BankID er tuftet på tillit og sikkerhet

Av Øyvind Westby Brekke, administrerende direktør i Stø AS

La det være helt klart: BankID er utviklet for å møte de strengeste kravene til sikkerhet og etterlevelse. Det er ikke påvist sikkerhetsbrister i form av tekniske sårbarheter i BankID-løsningen. BankID er, og har vært, trygg å bruke og til å stole på gjennom mer enn tjue år. Dette skyldes blant annet at BankID kun utstedes etter fysisk oppmøte og grundig ID-kontroll. Alle som har fått utstedt en BankID, har vist gyldig legitimasjon med fysisk oppmøte.

Etter en omfattende gjennomgang av dagens rutiner, mener både Stø og bankene at BankID tilfredsstiller alle krav i regelverket (identifikasjonsnivåforskriften) for å være en eID på høyeste sikkerhetsnivå. Vi har nylig levert dokumentasjon til myndighetene som etter vårt syn viser dette.
Nå ønsker jeg også å oppklare enkelte misforståelser og uklarheter som har versert i media og diverse kommentarfelt den siste tiden.

Alle funn fra 2022 er fulgt opp

I flere medieoppslag påstås det at BankID har kjent til et «sikkerhetshull» siden 2022. Det er misvisende. I 2022 ble BankID-ordningen vurdert av en gruppe eksperter i EU, kjent som fagfellenettverket. Denne gjennomgangen ble initiert av Digitaliseringsdirektoratet. Fagfellenettverket vurderte at BankID oppfylte kravene til sikkerhetsnivå «høyt».
Fagfellenettverket pekte imidlertid på fem funn («findings») som Norge ble forpliktet til å følge opp. BankIDs kommentarer til disse fem funnene er gjengitt i vurderingen. Fire av funnene ble utbedret av BankID etter relativt kort tid. Det siste funnet, som omhandlet aktivering av BankID-app med SMS og e-post, er nå også adressert denne våren. Vi anser dermed alle de fem funnene fra fagfellenettverket som utbedret. Rutiner for utlevering av kodebrikker ble ikke problematisert i fagfellevurderingen.

Svindel skjer først og fremst ved bruk

Gjennom to tiår har BankID bidratt til store digitaliseringsgevinster for folk og bedrifter i Norge. Men digitaliseringsmedaljen har også en bakside. Svindel har blitt et samfunnsproblem, og som leverandør av Norges mest brukte eID har vi et ansvar for å bidra i kampen mot de kriminelle.

Derfor jobber vi hver eneste dag for å bekjempe svindel der den faktisk skjer, og det er først og fremst i forbindelse med bruk, gjennom sosial manipulering, trusler eller phishing. Vi har blant annet investert tungt i et nytt og moderne antisvindelsystem, som varsler om mistenkelig bruk og kan bidra til å stoppe svindel før den kan gjennomføres. Finanstilsynets svindelstatistikk for 2025 viser en nedgang på hele 22 prosent i samlede svindeltap sammenlignet med året før. Vi begynner dermed å se gevinstene fra svindelforebyggende tiltak i bankene, hos teleoperatører og BankID, men arbeidet er langt fra ferdig. Og med mer samarbeid og datadeling på tvers av aktører og sektorer, vil vi kunne bidra enda mer.

Gode kontrollmekanismer for kodebrikker

Svindelrisikoen ved utsendelse av kodebrikker er derimot liten. Alle som eier en BankID har allerede gjennomført et fysisk oppmøte før de får kodebrikken utlevert i bankfilial eller sendt til folkeregistrert adresse. En kodebrikke som stjeles fra en postkasse gir liten verdi for en svindler uten passord. Bankene har også de siste årene etablert tilleggsrutiner som kontrollerer at det er riktig person som tar kodebrikken i bruk. Alle banker varsler kunden ved utsendelse, sender til folkeregistrert adresse, sender passord separat og krever aktiv bestilling. Mange lag av kontrollmekanismer er altså allerede på plass.
Regelverket stiller ikke krav til hvordan denne kontrollen skal skje, og det er ikke eksplisitte krav til fysisk oppmøte i forbindelse med utlevering av kodebrikken, slik det kan fremstå fra enkelte medieoppslag. Bankene og Stø vurderer at dagens praksis er sikker og trygg og i tråd med regelverket.

Vi arbeider kontinuerlig med å forbedre sikkerhet og rutiner

Når Nasjonal kommunikasjonsmyndighet (Nkom) likevel mener at vi må endre måten kodebrikker sendes ut på, så er vi enige i det og iverksetter tiltak. Vi ser imidlertid på disse tiltakene som en del av det kontinuerlige arbeidet med å forbedre rutinene rundt BankID, og ikke som tiltak som følger av direkte krav i regelverket.
Vi innfører nå en ny rutine som innebærer fysisk oppmøte også for å motta kodebrikker, for de som av ulike grunner ikke kan bruke app. Vi vil også utvikle en løsning hvor man kan gjennomføre digital ID-sjekk for å aktivere en kodebrikke, og man kan da få hjelp på en sikker måte fra et familiemedlem eller venn dersom man ikke får det til selv.
Videre har vi også skrudd av muligheten for å aktivere BankID-appen med kodebrikke. I tillegg deaktiverer vi kodebrikker som ikke har vært benyttet på lang tid, og mange BankID-brukere blir i disse dager bedt om å identifisere seg på nytt i appen.

Regelverket gir rom for ulike måter å gjennomføre denne kontrollen på ved utstedelse og aktivering, og vi mener at kravene til høyeste sikkerhetsnivå er godt ivaretatt. Her finnes det ingen svar med to streker under i regelverket – det handler om å vurdere hva som er sikkert nok, og da er det rom for tolkning.
Vårt ansvar som leverandør av samfunnsviktig infrastruktur handler imidlertid også om digital inkludering og det å sikre trygg og enkel tilgang til digitale tjenester. Det er spesielt viktig å ivareta de mest sårbare gruppene. Vi gjennomfører derfor disse sikkerhetsforbedringene i et forsvarlig tempo, og på en måte som ikke skaper digitalt utenforskap.

Fortsatt på høyeste sikkerhetsnivå

Inntil videre skjer det ingen endringer i det formelle sikkerhetsnivået til BankID. Myndighetene skal nå vurdere Støs og bankenes redegjørelse for hvordan tjenesten oppfyller kravene, og vi har tillit til at de gjør en grundig vurdering av materialet vi har sendt dem. Vi ønsker et godt og konstruktivt samarbeid framover.
Vi er glade for at digitaliserings- og forvaltningsministeren har avklart at det vil være grundige prosesser for å vurdere dokumentasjonen, og at Stø deretter vil varsles og gis mulighet til å uttale seg. Statsråden har også fremhevet at eventuelle klager skal behandles grundig i departementet, og at i hele denne perioden kan Stø og bankene arbeide med å forbedre rutinene. Med andre ord vil ingen endringer skje over natten. Dette er viktig for å skape trygghet for folk, offentlige etater og bedrifter.

BankID har blitt en viktig del av det norske samfunnet, med 4,7 millioner brukere og en sentral rolle i alt fra finanssektoren til helse og velferd. Og la det ikke være noen tvil: Vårt klare mål er å fortsette å levere BankID på høyeste sikkerhetsnivå.

Innlegget står også på Altinget