Swish kan röja hemliga telefonnummer

Swish är en av landets hetaste digitala betaltjänster. Nu kan vi avslöja att storbanken Nordea röjer namn och telefonnummer till Swish-kunder med skyddad identitet. ”Det här kan i vissa fall utsätta personer som lever under hot för en stor risk”, säger polisen Lennart Stenhammar.

På knappt fyra år har betaltjänsten Swish – som drivs av Sveriges sex största banker i ett gemensamt bolag – lyckats locka till sig 4,7 miljoner användare. Under augusti swishades det drygt 8,2 miljarder kronor mellan användarna.

I marknadsföringen lyfts säkerheten fram som ett tungt argument att börja använda tjänsten: Swish är lika säkert som internet- och mobilbanken. Oavsett om du just ska aktivera tjänsten eller redan skickar och tar emot pengar kan du känna dig helt trygg, går det att läsa på hemsidan.

I dag lever cirka 14 000 svenskar med skyddad identitet, vilket ges till personer som är utsatta för allvarliga hot, trakasserier och hedersrelaterat våld, bland annat. Nordea, en av landets största banker med fyra miljoner privatkunder, röjer känsliga uppgifter om sina Swish-kunder som har skyddad identitet.

För att förstå hur det kan vara möjligt behöver vi först titta närmare på mobilt bank-id, en viktig teknisk del i systemet bakom Swish. Mobilt bank-id kan beskrivas som ett slags e-legitimation, som väl installerat gör det möjligt att använda din smarta mobil som en digital bankdosa. Den som vill göra en överföring via Swish behöver knappa in mottagarens mobilnummer – som är kopplat till dennes mobila bank-id – och beloppet. Som en garanti för att betalningen går till rätt person visas sedan mottagarens namn upp i appen.

Inom Swish-projektet har bankerna ett samarbete om den tekniska infrastrukturen bakom tjänsten, och varje enskild bank har sedan sin egen lösning för kopplingen mellan Swish och mobilt bank-id. Det leder till att det finns skillnader mellan hur bankerna hanterar sina Swish-kunder med skyddad identitet. Exempelvis har Swedbank valt att inte visa upp namnet på dessa kunder i sin Swish-app.

– Den enda information som syns i appen är själva mobilnumret samt ”namn personuppgift skyddad”, säger Carina Winqvist, produktchef för Swish hos Swedbank.

Men på grund av tekniska begränsningar finns det inte samma skydd i Nordeas Swish-system. I praktiken öppnar det för att den som knappar in telefonnumret till en Nordeakund med skyddad identitet kommer att kunna se namnet på den personen direkt i Swish-appen. Och genomförs inte köpet har kunden ingen aning om att namnet blivit avslöjat.

Ansvariga hos Nordea är medvetna om problematiken med detta, men säger att man är tydliga gentemot sina kunder med skyddad identitet om hur systemet fungerar.

– När vi tecknar upp kunder till Nordea Swish är vi tydliga med att kommunicera att deras namn kommer att synas hos motparten, även om kunden i fråga har skyddad identitet, säger Anders Edlund, senior business developer och produktansvarig för Swish hos Nordea.

Vad kan ni göra för att vara ännu tydligare på den fronten?

– Jag tycker att vi är tydliga med den kommunikationen, men det är en utmaning för oss. Många kunder vänder sig till hemsidan för Swish snarare än sin egen bank när de letar information om tjänsten.

Lennart Stenhammar arbetar med brottsofferskydd hos Stockholmspolisen. Han ser allvarligt på uppgifterna om bristerna i Nordeas system.

– Det här kan i vissa fall utsätta personer som lever under hot för en stor risk, särskilt om man har fått sekretessmarkering men inte flyttat, säger han till Ny Teknik.

Även om en person lever med skyddad identitet innebär det inte alltid att man har bytt namn. En av farorna som Lennart Stenhammar ser är att Swish kan missbrukas för att spåra upp hotade Nordea-kunder.

– Den information som är viktigast att hålla hemlig är på vilken plats som personen i fråga bor på eller befinner sig. Det går inte att sudda ut det som finns på internet. Om fel personer får tag i namn och telefonnummer till en person med skyddad identitet kan man sedan göra en sökning på nätet och få fram en gammal adress.

Även Datainspektionen är kritiska till hur Nordea hanterar känsliga personuppgifter i Swish. Efter att Ny Teknik kontaktat myndigheten kan det nu bli aktuellt med en inspektion av storbanken.

– Vi kände inte till detta sedan tidigare, men det är något som vi ska ta i beaktande. Just skyddade personuppgifter ska man alltid ha en hög säkerhet kring. Jag kommer att informera chefen på aktuell enhet, så får vi diskutera vad vi ska göra med informationen, säger Ulrika Bergström, jurist hos Datainspektionen.

Nordea planerar nu att titta på hur många Swish-användare med skyddad identitet man har, samt undersöka vilka åtgärder som behövs för att skydda deras personuppgifter på annat sätt.

Er konkurrent Swedbank har valt att skydda dessa användares namn i Swish-appen. Varför gör ni inte det?

– Delvis handlar det om tekniska förutsättningar, om hur vi kan särskilja flödet för de personer med skyddad identitet, delvis handlar det om utveckling som måste prioriteras och genomföras, säger Anders Edlund hos Nordea.

När kan kunderna förvänta sig att det här är åtgärdat?

– Det kan jag inte svara på i dagsläget eftersom vi ännu inte vet vilka åtgärder som behövs.

 

TEXT: Kalle Wiklund

Detta gäller för Swish och personuppgifter

Den 31:a paragrafen i personuppgiftslagen ställer krav på att den som är ansvarig för en tjänst ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter med hänsyn till bland annat de särskilda riskerna som finns, och hur känsliga uppgifterna är. Ju högre känslighet, desto högre krav.

På grund av de regelverk som finns kring motverkande av penningtvätt och finansiering av terrorbrott måste aktörerna inom den finansiella sektorn kunna identifiera sina kunder. I fallet med Swish har man valt att använda mobilt bank-id för att identifiera sina kunder, vilket alltså är en förutsättning för att tjänsten ska få drivas.

Källor: Datainspektionen och Finansinspektionen

Dela:

Kommentera artikeln

I samarbete med Ifrågasätt Media Sverige AB (”Ifrågasätt”) erbjuder Afv möjlighet för läsare att kommentera artiklar. Det är alltså Ifrågasätt som driver och ansvarar för kommentarsfunktionen. Afv granskar inte kommentarerna i förväg och kommentarerna omfattas inte av Affärsvärldens utgivaransvar. Ifrågasätts användarvillkor gäller.

Grundreglerna är:

  • Håll dig till ämnet
  • Håll en respektfull god ton

Såväl Ifrågasätt som Afv har rätt att radera kommentarer som inte uppfyller villkoren.



OBS: Ursprungsversionen av denna artikel publicerades på en äldre version av www.affarsvarlden.se. I april 2020 migrerades denna och tusentals andra artiklar över till Affärsvärldens nya sajt från en äldre sajt. I vissa fall har inte alla delar av vissa artiklar följt på med ett korrekt sätt. Det kan gälla viss formatering, tabeller eller rutor med tilläggsinfo. Om du märker att artikeln verkar sakna information får du gärna mejla till webbredaktion@affarsvarlden.se.
Annons från Alligator Bioscience
Annons från VECKANS FÖRETAG