Vipps klager inn svenske BankID til konkurransemyndighetene

I fjor høst lanserte Vipps sin overførings- og betalingstjenste i Sverige, og tok dermed opp konkurransen med svenskenes egne Swish. Etter et drøyt halvår i markedet, er selskapet som er eid av norske banker nå på full kollisjonskurs med den svenske identifiseringsløsningen BankID, som ikke skal forveksles med den norske tjenesten med samme navn.

– Hvis vi må gjøre vår tjeneste mer kronglete i Sverige, kan vi bli nødt til å legge ned vår satsing, sier Vipps Mobilepay-sjef Rune Garborg til Dagens Industri.

Med 8,6 millioner svenske brukere er svenske BankID akkurat like dominerende som den norske versjon, og dermed helt avgjørende å ha tilgang til for å kunne konkurrere i Sverige.

Stiller umulige krav

Han mener at selskapet Finansiell Id-Teknik Bid AB, som står bak den svenske BankID-løsningen, stiller krav som gjør det umulig for Vipps å operere i Sverige på samme måte som selskapet gjør i Norge, Danmark og Finland. Krangelen har pågått siden oktober i fjor og blir nå skrudd opp ytterligere et nivå.

– Ettersom vi ikke lyktes å få til en skikkelig dialog ble det nødvendig for oss å be de svenske konkurrensemyndighetene om hjelp, sier Garborg.

Klagen som er innlevert gjelder ikke bare selskapet bak svenske BankID, men også Nordea som utsteder bankid-løsningen og Signicat som er distributør av løsningen, og den som Vipps Mobilepay formelt sett har inngått avtale med.

I dag opererer Vipps med innlogging gjennom BankID første gang, og deretter med såkalt sterk kundeautentisering (SKA), som selskapet selv har utviklet. SKA innebærer at to av følgende tre krav oppfylles; godkjenning via noe som er innstallert på telefonen, via noe du vet - eksempelvis en PIN-kode, og noe du er - for eksempel ansiktsgjenkjenning eller fingeravtrykk.

Krever dobbel bruk av BankID 

Det er ikke godt nok, ifølge den svenske ID-tjenesten, som krever at BankID benyttes ved hver innlogging i appen og ved hver transaksjon. Det svenske selskapet mener også at såkalt ID-veksling mellom BankID og Vipps' egen løsning for sterk kundeautentisering, ikke er tillatt.

Det er et krav Vipps Mobilepay ikke vil gå med på. Endringene BankID  ønsker seg vil, ifølge Vipps, medføre en betydelig endret tjenestestruktur i appen – og sannsynligvis uforenlig med den løsningen som selskapet bruker på sine tre hjemmemarkeder i dag. 

Ifølge Rune Garborg ville kravet til svenskene også innebære at Vipps' uttalte mål om å være minst like gode som Apple Pay, bli umulig å leve opp til.

Økonomiske insentiver

I den 22 sider lange klagen hevder Vipps blant annet at kravene er økonomisk motivert, ikke sikkerhetsmessig. Blant de viktigste punktene i klagen er:

• Prisene som ble fremforhandlet med BankID/Signicat/Nordea tok utgangspunkt i den relativt begrensede identifiseringshyppigheten Vipps belager seg på. Vipps skriver i klagen at dette innebærer, «foruten en utimelig høy kostnad», i praksis at Vipps ikke kan etablere sin egen løsning for sikker kundeautentisering for betalinger i forbindelse med at kundeforholdet etableres. I neste steg betyr det at Vipps tvinges til å benytte BankID ved hver transaksjon, som vil gå ut over brukervennligheten og prisene.

• Eierne av Swish er i stor grad de samme som eier BankID, noe som medfører et økonomisk insentiv for å favorisere konkurrenten vil Vipps.

Videre mener Vipps at gjentatte forsøk på dialog med BankID, Signicat og Nordea har vært fånyttes.

– Vi håper fortsatt på å finne en løsning og håper å kunne oppnå en god dialog som gjør at svensker også kan bruke samme betalingsløsning som over 12 millioner andre brukere i Norden, sier administrerende direktør Rune Garborg i Vipps, i en pressemelding.

BankID bestrider påstandene

Ifølge Finansiell id-teknik, som alltså ikke er Vipps Mobilepays direkte avtalepart, men som står bak BankID-tjenesten, har selskapene hatt en dialog, men at de ikke er beredt til å gjøre endringer for én enkelt aktør.

– Vi bestrider klagen, da forbudet mot ID-veksling er innført for å forhindre gratissurfing på den betydelige investeringen som kontinuerlig gjøres i BankID-systemet for å opprettholde sikkerheten og tilgjengeligheten, skriver selskapets presseansvarlige, Charlotte Pataky, i en epost til BankShift.

– Modellen forutsetter at alle selskaper og myndigheter som benytter BankID-tjenesten finansierer systemet. Ved å bruke ID-veksling ønsker Vipps å slippe å betale og i stedet utnytte andres investeringer, skriver hun videre.

E-legitimasjonen BankID er en sikker og prisgunstig tjeneste med høy tilgjengelighet, noe som er avgjørende for selskaper og virksomheter som på en pålitelig måte ønsker å kunne identifisere sine brukere/kunder. 

– Deler dere Vipps’ oppfatning om at det var uvilje til å ha en dialog om saken?

– Vipps har en avtale med Signicat, som igjen har en avtale med Nordea. Vi har ikke avslått dialog, og vi ønsker Vipps velkommen på det svenske markedet, men på samme vilkår som alle andre e-tjenester som bruker BankID – de må betale for den sikre infrastrukturen i Sverige. Vi har satt denne modellen for at alle e-tjenester skal være med på å finansiere kostnadene for infrastrukturen på en rettferdig måte.

– Er kravene som stilles økonomisk motiverte?

– Forbudet mot ID-veksling er innført for å forhindre gratissurfing på den betydelige investeringen som kontinuerlig gjøres i BankID-systemet. Det å bygge og opprettholde en sikker og tilgjengelig infrastruktur for digitale identiteter er kostbart. Modellen i Sverige er at selskaper og myndigheter som benytter tjenesten, finansierer systemet, mens tjenesten er kostnadsfri for brukerne.

– Hva tilsier at Vipps’ eksisterende løsning ikke er sikker nok?

– Vi kan ikke uttale oss om sikkerheten til andre aktører.