Politiet advarer mot BankID-panikk blant eldre. Trodde de kunne miste sparepenger

Da DNB ba kundene sine reidentifisere seg i 2022, opplevde politiet panikk blant eldre. Nå er de bekymret for det samme, når BankID krever at 700.000 brukere over 60 år skal identifisere seg på nytt.

I flere politidistrikt er det lang ventetid på time til pass. Stø advarer om at BankID-prosessen deres kan føre til økt pågang på passkontorene.Foto: Thomas Fure / NTB

Anne Sofie Lid Bergvall

Nisjeredaktør, Altinget Digital

BankID gjorde feil da mange av deres 3,8 millioner app-brukere fikk aktivert BankID-appen via SMS, epost eller en kodebrikke de fikk i posten.

De har også gjort feil i måten de har utlevert kodebrikker til de 700.000 nordmennene som bruker denne i stedet for app.

Det slo en ekspertgruppe i EU fast i 2022. Fire år seinere skal BankID få alle disse til å identifisere seg på nytt. For å få det til, må brukerne ha gyldig pass eller ID-kort.

I et brev til Politidirektoratet advarer Stø, selskapet bak BankID, om at det kan føre til økt press på passkontorer – midt i den travleste pass-sesongen.

Politiet er bekymret for at brukere vil få panikk og ta det ut over passkontorenes ansatte.

Fikk beskjed en uke i forveien

«Vi i Stø ønsker å informere Politidirektoratet om en situasjon som kan føre til økt pågang ved pass- og ID-kontorene fremover».

Slik begynner en epost fra leder for politikk og samfunn i Stø, Anders Lande, sendt til Politidirektoratet (POD) i begynnelsen av mars.

Les også

Haster med å tette sikkerhetshull i BankID. Digdir har gitt eierne av tjenesten ti dager på å svare

Henvendelsen, som Altinget har fått innsyn i, er ifølge Lande ment å bidra til forutsigbarhet og god samordning, «slik at politiet får et best mulig grunnlag for planlegging og vurdering av tiltak fremover».

Kun én uke seinere begynte Stø å sende ut varsler til brukere av BankID om at de må identifisere seg på nytt ved bruk av pass eller ID-kort.

Kan bli økt trykk midt i høysesong

Bakgrunnen er at måten mange nordmenn har aktivert BankID-brukerne sine på, ikke er i tråd med norske og europeiske krav for å regnes som en eID på det høyeste sikkerhetsnivået – som BankID skal være.

Dette avviket har norske myndigheter kjent til siden 2022, men i brevet til POD skriver Stø at re-identifiseringen av brukerne kommer etter «nye krav fra Nasjonal kommunikasjonsmyndighet».

Dette er BankID-saken

Da eIDAS-forordningen fra EU trådte i kraft i 2018, skulle den gjelde elektroniske ID-tjenester (eID) som ble brukt på tvers av landegrenser. Likevel valgte regjeringen i 2019 å legge forordningens sikkerhetskrav til grunn også for eID-er som ble brukt bare i Norge.

Den norske forskriften åpnet for at selskaper som tilbyr eID kunne sende inn en selvdeklarasjon til Nkom om hvordan de oppfyller kravene til de ulike sikkerhetsnivåene lav, betydelig og høy.

Både BankID, Buypass og Comfides oppga selv at de oppfylte kravene. Deres selvdeklarasjon ble lagt til grunn da Digdir i 2019 inngikk avtale med de tre om å levere eID på sikkerhetsnivå høyt til statlige tjenester gjennom ID-porten.

I 2022 meldte norske myndigheter Buypass og BankID til EU for å bli registrert, slik at de kunne bli brukt grensekryssende.

En ekspertgruppe fra EU undersøkte om løsningene leverte på sikkerhetskriteriene. Det gjorde de ikke. Dermed fremmet gruppen en rekke krav til hva som måtte gjøres for å faktisk kunne kategoriseres på høyeste sikkerhetsnivå. Norske myndigheter ble også kritisert for å ikke ha kontrollert selskapenes selvdeklarasjoner godt nok.

Ett av avvikene er fortsatt ikke løst i BankID-løsningen. Avviket går ut på at kunder som bruker kodebrikker eller har brukt kodebrikke, SMS eller epost til å aktivere BankID-app, ikke er blitt korrekt identifisert. For å lukke avviket, må Stø, som eier BankID, eller bankene som har utstedt BankID til kunder få brukerne til å identifisere seg på nytt. I første omgang gjelder dette mange av BankIDs 3,8 millioner app-brukere.

