E-legitimation

E-legitimation, även e-leg, eID,^[1] eller e-ID, är en elektronisk legitimation för användning på Internet. Med hjälp av en e-legitimation kan man legitimera sig, logga in och skriva under avtal och godkänna transaktioner på olika myndigheters, bankers och andra företags webbplatser.

Länder där staten utfärdar e-legitimation till medborgare är Afghanistan, Belgien, Bulgarien, Chile, Estland, Guatemala, Israel, Italien, Lettland, Litauen, Luxemburg, Malta, Marocko, Mauritius, Mexiko, Nederländerna, Nigeria, Pakistan, Portugal, Rumänien, Slovakien, Spanien och Tyskland.^{[uppdatering behövs]} Länder som accepterar bankutfärdad e-legitimation för identifiering mot myndigheter, ofta kallat "BankID", är Finland, Norge och Sverige.

De vanligaste e-legitimationerna bland privatpersoner i Sverige är BankID och Mobilt BankID (utgivna av banker) som används för inloggning mot myndigheter, banker och andra företag, och för Swish-betalningar. Skatteverkets id-kort är ett Smartcard som innefattar e-legitimation (utgiven av AB Svenska Pass).^[2] Freja eID Plus (utgiven av Freja eID Group AB tillsammans med ATG)^[3] är ett id-kort med foto i mobiltelefonen som också förekommer bland privatpersoner. Alla dessa uppfyller Digitaliseringsmyndighetens kvalitetsmärke Svensk e-legitimation.^[4]

I exempelvis Tyskland (där ID-kort eller pass krävs i lag från 16 års ålder) och Uruguay utfärdar staten fysiska identitetskort som även fungerar som smartkort och kan användas som elektroniskt id-kort (eIC), det vill säga både online och offline. I Finland fanns ett sådant system, men experimentet avslutades på grund av liten efterfrågan. Ett eIC har vanligen samma format som ett vanligt bankkort, med tryckt identitetsinformation på ytan (t.ex. personuppgifter och ett fotografi) samt ett inbyggt kontaktlöst (Rfid-baserat) mikrochip. Liknande lösningar i Sverige är Bank-ID på kort och Skatteverkets id-kort. För online-identifiering med eIC krävs en kortläsare och lämplig programvara, ofta integrerade i en enhet (vissa "bankdosor"). Beroende på typ av kortläsare skriver användaren in en PIN-kod på datorns tangentbord eller på kortläsarens inbyggda knappsats.^[5]

Enligt EU:s eIDAS-förordning (electronic identification and trust services) ska varje medlemsstat acceptera varandras elektroniska ID-handlingar i offentliga digitala tjänster den 29 september 2018.^[6]

Norge

Bank-ID i Norge

I Norge utfärdas e-legitimationer till privatpersoner av flera samverkande banker genom olika tekniska varianter av en tjänst kallad BankID. En av varianterna, bank-ID i mobil, lanserades i mars 2009 i Norge. Telenor tar ut avgift vid varje legitimering, därför att den norska varianten är knuten till sim-kortet och autenticieringen hanteras av servrar som ägs av mobiloperatören. Detta i motsats till Sverige där bank-ID i mobil har avvecklats, och mobilt BankID är app-baserad och bankernas servrar hanterar autentiseringen, utan mobiloperatörens inblandning.^[7][8][9]

Sverige

Även i Sverige utfärdas e-legitimationer till privatpersoner av flera svenska banker genom olika varianter av en tjänst kallad bank-id.^[10] Tjänsten Telia e-legitimation utfärdas av Telia men sedan 2013 utfärdar man inte e-legitimationer åt privatpersoner, endast till företag. Tidigare utfärdade Telia filbaserad e-legitimation för kunder i ICA-banken och SEB men detta samarbete har upphört. Säkerhetslösningen Net iD utvecklas och förvaltas av företaget Secmaker. Telia e-legitimation och Net iD är inte samma sak men Net iD som insticksfil krävs för att Telia e-legitimation ska fungera. Tidigare hade Nordbanken ett eget system kallat Nordbanken e-legitimation, men Nordea är numera anslutet till BankID-samarbetet. Inera tillsammans med Försäkringskassan utfärdar e-legitimation för tjänstemän inom offentlig sektor (Efos), exempelvis landsting.^[11][12] Expisoft utfärdar e-legitimation till företag, för identifiering mot myndigheter.^[13]

