Swish kan röja hemliga telefonnummer

2016-09-21 06:00 Kalle Wiklund  
Betalappen Swish har 4,7 miljoner användare. Storbankerna har valt olika tekniker för att hemlighålla känslig information om användare med skyddade personuppgifter. Hos Nordea avslöjas namnen på alla användare – även för de som lever under hot. Foto: Jörgen Appelgren

Swish är en av landets hetaste digitala betaltjänster. Nu kan Ny Teknik avslöja att storbanken Nordea röjer namn och telefonnummer till Swish-kunder med skyddad identitet. ”Det här kan i vissa fall utsätta personer som lever under hot för en stor risk”, säger polisen Lennart Stenhammar.

På knappt fyra år har betaltjänsten Swish – som drivs av Sveriges sex största banker i ett gemensamt bolag – lyckats locka till sig 4,7 miljoner användare. Under augusti swishades det drygt 8,2 miljarder kronor mellan användarna.

I marknadsföringen lyfts säkerheten fram som ett tungt argument att börja använda tjänsten: Swish är lika säkert som internet- och mobilbanken. Oavsett om du just ska aktivera tjänsten eller redan skickar och tar emot pengar kan du känna dig helt trygg, går det att läsa på hemsidan.

I dag lever cirka 14 000 svenskar med skyddad identitet, vilket ges till personer som är utsatta för allvarliga hot, trakasserier och hedersrelaterat våld, bland annat. Nordea, en av landets största banker med fyra miljoner privatkunder, röjer känsliga uppgifter om sina Swish-kunder som har skyddad identitet.

För att förstå hur det kan vara möjligt behöver vi först titta närmare på mobilt bank-id, en viktig teknisk del i systemet bakom Swish. Mobilt bank-id kan beskrivas som ett slags e-legitimation, som väl installerat gör det möjligt att använda din smarta mobil som en digital bankdosa. Den som vill göra en överföring via Swish behöver knappa in mottagarens mobilnummer – som är kopplat till dennes mobila bank-id – och beloppet. Som en garanti för att betalningen går till rätt person visas sedan mottagarens namn upp i appen.

Inom Swish-projektet har bankerna ett samarbete om den tekniska infrastrukturen bakom tjänsten, och varje enskild bank har sedan sin egen lösning för kopplingen mellan Swish och mobilt bank-id. Det leder till att det finns skillnader mellan hur bankerna hanterar sina Swish-kunder med skyddad identitet. Exempelvis har Swedbank valt att inte visa upp namnet på dessa kunder i sin Swish-app.

– Den enda information som syns i appen är själva mobilnumret samt ”namn personuppgift skyddad”, säger Carina Winqvist, produktchef för Swish hos Swedbank.

Men på grund av tekniska begränsningar finns det inte samma skydd i Nordeas Swish-system. I praktiken öppnar det för att den som knappar in telefonnumret till en Nordeakund med skyddad identitet kommer att kunna se namnet på den personen direkt i Swish-appen. Och genomförs inte köpet har kunden ingen aning om att namnet blivit avslöjat.

Ansvariga hos Nordea är medvetna om problematiken med detta, men säger att man är tydliga gentemot sina kunder med skyddad identitet om hur systemet fungerar.

– När vi tecknar upp kunder till Nordea Swish är vi tydliga med att kommunicera att deras namn kommer att synas hos motparten, även om kunden i fråga har skyddad identitet, säger Anders Edlund, senior business developer och produktansvarig för Swish hos Nordea.

Vad kan ni göra för att vara ännu tydligare på den fronten?

– Jag tycker att vi är tydliga med den kommunikationen, men det är en utmaning för oss. Många kunder vänder sig till hemsidan för Swish snarare än sin egen bank när de letar information om tjänsten.

Lennart Stenhammar arbetar med brottsofferskydd hos Stockholmspolisen. Han ser allvarligt på uppgifterna om bristerna i Nordeas system.

– Det här kan i vissa fall utsätta personer som lever under hot för en stor risk, särskilt om man har fått sekretessmarkering men inte flyttat, säger han till Ny Teknik.

Även om en person lever med skyddad identitet innebär det inte alltid att man har bytt namn. En av farorna som Lennart Stenhammar ser är att Swish kan missbrukas för att spåra upp hotade Nordea-kunder.

– Den information som är viktigast att hålla hemlig är på vilken plats som personen i fråga bor på eller befinner sig. Det går inte att sudda ut det som finns på internet. Om fel personer får tag i namn och telefonnummer till en person med skyddad identitet kan man sedan göra en sökning på nätet och få fram en gammal adress.

Även Datainspektionen är kritiska till hur Nordea hanterar känsliga personuppgifter i Swish. Efter att Ny Teknik kontaktat myndigheten kan det nu bli aktuellt med en inspektion av storbanken.

– Vi kände inte till detta sedan tidigare, men det är något som vi ska ta i beaktande. Just skyddade personuppgifter ska man alltid ha en hög säkerhet kring. Jag kommer att informera chefen på aktuell enhet, så får vi diskutera vad vi ska göra med informationen, säger Ulrika Bergström, jurist hos Datainspektionen.

Nordea planerar nu att titta på hur många Swish-användare med skyddad identitet man har, samt undersöka vilka åtgärder som behövs för att skydda deras personuppgifter på annat sätt.

Er konkurrent Swedbank har valt att skydda dessa användares namn i Swish-appen. Varför gör ni inte det?

– Delvis handlar det om tekniska förutsättningar, om hur vi kan särskilja flödet för de personer med skyddad identitet, delvis handlar det om utveckling som måste prioriteras och genomföras, säger Anders Edlund hos Nordea.

När kan kunderna förvänta sig att det här är åtgärdat?

– Det kan jag inte svara på i dagsläget eftersom vi ännu inte vet vilka åtgärder som behövs.

 

Vet du mer? Har du fått ditt hemliga telefonnummer röjt på detta sätt? Eller vet du mer om hur detta hanteras hos bankerna? Kontakta Ny Tekniks reporter Kalle Wiklund.

Detta gäller för Swish och personuppgifter

Den 31:a paragrafen i personuppgiftslagen ställer krav på att den som är ansvarig för en tjänst ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter med hänsyn till bland annat de särskilda riskerna som finns, och hur känsliga uppgifterna är. Ju högre känslighet, desto högre krav.

På grund av de regelverk som finns kring motverkande av penningtvätt och finansiering av terrorbrott måste aktörerna inom den finansiella sektorn kunna identifiera sina kunder. I fallet med Swish har man valt att använda mobilt bank-id för att identifiera sina kunder, vilket alltså är en förutsättning för att tjänsten ska få drivas.

Källor: Datainspektionen och Finansinspektionen

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Senaste inom

Debatt