Bank-id

e-legitimation
(Omdirigerad från BankID)

Bank-id (varumärke BankID) är det i särklass största e-legitimationssystemet i Sverige och förvaltas av företaget Finansiell ID-Teknik BID AB som ägs av flera svenska banker. I mars 2018 fanns det cirka 6,5 miljoner aktiva Bank-id-användare[2] (i juni 2010 2,5 miljoner[3]) och mer än 600 webbplatser som stödjer bank-id. Endast personer med svenskt personnummer kan få bank-id.

Bank-id
UtvecklareFinansiell ID-Teknik BID AB
Först släppt2003
UtvecklingsstatusAktiv
OperativsystemAndroid, iOS, Mac OS, Windows
TypE-legitimationsapplikation
SpråkSvenska
WebbplatsBankID.com
Finansiell ID-Teknik BID AB
Org.nr556630-4928
TypPrivat aktiebolag
HuvudkontorSverige Stockholm, Sverige
NyckelpersonerMartin van Aller
Styrelseordförande
Johan Eriksson
VD
BranschInformationsteknik
Antal anställda17 – 2019
Historia
Grundat2002
Ekonomi
Omsättning 221,904 miljoner SEK
Rörelseresultat -23,571 miljoner SEK
Vinst efter skatt -18,723 miljoner SEK
Tillgångar 88,625 miljoner SEK
Eget kapital 48,222 miljoner SEK
Struktur
ÄgareDanske Bank
Handelsbanken
Ikano Bank
Länsförsäkringar Bank
SEB
Skandiabanken
Swedbank
Övrigt
FotnoterStatistik från 2019 års bokslut.[1]

Bank-id har funnits i följande varianter:[4]

  • Bank-id på fil (på dator)
  • Bank-id på kort (kopplad till bankdosa)
  • Mobilt Bank-id (mobilappbaserad lösning)
  • Bank-id i mobil (SIM-kortsbaserad lösning - avvecklad i Sverige)

Exempel på användningsområden är swish-betalningar, bankinloggning, inloggning mot e-myndigheter samt åtkomst till sin sjukjournal via 1177.se Vårdguiden.

Bank-id i Norge är ett annat liknande system, som hade nära fyra miljoner användare i augusti 2019.[5]

VarianterRedigera

Bank-id på filRedigera

Tjänsten Bank-id, ibland även kallad Bank-id på fil, lanserades år 2003. Ett mjukt certifikat och en hemlig kryptonyckel lagras på datorns hårddisk, och fungerar även om filerna flyttas mellan olika datorer, vilket innebär en säkerhetsrisk (se förklaring nedan).

För att använda Bank-id på en persondator krävs att Bank-id säkerhetsprogram (BISP) installeras i systemet där filen är lagrad. Kritik har riktats mot att det är en alltför plattformsberoende lösning som förutsätter att kunden antingen har Microsoft Windows eller Mac OS,[6]. Tidigare stöddes även Linux till viss del, men stöd för Linux fasades ut under 2014.[7]

Bank-id på kortRedigera

Bank-id på kort lanserades 2005. En hemlig privat kryptonyckel lagras i smartkortets chip, som fungerar som hårt certifikat, vilket anses säkrare eftersom det i allmänhet kräver fysisk tillgång till kortet för att fungera. Kortet kan vara ett kreditkort eller ett renodlat bank-id-kort. Kortet kan levereras med eller utan fotografi, och kan fungera som legitimationshandling.[8] Detta kort fungerar ihop med en speciell dosa, kallad bankdosa, som har nummertangentbord för att mata in koder. Vissa banker har chippet integrerat i dosan så att det inte är något kort. Bank-id på kort fungerar utan någon speciell programvara i datorn eller mobilen, men långa koder måste matas in på dosan. Det kan finnas speciell programvara för att överföra koderna via USB-kabel.

Mobilt Bank-idRedigera

 
Andel av Sveriges befolkning (16+ år), internetanvändare respektive smartmobilanvändarna, som använder Mobilt Bank-id åren 2014–2019. Siffror från undersökningen "Svenskarna och internet".