En undersökning genomförd av Internetstiftelsen 2022 visade att 91 procent av alla svenskar över 18 år har använt e-legitimation. Under covid-19-pandemin ökade det dagliga användandet kraftigt, från 47 procent år 2021 till 71 procent år 2022.^[14]

Användningsområden

Exempel på svenska myndigheter som accepterar e-legitimation är Skatteverket, Arbetsförmedlingen, Försäkringskassan^[15] och Centrala studiestödsnämnden.^[16] Elektroniska underskrifter som skapas med en e-legitimation är enligt svensk lag i de flesta sammanhang likvärdiga med vanliga underskrifter på papper.^[17] E-legitimation kan användas för att kontakta sin eller sitt barns vårdcentral och se sin journal via 1177.se Vårdguiden. E-legitimation kan användas för att se sina recept hos vissa apoteksföretag. Vid internethandel inom Sverige räcker det sällan med kreditkort, utan ofta krävs även inloggning mot bank, exempelvis via e-legitimation. Swishbetalningar möjliggörs av mobilt bankid.

BankID^[18] anses vara en avancerad elektronisk signatur i enlighet med förordningen om elektronisk identifiering och betrodda tjänster och allt som signeras med BankID är därmed juridiskt bindande. En avancerad elektronisk signatur^[19] är en elektronisk signatur som har följande egenskaper:

• Den ska vara unikt knuten till undertecknaren.
• Undertecknaren ska kunna identifieras genom den.
• Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll.
• Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

Svenska skolor måste kräva e-legitimation istället för enbart användarnamn och lösenord för integritetskänsliga uppgifter enligt en dom i Förvaltningsrätten 2015, baserat på personuppgiftslagen. Det kan exempelvis gälla att låta föräldrar och barn ta del av skriftliga omdömen och individuella utvecklingsplaner elektroniskt.^[20]

E-legitimationsnämnden och Svensk e-legitimation

Huvudartiklar: Svensk e-legitimation och Myndigheten för digital förvaltning

F.d. E-legitimationsnämnden var en statlig myndighet under Finansdepartementet som startades 1 januari 2011. Uppgiften var att stödja och samordna arbetet med att möjliggöra olika e-legitimationer i Sverige genom kvalitetsmärket Svensk e-legitimation, och även att möjliggöra andra EU-länders lösningar. Nämnden uppgick i Myndigheten för digital förvaltning (DIGG) vid dess bildande i september 2018.

De allra flesta svenska myndigheter och kommuner accepterar BankID och Telia e-legitimation som e-ID men inte alla som bor och arbetar i Sverige har tillgång till dessa e-legitimationer, därför att svenskt personnummer krävs för svenskt e-ID, och många som bor långvarigt i Sverige bara har rätt till samordningsnummer. Många av dem har lönekonto och bankkort i en svensk bank, så det är inte bankerna utan staten som sätter upp dessa hinder. Emellertid bestämmer banker och företag som utfärdar eID hypotetiskt själva vem som får och inte får vara kund hos dem, och vem som får och inte får BankID. Det kan anses ge bankerna och företagen indirekt kontroll över vem som kan och inte kan använda statliga tjänster, och på sikt ge bankerna ett överdrivet inflytande över samhället. För att minska bankernas inflytande över medborgares möjligheter att använda statliga tjänster anser e-legitimationsnämnden att det behövs fler e-legitimationer än de som finns idag.