Stø jobber fortsatt med en løsning for å reidentifisere brukere som bare har kodebrikke.

Før påske gikk Nkom ut med informasjon om at de hadde gitt Stø og bankene fire uker på å dokumentere hvorvidt de oppfyller sikkerhetskravene, og advarte om at de risikerer å bli nedgradert.

For å kunne re-identifisere seg, må brukerne ha gyldig pass eller ID-kort. Det er det ikke alle som har. Stø advarer derfor POD om at det kan bli økt trykk på passkontorene i tiden fremover.

Beskjeden kommer midt i den travleste pass-sesongen, og det er allerede over to måneder ventetid på time på enkelte passkontor. I Bergen og Stavanger er det ledige timer først i slutten av juli.

Tok fortvilelsen ut på saksbehandlere

POD viser i brev til Stø til tidligere erfaringer fra når finansaktører gjør ting som påvirker passkontorene.

I 2022 fikk DNB pålegg fra Finanstilsynet om å re-identifisere én million brukere. Den gang fikk DNB-kundene tre måneder på seg. Det førte til et enormt press på passkontorer fra folk som ikke hadde pass eller ID-kort.

Les også

Forsker om BankID: – Dette er et problem myndighetene har skapt selv

Ifølge politiet skapte det en situasjon der eldre fikk panikk og trodde de var på vei til å miste alle sparepengene sine. Fortvilelsen tok de ut på saksbehandlere på passkontorene.

POD har derfor bedt Stø om informasjon om hvor mange brukere over 60 år som må reidentifisere seg, hvilken tidsfrist de opererer med og hvordan de kommuniserer med kundene sine.

Håper å bli ferdig i løpet av året

Stø opplyser at de har over 700.000 brukere av BankID-app som er over 60 år. De har ikke gitt brukerne en frist for når de må re-identifisere seg. Stø sier de ikke ønsker at noen skal miste sin BankID, og at de derfor ikke har satt noen frist.

Støs interne mål er å få app-brukerne gjennom ID-kontroll i løpet av 2026.

De har fremdeles ikke laget en løsning for ID-kontroll for de brukerne som bare bruker kodebrikke eller brukere med utenlandsk pass.

Ber folk vente hvis de kan

Seksjonsleder for ID-seksjonen i POD, Unni Norum, sier til Altinget at de ikke har fått signaler om at re-identifiseringen har skapt ekstra utfordringer ennå, men at de følger saken. Hun oppfordrer samtidig folk som trenger pass for å gjennomføre ID-kontrollen til å bestille time på sommeren eller høsten.

– Vi har forstått det slik at Stø ikke har satt noen eksakt frist for re-identifisering, slik at man skal ha god tid til å bestille time til pass eller nasjonalt ID-kort ved behov. Man kan bestille timer 180 dager frem i tid, så da er det mulig å planlegge litt.

– Det er ikke noen grunn til å skynde seg på grunn av re-identifiseringen, så vi oppfordrer til å vente til sommeren eller høsten, sier Norum.

Får ikke dispensasjon i mellomtiden

Samtidig som de erkjenner at prosessen kan ta over et halvt år å fullføre, har Stø og bankene bak BankID fått frist til 22. april med å dokumentere overfor Nkom hvorvidt de oppfyller kravene til å klassifiseres på høyeste sikkerhetsnivå. All den tid sikkerhetsavviket ikke er lukket, oppfyller de ikke disse kravene.

Stø har også søkt om å få dispensasjon fra kravene mens de gjennomfører re-identifiseringen

Leder for ID i Stø, Jan Bjerved, har i Altinget tidligere argumentert for at de burde få dispensasjon:

– Vi mener det foreligger et klart og tilstrekkelig grunnlag for å innvilge en tidsbegrenset dispensasjon med hjemmel i selvdeklarasjonsforskriften, forutsatt at vi bekrefter identiteten til brukerne innen rimelig tid, og at den samlede risikoen er akseptabel.

Nkom sa til Altinget før påske at de ikke vil kunne gi dispensasjon dersom det fremdeles er sikkerhetsavvik.

I stedet har de varslet at BankID risikerer å bli nedgradert til et lavere sikkerhetsnivå. Dette rammer over 1600 virksomheter som bruker BankID gjennom Digitaliseringsdirektoratets innloggingsløsning ID-porten.

Les også