Mobilt bank-id lanserades oktober 2011,[9] och är en e-legitimation för moderna[10] smarttelefoner från vissa leverantörer som kombineras med en mobilapplikation.[11] Det kan användas både för inloggning och signering via webben på en vanlig persondator, där mobilen fungerar som separat säkerhetsdosa, och för inloggning via bankens eller myndighetens mobilapplikation. Den hemliga nyckeln lagras i en mobil applikation (Bank-id säkerhetsapp), som fungerar som mjukt certifikat. E-tjänstleverantören (den myndighet eller det företag som kunden ska identifiera sig mot) har en valideringsserver.[12]

År 2014 använde hälften av alla svenskar med smartmobil tjänsten Mobilt Bank-id. På fem år nästan fördubblades nyttjandet till 94 procent av smartmobilanvändarna.[13] 2019 utfärdade alla deltagande banker Mobilt Bank-id, vilket inte gällde de två andra lösningarna.

Bank-id i mobil (avvecklad)Redigera

Bank-id i mobil lanserades 2010 och stängdes i Sverige hösten 2011. En hemlig privat kodnyckel lagrades på mobilens SIM-kort, som fungerade mer eller mindre som hårt certifikat eftersom det krävde tillgång till SIM-kortet (direkt eller över nätet). Mobiloperatören tillhandahöll tekniken och tog en avgift för tjänsten.

En privat nyckel genererades i SIM-kortet när e-legitimationen beställdes. Den skyddades i SIM-kortet och lämnade aldrig kortet, och kan därför beskrivas som ett hårt certifikat. En signaturapplikation på SIM-kortet genererar signaturer. Ett modernt SIM-kort krävdes som stödjer SIM Application Toolkit (SAT). Mobiloperatörerna Telia och Telenor har tillhandahållit en tjänst för ändamålet i Sverige, kallad mobilid eller Mobil id-hantering, och tog då en avgift av kunden vid varje legitimering.[14][15] Bankerna stängde tjänsten i samband med att den app-baserade tjänsten mobilt Bank-id lanserades.[16] Bank-id i mobil var ursprungligen ett samarbetsprojekt mellan Finansiell ID-Teknik, Telia och Telenor, med bank-ID-bankerna som referensgrupp.[17][18] Den tekniska funktionsprincipen baseras på Wireless PKI-specifikationen (WPKI) som togs fram av WPKI-föreningen.[19]

BegränsningarRedigera

Endast Danske bank, Forex bank, Handelsbanken, Ica Banken, Länsförsäkringar, Nordea, SEB, Skandia, Sparbanken Syd, Swedbank och Ålandsbanken tillhandahåller Bank-id. [1]

En begränsning med den svenska varianten av bank-id är att alla som bor och arbetar i Sverige inte har tillgång till systemet, därför att svenskt personnummer krävs för svenskt e-ID, och många som bor långvarigt i Sverige bara har rätt till samordningsnummer. De är därmed utestängda från att göra Swishbetalningar, medan motsvarande norska och danska betaltjänster accepterar motsvarigheten till samordningsnummer.[20][21] Många av dem har lönekonto och bankkort i en svensk bank, så det är sällan bankerna utan staten som sätter upp dessa hinder. Dock medför bankutfördade istället för statligt utfärdade e-Id att banker potentiellt kan sätta upp hinder som gör det svårt att få bankkonto och bank-id, och har därmed makt över vem som får och inte får tillgång till myndigheters digitala tjänster.

Den som har god man har rätt till bankid, medan den som har förvaltare inte har det utan särskilt beslut från den kommunala överförmyndarnämnden.