Svensk e-legitimation är ett kvalitetsmärke som visar att en e-legitimation har kvalitetsgranskats enligt E-legitimationsnämndens tillitsramverk. Ett syfte är att myndigheter, kommuner och användare ska våga lita även på mindre kända e-legitimationer.^[21] Fler e-legitimationer med kvalitetsmärket Svensk e-legitimation planeras.

E-legitimationsnämnden tog också fram olika trafikavtal som ger parterna (leverantörer av e-legitimeringar och myndigheter med e-tjänster) tillgång till de tjänster som behövs för att säkert logga in digitalt i de olika e-tjänsterna. Ett sådant avtal är "valfrihetssystemet eID 2016 Övergångstjänst". Där har myndigheterna tillgång till BankID, Mobilt BankID och Telias e-legitimation för sin försörjning av e-legitimationer och e-underskrifter till och med 2018.

Ett behov som inte E-legitimationsnämnden ansåg sig kunna lösa på egen hand är möjligheten att kunna logga in med en e-legitimation och därifrån använda andra inloggningssätt i olika tjänster, så kallad id-växling. Exempelvis universiteten har sådana behov. De nuvarande stora e-legitimationerna såsom BankID och Mobilt BankID tillåter inte det i sina system. Till exempel var det ett krav från Swedbank för att vara med i projektet Svensk e-legitimation att Skatteverket upphör att ge Sveriges universitetsdatanätverk (SUNET) tillgång till Skatteverkets tjänst "Mina meddelanden" för säker myndighets-e-post, eftersom universiteten sände användaruppgifter till studenters e-postkonton den vägen, vilket banken tolkar som en konkurrerande verksamhet. Därmed tvingades universiteten i december 2015 att återgå till att skicka brev istället för att använda helt elektronisk hantering av studenters ansökningar och kontouppgifter.^[22] Denna händelse har använts som ytterligare ett argument för att det behövs andra och fler lösningar för e-legitimering.^[23]

Det kan idag vara svårt för EU-migranter och invandrare att få en ID-handling i Sverige, utan att exempelvis en svensk arbetsgivare kan verifiera personens identitet,^[24] och därmed kan det även vara svårt att erhålla en svensk e-legitimation även om man har personnummer. Utländska pass, körkort och ID-handlingar är sällan giltiga som legitimation i Sverige. Den gränsöverskridande kontakten mellan myndigheter, företag och privatpersoner behöver förenklas enligt e-legitimationsnämnden. Senast den 29 september 2018 ska även andra europeiska e-legitimationer tillåtas i svenska digitala tjänster som kräver e-legitimation. EU-förordningen som reglerar detta kallas förordningen om elektronisk identifiering och betrodda tjänster och systemet som inrättas för europeiska e-legitimationer kallas eIDAS. E-legitimationsnämnden är utsedd att vara Sveriges kontaktpunkt och företrädare enligt eIDAS och ansvarig för den svenska noden för elektronisk identifiering över landgränsen.^[25][26]

Bank-ID i Sverige

Huvudartikel: Bank-id

Bank-ID är det i särklass största e-legitimationssystemet i Sverige och förvaltas av företaget Finansiell ID-Teknik BID AB som ägs av flera svenska banker. I mars 2018 fanns det cirka 6,5 miljoner aktiva BankID-användare. Användningen av e-legitimation i Sverige låg år 2022 på 91 % och bland dem använde 91 % Bank-id.^[14]

Europeiska unionen

Huvudartikel: Förordningen om elektronisk identifiering och betrodda tjänster

Den 29 september 2018 blev det enligt lag obligatoriskt att e-legitimationer från andra EU/EES-länder ska fungera i svenska offentliga digitala tjänster, i enlighet med förordningen om elektronisk identifiering och betrodda tjänster. Genom förordningen har ett system som kallas eIDAS skapats.^[27][28] Fortfarande kan svenska personnummer krävas, eventuellt samordningsnummer.^{[27][förtydliga]}

