Ny finansavtalelov tar digitaliseringen baklengs inn i fremtiden
This blog post was originally published in e24.no (in Norwegian)
Regjeringen la forrige uke frem forslag til ny finansavtalelov, og selv om vi alle har god grunn til å applaudere det sterke forbrukervernet vi har i Norge, vekker forslaget om rettigheter og ansvarsbegrensninger ved bruk av digital signatur grunn til bekymring.
Det er ingen mangel på historier om tragiske skjebner der enkeltindivider blir sittende igjen med betydelig gjeld som følge av BankID-svindel, ofte utført av nær familie. Dette er uten tvil et stort problem, og alle er nok enige om at det må iverksettes tiltak for å forhindre at dette skjer. Men vi risikerer med forslaget om ansvarsbegrensning for bruken av e-signatur i finansavtaler å innføre feil løsning på problemet.
Nøkkelingrediensen til et digital samfunn er utstrakt bruk av digitale ID-løsninger, og i Norge er BankID, med sine drøyt 4 millioner brukere den løsningen med helt klart størst utbredelse, og en av få digitale ID-løsninger som tilfredsstiller det høyeste sikkerhetsnivået, Nivå 4. I tillegg er det påkrevd at BankID kun utstedes gjennom legitimering ved fysisk oppmøte.
BankID som en digital identitet er bygget på tillit. En tillit til banken som utsteder løsningen. Tillit til at denne implementeres på forsvarlig vis hos banker, offentlige myndigheter eller andre som har behov for et høyt sikkerhetsnivå ved innlogging. Men også en tillitt til at den enkelte bruker av løsningen ivaretar sine forpliktelser.
Sikkerheten ivaretas gjennom såkalt multifaktor autentifikasjon, som består av en kombinasjon av noe du vet (passord eller PIN-kode), samt noe du har (kodebrikke eller telefon m. SIM-kort), samt en hemmelig algoritme som genererer et tilfeldig tall eller kombinasjon av ord.
Selv om kodebrikken er verdiløs alene har dette dessverre ikke stått i veien for svindlere som har ønsket å utnytte både sine nære og kjære og tilliten til systemet, og det er et behov for å ytterligere øke sikkerheten og dermed også forbrukervernet. Forslaget om å begrense brukers ansvar under en forutsetning om at forbrukeren ikke har opptrådd «svikaktig» utfordrer tillitsforholdet mellom utsteder og bruker av BankID som digital identitetsløsning.
Tom Staavi fra Finans Norge viser til at uten en effektiv digital ID som BankID, ville vi aldri klart å lage effektive systemer og hjulpet folk og bedrifter i en kritisk økonomisk situasjon så raskt som vi har klart. BankID har åpnet for muligheten til at vi har kunnet digitalisere og effektivisere alle prosesser knyttet til også det offentliges tjenester. Det er derfor finansnæringen nå slår alarm.
Det er samtidig et paradoks at ansvaret ved elektronisk begrenses, men ikke ved en forfalsket papirbasert signatur som oversendes banken med ordinær post. Dette kan vitne om en ubegrunnet høy tillit til gårsdagens løsninger og nok et eksempel på vår iboende motstand mot teknologiske løsninger.
En så omfattende begrensning av brukers ansvar som det foreslås i ny Finansavtalelov kan få flere konsekvenser. Uaktsomhet er krevende å bevise, og dette vil potensielt føre til fordyrende manuelle prosesser for å fastslå hvorvidt den enkelte kunde har opptrådd «svikaktig» Regningen for denne kostnaden blir fort sendt i retur til forbrukeren gjennom dyrere banktjenester.
Finans Norge påpeker også at en konsekvens kan være at ikke alle får utstedt BankID, noe som kan føre til at deler av befolkningen ikke lenger vil få tilgang til digitale banktjenester ved at de ikke har mulighet til å verifisere sin digitale identitet. Dette kan få store konsekvenser for individene det gjelder ettersom finansiell inkludering i en digital verden er avhengig av en verifiserbar digital identitet.
Omfattende ansvarsbegrensninger som bidrar til økte kostnader for utsteder av BankID vil også kunne ha en betydelig negativ konsekvens ved at incentivet for å videreutvikle løsningen svekkes. Dette er særlig negativt, ettersom en videreutvikling av BankID er en mer fremtidsrettet løsning på problemet fremfor å begrense bruken av digitale signatur- og identifikasjonsløsninger som kan bli konsekvensen av forslaget slik det foreligger.
Fremfor å innføre et regelverk som oppleves som et tilbakeskritt for digitalisering burde det heller legges til rette for at sikkerhetsnivået heves gjennom bruk av teknologi og økt sikkerhet. Enten det gjelder biologisk biometri som fingeravtrykk og ansiktsgjenkjenning, adferdsbasert biometri som eksempelvis tastefrekvens eller vinkelen du holder telefonen din. Eller introduksjon av flere faktorer gjennom større involvering av brukeren gjennom eksempelvis epost- eller SMS-bekreftelse før utbetaling av lån.
BankID i sin nåværende form har vist seg å ha svakheter som åpenbart har åpnet for misbruk som rammer enkeltindivider, samt at et regelverk som ikke ikke høyde for svindel der et lånebeløp utbetales til en konto som ikke tilhører offeret er verken rimelig eller rettferdig.
Det er helt rett at forbrukervernet styrkes, og maktforholdet mellom individet og bankene utjevnes, men det er i alles interesse at incentivene ligger til rette for å videreutvikle en grunnleggende digital infrastruktur fremfor å innføre regelverk som begrenser bruken og dermed også videreutviklingen av digitale løsninger.