Bank-id tillåter inte id-växling (det vill säga att man använder e-legitimation för att skapa ett konto hos en tredje part). Exempelvis universiteten har sådana behov. Det var ett krav från Swedbank för att vara med i projektet Svensk e-legitimation att Skatteverket upphör att ge Sveriges universitetsdatanätverk (SUNET) tillgång till Skatteverkets tjänst "Mina meddelanden" för säker myndighets-e-post, eftersom universiteten sände användaruppgifter till studenters e-postkonton den vägen, vilket banken tolkar som en konkurrerande verksamhet. Därmed tvingades universiteten i december 2015 att återgå till att skicka brev istället för att använda helt elektronisk hantering av studenters ansökningar och kontouppgifter.[22]

En teknisk begränsning med flera varianter av bank-id är att stödet för vissa plattformar och äldre OS-versioner har upphört. Bank-id på fil fungerar bara i Mac OS och Windows[2], och Mobilt bank-id finns endast tillgängligt i Googles Google Play och Apples App Store[3].

SäkerhetRedigera

Bankinloggning med Bank-id har varit en säkerhetsrisk eftersom telefonbedragare har använt så kallad samtalsfiske för att lura människor att logga in och därmed oavsiktligt godkänna stora banktransaktioner.[23][24] Bedragaren låtsas ringa från banken eller till exempel en myndighet, och påstår att offret måste logga in, till exempel för att stoppa utlandstransaktioner på grund av ett misstänkt kortbedrägeri eller andra upplägg. Bedragaren har förberett genom att ha tagit reda på personnummer. I själva verket loggar därmed offret in bedragaren på banken. För att överföra pengar måste inloggningen göras en gång till, men det har bedragaren lyckats prata sig till.[25] Vid en annan kategori av bank-id-relaterade bedrägerier luras offret att betala till bedragaren via Swish.

Som motåtgärd åt denna typ av bedrägeri infördes i september 2018 möjligheten för organisationer som använder bankid, att kräva att mobilt bank-id-appen ska fotografera en QR-kod, för att säkerställa att enheten som loggar in befinner sig på samma plats som användaren och styrs av denna. Bankbedrägerierna minskade därmed med 90 procent.[26][27] I juni 2020 lanserades en vidareutveckling av detta, vilket möjliggör för tjänsten att animera QR-koden, så att QR-kodens innehåll byts ut en gång i sekunden[28] för att motarbeta bedrägerier där bedragaren lyckas föra över QR-koden till slutanvändaren.

För att registrera sig för Bank-id så är säkerheten extra viktig, eftersom Bank-id ger mer eller mindre full rätt att föra bort pengar. Hos de flesta banker görs det med Bank-id på kort som har högre säkerhet.[29] Hos Nordea som av kostnadsskäl inte ger ut Bank-id på kort till normalkunden, sker registreringen via Mobilt Bank-id.[30] Innan QR-kod infördes var det vanligt med bedrägerier via samtalsfiske där bedragare fick mobilt bankid för en Nordea-kund.