Säkerhet

Så länge e-legitimation används korrekt är den helt säker. Men bedragare kan försöka övertyga andra att lämna över sin e-legitimation, eller att använda den felaktigt. Att medvetet lämna ut sin e-legitimation till någon annan är ett avtalsbrott mot utfärdaren av e-legitimationen, och att använda någon annans e-legitimation är en brottslig handling. E-legitimation är en personlig id-handling och ska hanteras lika aktsamt som en fysisk värdehandling.^[29]

Bankinloggning med exempelvis bank-id kan innebära en säkerhetsrisk om bedragare lyckas lura människor att logga in och därmed oavsiktligt godkänna stora banktransaktioner.^[30][31] Bedragaren låtsas då ringa från banken, och påstår att offret måste logga in, till exempel för att stoppa utlandstransaktioner på grund av ett misstänkt kortbedrägeri. Bedragaren har förberett genom att ha tagit reda på personnummer. I själva verket loggar därmed offret in bedragaren på banken. För att överföra pengar måste inloggningen göras en gång till, men det har bedragaren lyckats prata sig till.^[32] Man bör aldrig logga in på en e-legitimation på uppmaning av någon som ringer på telefon.^[29] Banken kan själv spärra utlandstransaktioner vid behov. Vidare uppmanas användare av e-legitimation att aldrig dela pinkoden till e-legitimationen med någon samt att noga läsa vad som signeras innan underskrift. Texten som visas i e-legitimationen ska alltid stämma överens med den myndighet eller det företag som ska motta signaturen.^[29]

Myndigheter, banker, seriösa företag och utfärdare av e-legitimationer ber aldrig att kunden ska identifiera sig med sin legitimation när de ringer. De kan däremot be om det när kunden ringer dem.^[29]

Det kan även hända att bedragare skickar mejl eller sms med länkar till falsk webbplatser som de hoppas att mottagaren ska besöka för att få dem använda sin e-legitimation.^[29]

Certifikat

En e-legitimation baseras vanligen på ett digitalt certifikat, det vill säga en datafil som innehåller uppgifter om användaren och en kod kallad publik kryptonyckel. Den publika nyckeln motsvaras av en privat (hemlig) kryptonyckel. Det krävs i allmänhet många år datorberäkningar för att räkna ut den privata nyckeln även om man känner till den publika nyckeln. Kryptonycklarna kan dels användas för kryptera kommunikationen så att avlyssning försvåras, dels för autentisering (säker identifiering av användare) vid inloggning och bekräftelse på transaktioner, och dels för att förse filer och e-post med en digital signatur så att man säkerställer avsändarens identitet och att meddelandet inte har manipulerats under överföringen.

Ett mjukt certifikat lagras som en fil i användarens dator eller mobiltelefon, och kan potentiellt överföras över Internet. Certifikatet riskerar då att kopieras av bedragare. Om bedragaren dessutom lyckas komma över lösenordet och knäcka krypteringen eller kopiera motsvarande privata nyckel, kan han eller hon använda legitimationen som den ursprungliga användaren men från en annan enhet.

Ett hårt certifikat (hardware certificate) lagras på ett mikrochip, exempelvis på ett smartkort (SIM-kort eller eID-kort) eller i en dosa, som användaren måste ha fysisk tillgång till varje gång nyckeln skall användas, eftersom nyckeln inte skall kunna kopieras därifrån.^[33] Hårda certifikat är per definition konstruerade så att det skall vara svårt eller omöjligt att kopiera mikrochipets innehåll eller att göra det tillgängligt via Internet. Hårda certifikat anses därför mer säkra än mjuka certifikat.

Om en bedragare lyckas fjärrstyra och avlyssna datorn eller mobiltelefonen som används för legitimeringen, till exempel genom en trojansk häst, kan personen bryta sambandet mellan vad användaren tror sig godkänna och vad legitimationen används till att godkänna. En kontrollerad dator kan användas för att avlyssna och återanvända lösenord och koder, i vissa fall även om den hemliga nyckeln finns i tryggt förvar på ett smartkort eller i en dosa.

