og fullføre innloggingen eller betalingen, uten å tenke over hva som står der.

Her mener BankID at det finnes en mulighet for å komme med et eget bidrag i kampen mot svindel. Idéen skal nå testes ut i den regulatoriske sandkassen til Finanstilsynet og Datatilsynet.

Mer informasjon

Mens de andre prosjektene i sandkassen først og fremst handler om å finne måter å dele data mellom aktørene, går BankID-prosjektet ut på å finne ut om selskapet kan innhente mer informasjon om et kjøp uten å bryte mot gjeldende personvernregler.

– Vi ønsker å gjøre brukerne mer sikre på hva de sier ja til. «Er det du som forsøker å betale 12.530 kr på Klarna» er ett bedre spørsmål enn bare «Er det du som forsøker å betale på Klarna, sier Øyvind Brekke, daglig leder i BankID BankAxept til BankShift.

– Mer informasjon i tekstfeltet vil gjøre brukerne bedre i stand til å vurdere om det er en ekte transaksjon eller en ekte innlogging, legger han til

For å kunne gjøre det er BankID nødt til å hente inn mer informasjon fra brukerstedet der kjøpet finner sted, som for eksempel beløp og hvor i verden butikken er. Disse dataene skal så kombineres med data om brukerens atferd, slik at det blir enklere å avdekke mistenkelige mønstre allerede i betalingsøyeblikket.

– Vi mener at det har en verdi å kunne opplyse brukerne om at de er i ferd med å godkjenne en betaling til en nettbutikk et sted i Afrika eller Asia, der de aldri har handlet tidligere, slik at de får en ekstra mulighet til å avgjøre om alt er i orden, sier Brekke.

– Det siste året har det å innføre mer friksjon i betalingsøyeblikket blitt lansert som en måte å forhindre svindel på. Er dette BankIDs svar på det?

- Ikke friksjon i form av et ekstra steg eller ekstra klikk. Men vi kan bruke dette til å generere alarmer hvis vi ser mistenkelig adferd. At det for eksempel kommer opp et rødt flagg i appen. Det finnes ulike måter å løse det på designmessig, sier Brekke.

Berettiget interesse

– Kan det virkelig være et problem å få tillatelse til det?

– Vår vurdering er at vi har en berettiget interesse til å behandle disse dataene innenfor rammene til GDPR, men vi trenger hjelp til å forstå om det er riktig konklusjon med dagens lovverk, sier Brekke.

Han mener det er et godt eksempel at også en god lovgivning kan få utilsiktede konsekvenser når skurkene gir blaffen i den og de som bygger tjenestene gjør alt for å følge loven.

– I den svenske BankID-løsningen får brukeren mer informasjon i appen. Siden GDPR-reglene er felles for Europa, burde vel sjansen være stor for at dere får en positiv beskjed. Eller finnes det norske særregler også på dette området?

– Vi har stor tro på at vi har gjort riktige vurderinger, men det er fint å få flere øyne på problemstillingene. Spesielt blir det spennende å diskutere konkret hvilke data som er formålstjenlig og legitimt å utveksle med andre brukersteder enn bank. Med tilsynene i ryggen kan vi ha enda større trygghet for at det vi gjør er riktig sett opp mot personvern og taushetsregler.

Nytt anti-svindelsystem

At BankID først nå prøver å finne ut om en slik løsning er i henhold til personvernlovgivningen, har ikke bare å gjøre med at det er opprettet en sandkasse med dette formålet.

Vel så viktig er at selskapet nesten er i mål med implementeringen av et nytt anti-svindelsystem, med betydelig bedre maskinlæringskapasitet og mer analyseevner enn tidligere. Brekke har som mål å kunne skru på den nye løsningen i løpet av første halvår.

Uten det nye systemet ville det ikke vært mulig å hente inn, prosessere og presentere informasjon slik man ønsker å gjøre i BankID-appen. Samtidig er dette bare en positiv sideeffekt av oppgraderingen.

Hovedformålet har vært å forberede den eksisterende informasjonsutvekslingen med norske banker. BankID har nemlig en ganske så sentral rolle i dagens svindelbekjempelse.

Bankenes bekymringer er hvordan de skal kunne få dele mer data seg imellom. Om en mistenkt svindler får nei til å opprette en konto i en bank, får banken ikke dele den informasjonen med andre banker. Slik kan svindleren prøve seg i bank etter bank til hen lykkes å opprette en konto. Det er ikke helt uvanlig at BankID blir misbrukt til å opprette kontoen og deretter til å gjennomføre transaksjoner.

– Vi kan jo se disse brukerne utover banktransaksjonene. For eksempel hvis den samme svindleren prøver å logge inn på Skatteetaten for å finne ut mer om personen som har mistet kontrollen over sin BankID, Derfor oppdager vi noen ganger svindel tidligere enn banken selv klarer, forklarer Brekke.

– Får dere dele den informasjonen? 

– Med bankene har vi lov til å dele data. Når vi ser mistenkelig atferd, sender vi en alarm til banken som har utstedt den aktuelle BankID-en. Det fører ofte til at den blir sperret. Da har vi stoppet kjeden, sier han.

 

– Med det nye systemet blir denne jobben enda mer effektiv, og i tillegg får vi altså muligheten til å gjøre brukeren i stand til å ta bedre valg selv.

 
nyheter bankid svindel finanstilsynet personvern datatilsynet