Se ävenRedigera

KällorRedigera

  1. ^ ”Finansiell ID-Teknik AB – Bokslut & nyckeltal”. Allabolag.se. https://www.allabolag.se/5566304928/bokslut. 
  2. ^ Statistik
  3. ^ Finansiell ID-Teknik BID AB (Maj 2013). ”Statistik BankID Maj 2013”. Arkiverad från originalet den 29 oktober 2013. https://web.archive.org/web/20131029192254/http://bankid.com/Documents/wwwbankidcom/Statistik/Statistik%20maj2013.pdf. 
  4. ^ ”Arkiverade kopian”. Arkiverad från originalet den 3 juli 2014. https://web.archive.org/web/20140703203722/http://bankid.com/sv/Om-foretaget/Historia/. Läst 27 juni 2014. 
  5. ^ ”Bankid.no” (på norska). www.bankid.no. https://www.bankid.no/bedrift/. Läst 16 augusti 2019. 
  6. ^ Roland Orre (3 februari 2009). ”Varför måste alla köra Volvo eller Saab?”. Arkiverad från originalet den 6 februari 2009. https://web.archive.org/web/20090206191755/http://csblogg.idg.se/bloggar/hardcoreopensource/entry.jsp?messid=352. 
  7. ^ "Bank-id för Linux slopas". Läst 2014-04-02.
  8. ^ Bank-id på kort Arkiverad 15 juni 2018 hämtat från the Wayback Machine., Finansiell ID-teknik, läst 2017-02-13
  9. ^ ”e-legitimation för mobiler och surfplattor”. bankid.com. 19 november 2012. Arkiverad från originalet den 28 september 2013. https://web.archive.org/web/20130928174549/http://www.bankid.com/sv/Mobilt-BankID---information/. Läst 30 september 2013. 
  10. ^ BankID - Systemkrav Arkiverad 20 februari 2015 hämtat från the Wayback Machine.
  11. ^ ”bankid banker”. legitimation.se. 21 november 2012. Arkiverad från originalet den 3 oktober 2013. https://web.archive.org/web/20131003121738/http://www.legitimation.se/bank/. Läst 30 september 2013. 
  12. ^ ”Arkiverade kopian”. Arkiverad från originalet den 28 september 2013. https://web.archive.org/web/20130928174549/http://www.bankid.com/sv/Mobilt-BankID---information/. Läst 30 september 2013. 
  13. ^ ”Banktjänster och e-handel”. Svenskarna och internet 2019. Internetstiftelsen. https://svenskarnaochinternet.se/rapporter/svenskarna-och-internet-2019/banktjanster-och-handel/. Läst 30 oktober 2019. 
  14. ^ Telia: Plånboken i mobilen, 2010
  15. ^ Telenor: Mobilid, arkiverad version sedan 28 oktober 2009
  16. ^ ”Arkiverade kopian”. Arkiverad från originalet den 5 augusti 2014. https://web.archive.org/web/20140805044624/http://www.swedbank.se/privat/internet-och-telefontjanster/bankid-%28e-legitimation%29/bankid-i-mobil/index.htm. Läst 27 juni 2014. 
  17. ^ ”Arkiverade kopian”. Arkiverad från originalet den 20 januari 2011. https://web.archive.org/web/20110120191446/http://bankid.com/Documents/wwwbankidcom/Swedbank%20GZ-EN%20BankID-dagen%202010-11-22.pdf. Läst 27 juni 2014. 
  18. ^ ”Arkiverade kopian”. Arkiverad från originalet den 6 augusti 2014. https://web.archive.org/web/20140806094605/https://www.bankid.no/Dette-er-BankID/BankID-in-English/BankID-on-your-mobile/. Läst 27 juni 2014. 
  19. ^ Wpki-föreningens webbplats, arkiverad från 19 juni 2012
  20. ^ Kom i gang med Vipps
  21. ^ Privatpersoner som kan få BankID
  22. ^ Skatteverket och Sunet i bråk om e-id – studentnätverket utkastat från statlig tjänst, Computer Sweden, 2015-11-30
  23. ^ ”Falska banksamtal stjäl ditt BankID”. 11 maj 2018. http://www.nsd.se/nyheter/falska-banksamtal-stjal-ditt-bankid-nm4830588.aspx. Läst 8 juni 2018. 
  24. ^ Bedragarna kapar ditt Bank-ID: Nordea varnar”. Expressen. https://www.expressen.se/dinapengar/sa-kapas-ditt-bank-id-nu-varnar-storbanken/. Läst 8 juni 2018. 
  25. ^ Ligor kapar ditt Bank-ID när du betalar räkningar Expressen 27 nov 2017
  26. ^ ”Support for QR codes in the BankID Service”. Finansiell ID-Teknik BID AB. 10 september 2018. https://www.bankid.com/en/om-oss/nyheter/lansering-av-stod-for-qr-kod-i-bankid-appen. 
  27. ^ ”QR-koden gjorde susen – Bank-id-bedrägerierna ned med 90 procent”. Computer Sweden. 3 juli 2019. https://computersweden.idg.se/2.2683/1.721024/qr-koden-gjorde-susen--Bank-id-bedragerierna-ned-med-90-procent. 
  28. ^ ”BankID relying guidelines”. Finansiell ID-Teknik BID AB. 8 juni 2020. https://www.bankid.com/assets/bankid/rp/bankid-relying-party-guidelines-v3.4.pdf. Läst 16 augusti 2020. 
  29. ^ Ny mobil | Handelsbanken
  30. ^ Skaffa eller förnya Mobilt BankID | Nordea.se