Både vid mjuka och hårda certifikat kan bedragare potentiellt lura användare och system genom en man-in-the-middle-attack, där exempelvis webbsidors innehåll modifieras så att man godkänner andra transaktioner än dem man tror sig godkänna, eller lösenord och koder avlyssnas och återanvänds för att bekräfta transaktioner utan användarens vetskap.

För alla metoderna finns problemet att bedragare ringt användare (till exempel sagt sig tillhöra banken eller polisen) och med sin trovärdiga rösttyp lurat dem och därmed lyckats fjärrstyra det tangentbord som certifikat kopplats till. Detta har varit det största säkerhetsproblemet i Sverige, särskilt för mobilt bank-id som är snabbare att använda, bara inmatning av lösenord och inga koder.

Ett alternativ till en generell e-legitimation är att logga in på sin bank och verifiera betalningar med engångskoder på papper som banken har utfärdat. Ett annat alternativ är en bankdosa som saknar kortläsare och istället innehåller också kortets funktionalitet, inklusive nycklarna som identifierar användaren. Dosan eller kombinationen av dosa och kort producerar antingen engångslösenord eller bekräftelsekoder för challenge-response-autenticiering. I det senare fallet producerar systemet (t.ex. banken) en eller två koder baserade på en kontrollsumma av transaktionsuppgifterna och/eller ett slumptal. Användaren matar in koden/koderna (som presenteras för användaren t.ex. av webbläsaren) i dosan, och denna eller id-kortet beräknar en svarskod med hjälp av sin hemliga nyckel.

Om ett hårt certifikat hanteras av en enhet användaren har kontroll över (t.ex. en dosa) och enheten genererar bekräftelsekoder på basen av kontrollsummor som användaren själv kan kontrollera mot de uppgifter han eller hon avser bekräfta är systemet immunt mot ändringar i uppgifterna, förutsatt att det inte har andra svagheter. Fortfarande finns problem med kontexten: användaren kan kontrollera att ett kontonummer inte ändras, men det är svårare att kontrollera att bankkontot tillhör den avsedda mottagaren.

Ett annat problem är att kryptografiskt säkra kontrollsummor oftast är för komplicerade för att kontrolleras manuellt. I praktiken behövs en dator med lämplig programvara (och om webbläsaren används för detta är man tillbaka vid det ursprungliga problemet). En mer praktisk lösning är att ha ett lämpligt användargränssnitt på certifikatdosan, så att man i den kan mata in de ursprungliga uppgifterna (eller någon nyckeluppgift, såsom beloppet) istället för en kontrollsumma.^{[källa behövs]}

Den som är utgivare av en e-legitimation behöver ha tillgång till de hemliga koderna för att kunna lagra dem (på smartkortet eller annanstans). Tillverkaren har alltså i allmänhet teknisk möjligheten att kopiera legitimationen för eget bruk. Om tillverkarens datasäkerhet brister kan även tredje part komma över koderna. Certifikat där nycklarna genererats av användaren själv (och sedan undertecknas av lämpliga auktoriteter) kan vara säkrare, förutsatt att användaren klarar att sköta proceduren och sin datasäkerhet.

Ett problem är identifieringen av användaren vid installation av e-legitimation. De högst betrodda metoderna, hårda certifikat såsom smartkort, kräver i Sverige beställning personligen på bankkontor, där lösenordet väljs. Mjuka certifikat, åtminstone mobilt bank-id, kan beställas via internetbanken med hjälp av ett hårt certifikat. Det har förekommit att beställning av Mobilt BankID tillåtits via brev med underskrift, där folkbokföringsadressen varit den dokumenterade kopplingen till personen. Där förekom bedrägerier via beställning i annans namn och stöld ur brevlådor. Vissa banker tillåter Mobilt BankID installeras i ytterligare mobiler med hjälp av Mobilt BankID, vilket gjort att de som via telefon (enligt nedan) fått någon att logga in på Mobilt BankID kunnat skaffa Mobilt BankID i sin egen mobil i annans namn, vilket kunnat användas för att tömma ett offers alla konton,^[34] och för bedrägerier i offrets namn såsom att ta emot Swish-pengar för försäljningar av ej existerande varor.

