– Å bruke BankID er ikke farlig, sier kommunikasjonssjef Hanne Kjærnes.
Tirsdag fortalte NRK om studenten Emma Monsen, som blei svindla for over 40.000 kroner. Banken hennes, Sparebank1 SR-Bank, har flere kunder som har opplevd lignende. I ett av tilfellene fikk svindlerne ut hele 60.000 kroner.
Etter publisering har NRK fått henvendelser fra flere urolige BankID-brukere. Gjennomgangstonen er at BankID fram til nå har blitt oppfatta som helt trygg, men at svindelsakene stiller BankID i et helt annet lys.
Brukte kodebrikke
Monsen opplevde følgende: Via det som så ut som hybel.no fikk hun en SMS om visning på et ledig rom. I SMS-en var ei lenke hvor hun måtte oppgi BankID for å avtale visning. Muligheten til å velge BankID på mobil kom aldri opp, så hun brukte kodebrikka.
Hun oppga ingen annen informasjon enn personnummer og koden fra BankID. Identifiseringsmetoden hadde hun måttet bruke på hybel.no flere ganger før.
Dagen etter oppdaga hun at sparekontoen med nesten 42.000 kroner var tom.
Kjærnes bedyrer at det ikke er noen grunn til å miste tiltro til BankID som identifiseringsmetode.
– Det som er utrolig viktig å vite er at seriøse aktører aldri kommer til å sende ut SMS-er hvor de ber om sensitiv informasjon, sier hun.
Mener svindlerne har hatt flaks
BankID er en del av Vipps, som jobber med både betalings- og identifiseringsløsninger. De har nå sett nærmere på Monsens konkrete sak. Kjærnes har ikke noe nøyaktig tall, men opplyser at Monsen har oppgitt engangskode mer enn én gang.
Likevel: Studenten oppga aldri hvilken bank hun var kunde i. Likevel fant svindlerne det ut. Ved å vite hvor i landet hun var registrert, og kunne de finne riktig bank raskere, tror BankID.
– Svindlerne har sannsynligvis hatt flaks og truffet ganske fort. Slik kunne de logge seg inn i hennes nettbank og tømme sparekontoen, dessverre, sier Kjærnes.
NRK har etterpå kontakta Emma Monsen, som ikke kan huske at hun gjorde mange forsøk. Hun kan likevel ikke utelukke at hun gjorde mer enn ett.
Professor: – Bruk mobilen
Fredrik Manne er professor i informatikk ved Universitetet i Bergen. Han mener bruken av kodebrikke er en svakhet med BankID. På mobil får nemlig brukerne tydeligere informasjon om hvem de identifiserer seg overfor, mener han.
Monsen trodde hun identifiserte seg overfor hybel.no, men har i stedet gjort det overfor svindlerne.
– Men BankID skal fungere i mange sammenhenger. Så at man har ulike måter å identifisere seg på, er helt naturlig, sier han.
Professoren er ikke skeptisk til BankID som system, men er klar på at han anbefaler mobil BankID.
– Da er det vanskeligere for den som skal svindle deg å få deg til å gjøre de operasjonene som skal til, sier han.
Professorens bekymring over kodebrikka kommenterer Hanne Kjærnes i BankID slik:
– Sikkerheten er like god på alle områdene, sier hun, og viser til både kodebrikke, BankID på mobil eller apper som bankene sjøl har utvikla.
Får trolig pengene tilbake
Først fikk Emma Monsen beskjed om at pengene hennes var tapt. Nå har banken snudd – litt.
– Her tyder ingenting på at studentene har opptrådt uaktsomt, og da kan det bli banken som tar den regninga, sier Thor Christian Haugland, konserndirektør for kommunikasjon og bærekraft i Sparebank1 SR-Bank.
Haugland tror det vil være svært vanskelig å oppdage svindel av denne typen.
– Det ville ha vært svært krevende å se at lenka de trykte på, var falsk, sier Haugland.
Mer BankID under korona
BankID har kjent til denne typen svindel i halvannet år. Bruken av BankID har dessuten økt under pandemien. Flere har gjort mer hjemmefra.
Selskapet er likevel ikke bekymra.
– I fjor brukte en gjennomsnittlig nordmann BankID 200 ganger. Så svindeltallene er veldig lave når en ser på hva en kan bruke BankID til i Norge, sier Kjærnes.
Hun oppfordrer BankID-brukere til å kontakte banken sin umiddelbart dersom de tror de kan ha oppgitt BankID til en useriøs aktør.
– Det viktigste vi kan gjøre, er å videreutvikle tjenesten teknologisk, slik at den blir enda tryggere og vanskeligere å svindle. For eksempel med biometri. Det er veldig vanskelig å stjele fingeravtrykket til noen, sier hun.