I september 2018 infördes i Sverige krav på att mobilt-bank-id-appen ska fotografera en QR-kod på datorskärmen, för att säkerställa att dator och mobil befinner sig på samma plats och styrs av samma användare. Detta har nästan helt raderat ut bedrägerier där bedragaren får via telefon ett offer denne att logga in bedragaren.^[35][36]

Se även

• Myndigheten för digital förvaltning (DIGG)

Källor

1. ^ "e-legitimation". NE.se. Läst 12 januari 2015.
2. ^ skatteverket.se, Skatteverket. ”Id-kort”. www.skatteverket.se. https://www.skatteverket.se/idkort. Läst 18 maj 2021. 
3. ^ Beetzen, Kristofer. ”Anslutna tjänster”. Freja eID. https://frejaeid.com/anslutna-tjanster/. Läst 18 maj 2021. 
4. ^ ”Skaffa e-legitimation | Elegitimation”. Digitaliseringsmyndighetens e-leg-sajt. https://www.elegitimation.se/skaffa-e-legitimation. Läst 18 maj 2021. 
5. ^ Bankid på kort Arkiverad 15 juni 2018 hämtat från the Wayback Machine., Finansiell ID-teknik, läst 2017-02-13
6. ^ ”Hur e-legitimationer godkänns inom eIDAS”. Myndigheten för digital förvaltning (DIGG). Arkiverad från originalet den 16 juni 2019. https://archive.today/20190616022738/https://www.elegnamnden.se/eidas/levereratjansterinomeidas/hurelegitimationergodkannsinomeidas.4.4498694515fe27cdbcf102.html. Läst 16 juni 2019. 
7. ^ ”Arkiverade kopian”. Arkiverad från originalet den 13 september 2014. https://web.archive.org/web/20140913145856/http://www.affarsvarlden.se/hem/nyheter/article3816271.ece. Läst 27 juni 2014. 
8. ^ http://www.di.se/artiklar/2014/4/3/norsk-ilska-over-bank-id/
9. ^ https://www.bankid.no/
10. ^ ”Skaffa e-legitimation”. Arkiverad från originalet den 13 maj 2013. https://web.archive.org/web/20130513220019/http://www.e-legitimation.se/Elegitimation/Templates/LogolistPageTypeB.aspx?id=86. Läst 21 september 2013. 
11. ^ E-identitet för offentlig sektor Arkiverad 29 maj 2018 hämtat från the Wayback Machine., Inera accessdatum 2018-05-29
12. ^ Elegitimering som offentlig tjänsteman Arkiverad 29 maj 2018 hämtat från the Wayback Machine., E-legitimationsnämnden, accessdatum 2018-05-29
13. ^ Veckans IT-affärer: Telecomputing säljer av Sterias e-id till Expisoft, Idg.se 2017-02-24]
14. ^ [a b] ”Användning av internet och e-tjänster”. Svenskarna och internet 2022. Internetstiftelsen. https://svenskarnaochinternet.se/rapporter/svenskarna-och-internet-2022/anvandning-av-internet-och-e-tjanster/. Läst 15 november 2022. 
15. ^ ”Försäkringskassan: Om e-legitimation”. https://www.forsakringskassan.se/om-webbplatsen/mina-sidor-och-e-legitimation/om-e-legitimation. 
16. ^ ”Om e-legitimation”. Arkiverad från originalet den 22 september 2013. https://web.archive.org/web/20130922123636/http://www.csn.se/blivande-studerande/ansokan/eleg-1.11634. Läst 21 september 2013. 
17. ^ ”Lag (2000:832) om kvalificerade elektroniska signaturer”. 2 november 2000. Arkiverad från originalet den 24 oktober 2011. https://web.archive.org/web/20111024210006/https://lagen.nu/2000:832#P17S1. Läst 4 februari 2010. 
18. ^ ”Signera med BankID säkert och juridiskt bindande - Oneflow”. Oneflow. 1 oktober 2018. https://oneflow.com/blog/signera-med-bankid/. Läst 8 oktober 2018. 
19. ^ ”EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014”. EUR-LEX. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32014R0910&from=EN. Läst 26 november 2018. 
20. ^ Nu måste skolorna bli bättre på att skydda elevernas personuppgifter på nätet, Computer Sweden 2015-09-29
21. ^ E-legitimationsnämnden, Svensk e-legitimation Arkiverad 11 februari 2017 hämtat från the Wayback Machine., läst 2017-02-10
22. ^ Skatteverket och Sunet i bråk om e-id – studentnätverket utkastat från statlig tjänst, Computer Sweden, 2015-11-30
23. ^ Magnus Kolsjö, Ingen skulle drömma om att låta bankerna utfärdra pass eller bestämma över våra brevinkast Arkiverad 10 december 2015 hämtat från the Wayback Machine., insändare Sydsvenskan 2015-12-04
24. ^ Immigrants blocked from getting Swedish ID, The Local 2007-02-15
25. ^ Trust serviceces and eID, info om eIDAS. EU-kommissionen. Läst 2016-02-09.
26. ^ Eidas Arkiverad 11 november 2016 hämtat från the Wayback Machine., E-legitimationsnämnden. Läst 2016-02-09.
27. ^ [a b] Utländska e-legitimationer i svenska digitala tjänster Arkiverad 10 november 2017 hämtat från the Wayback Machine. (E-legitimationsnämnden)
28. ^ Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG
29. ^ [a b c d e] ”Så skyddar du din e-legitimation”. Internetkunskap. Internetstiftelsen. https://internetkunskap.se/snabbkurser/losenord-och-e-legitimation/sa-skyddar-du-din-e-legitimation/. Läst 8 november 2022. 
30. ^ ”Falska banksamtal stjäl ditt BankID”. 11 maj 2018. Arkiverad från originalet den 12 juni 2018. https://web.archive.org/web/20180612135908/http://www.nsd.se/nyheter/falska-banksamtal-stjal-ditt-bankid-nm4830588.aspx. Läst 8 juni 2018. 
31. ^ ”Bedragarna kapar ditt Bank-ID: Nordea varnar”. Expressen. https://www.expressen.se/dinapengar/sa-kapas-ditt-bank-id-nu-varnar-storbanken/. Läst 8 juni 2018. 
32. ^ Ligor kapar ditt Bank-ID när du betalar räkningar Expressen 27 nov 2017
33. ^ https://it-ord.idg.se/ord/hart-certifikat/
34. ^ Bedragarna tömde Roberts sparkonto på några minuter
35. ^ ”Support for QR codes in the BankID Service”. Finansiell ID-Teknik BID AB. 10 september 2018. Arkiverad från originalet den 26 juli 2019. https://web.archive.org/web/20190726193909/https://www.bankid.com/en/om-oss/nyheter/lansering-av-stod-for-qr-kod-i-bankid-appen. 
36. ^ ”QR-koden gjorde susen – Bankid-bedrägerierna ned med 90 procent”. Computer Sweden. 3 juli 2019. https://computersweden.idg.se/2.2683/1.721024/qr-koden-gjorde-susen--bankid-bedragerierna-ned-med-90-procent. 

Externa länkar

• E-legitimation.se – Informationssajt skapad av utgivare, myndigheter och företag
• FriBID – Inofficiell BankID-klient som är fri programvara
• Logica i samarbete med BankID, Nordea och Telia – Statistik om användning av BankID och e-legitimationer från Nordea och Telia i Sverige.