E-legitimation har förenklat och förändrat vår vardag i grunden. Men med tekniken och den ökade digitaliseringen i samhället ställs vi också inför nya utmaningar, både när det gäller säkerhet och utanförskap.
Betala räkningarna i mobilen med några få knapptryck. Swisha en kompis för halva krognotan. Deklarera, signera olika ansökningar eller logga in på vårdtjänster.
I vårt allt mer digitaliserade samhälle har många av vardagens måsten flyttat ut på nätet och in i våra smarta mobiler. Och navet för all de här nya bekvämligheterna, som snabbt har blivit självklarheter, är e-legitimationen. Den är vårt digitala id-kort som hjälper oss att identifiera oss mot alla de här nätbaserade tjänsterna.
– Digitala samhällstjänster bygger ju mångt och mycket på att man ska kunna identifiera sig och signera digitalt. Därför är de oumbärliga för att vi ska kunna fortsätta accelerera utvecklingen kring digitala samhällstjänster i Sverige, säger Jannike Tillå, affärsområdes- och kommunikationschef på Internetstiftelsen.
Avgörande med fastställd identitet
Men vad är det då som skiljer en e-legitimation från ett lösenord? Det handlar om flera saker, och inte bara tekniken bakom inloggningen.
Ett lösenord är inte fastställd till en särskild identitet. Det säkerställer alltså inte att just du är du. Det innebär att när någon skapar ett konto med användarnamn och lösenord, till exempel på Facebook, ett forum eller någon annan nättjänst, så säkerställs aldrig identiteten på den som skapar kontot. I praktiken kan alltså vem som helst utge sig för att vara någon annan och skapa ett konto i den personens namn. Till exempel ditt.
Ett användarkonto som kräver identifiering via e-legitimation säkerställer att det är just du som skapar eller loggar in på kontot. Det kan ingen annan göra i ditt ställe, utan att bryta mot lagen.
Skillnaden mellan att identifiera sig med en e-legitimation eller med ett lösenord handlar i grunden alltså om hur man från början säkerställer att just du är du – eller inte. Och att en e-legitimation är kopplad till en fastställd identitet säkerställs genom att det kontrolleras grundligt av utgivaren första gången de ger ut e-legitimationen.
Varje person som bor i Sverige och får ett personnummer har en identitet, som staten ansvarar för. För att få skaffa till exempel ett Bank-id så måste du ha ett personnummer och vara kund i en utgivarbank. Det är sedan utgivarens ansvar att fastställa din identitet, innan utgivning av e-legitimationen kan ske.
Det är alltid en utmaning första gången, konstaterar Andreas Bergqvist, säkerhetschef på Finansiell id-teknik, företaget som ligger bakom Bank-id:
– Den som har ett Bank-id har någon gång varit inne på ett kontor med en id-handling. Bankerna har ett bankgemensamt regelverk hur en kontroll av fysisk id-handling ska utföras för att verifiera att du är du på ett säkert sätt. Det handlar om allt ifrån att känna på själva id-handlingen och verifiera din underskrift till skyldigheten att ringa utgivaren av id-kortet.
Flera utgivare bakom e-legitimationerna
I Sverige har vi flera utgivare som erbjuder e-legitimation med kvalitetsmärkningen Svensk e-legitimation, vilket betyder att de har granskats och godkänts av staten.
Allra vanligast i Sverige är Bank-id, den e-legitimation som ges ut av 10 av Sveriges banker. Den allra första Bank-id-legitimationen utfärdades redan 2003 och i dag har nästan alla svenskar mellan 18 och 67 år ett bank-id.
För att skaffa Bank-id krävs att du är kund i någon av de anslutna bankerna och det är hos någon av dem du beställer e-legitimationen. Ansökningsprocessen ser olika ut hos de olika bankerna och de sätter också sina egna ålderskrav. Men den som är under 18 år måste ha tillstånd av sin vårdnadshavare.
Bank-id finns i tre olika varianter. Mobilt Bank-id är numera vanligast, alltså e-legitimationen som app i mobilen eller surfplattan. Men det går också att ha på ett kort med en kortläsare eller i en app i ens dator.
Viktigt att inse värdet
När du väl har din e-legitimation är det viktigt att du ser på den för vad den är – en värdehandling som du behöver skydda precis som du skyddar en fysisk värdehandling eller egendom.
Det är inte lagligt att använda någon annans Bank-id.
Andreas Bergqvist, säkerhetschef på BankID.
– Det här är väldigt viktigt att förstå. Att medvetet lämna ut sitt Bank-id till någon annan är dels ett avtalsbrott mot tjänsten. Men att använda någon annans Bank-id är också en brottslig handling enligt brottsbalken. Det är inte lagligt att använda någon annans Bank-id. Punkt slut, säger Andreas Bergqvist.
Ökade och förbättrade säkerhetsrutiner har gjort det svårare för bedragarna att missbruka någon annans Bank-id, det som förut framför allt handlade om att lura av andra människors bankdosekoder.
Bedragarna försöker numera i stället ofta att få offren att överföra pengar till bedragarna. Det kan handla om allt ifrån romansbedrägerier och investeringsbedrägerier till det som kallas "Blocketbedrägerier", men som rymmer många liknande bedrägerier.
– Man låter användaren göra hela jobbet. Det är inte Bank-id som är problemet utan hur man hanterar det. Offret använder sitt Bank-id och för över pengar till vad de tror är sitt livs kärlek, den där fantastiska investeringen eller första hyra på en studentlägenhet, säger Andreas Bergqvist.
Stress gör oss mer sårbara
Mycket kommer ur att vi inte alltid har samma förståelse för att vi kan bli lurade över internet. I den fysiska världen är vi mer vana och har ett större försiktighetstänk.
Ofta ser bedragarna till att situationen upplevs brådskande.
Andreas Bergqvist, säkerhetschef på BankID.
– Du ger inte en person klädd som en hantverkare dina husnycklar, bara för att personen kommer fram till dig och säger att du har en vattenläcka i ditt hus som personen ska fixa. Men i den digitala världen är vi mer benägna att bli lurade. Någon ringer och säger att de är från banken, polisen eller en myndighet och ber dig att identifiera dig med en bankdosa, säger Andreas Bergqvist.
Ofta ser bedragarna också till att situationen upplevs brådskande. Att man som offer är stressad gör att man riskerar att tappa sitt säkerhetstänk i stunden, och därmed bli lurad.
Så länge du använder din e-legitimation korrekt så är användningen av e-legitimation helt säker. Problemet är att det finns andra aspekter. Du som användare kan till exempel luras att använda din e-legitimation felaktigt eller att ge över din e-legitimation till en bedragare.
Tekniken bakom e-legitimationerna uppdateras ständigt. Enligt Andreas Bergqvist ligger till exempel Bank-id långt före utvecklingen jämfört med vad en bedragare kan åstadkomma rent tekniskt.
– I dag är det inte en fråga om att attackera tekniken utan man attackerar användarna. Här är bedragarna kreativa, anpassar sig till vad som händer i samhället och de ger sig också ofta på de svagaste i samhället. Ofta äldre eller till exempel nysvenskar, säger Andreas Bergqvist.
Så skyddar du ditt Bank-id
- Kom ihåg att Bank-id är en värdehandling.
- Bank-id är en personlig e-legitimation, precis på samma sätt som till exempel ditt pass. Du behöver därför alltid hantera ditt Bank-id på ett säkert sätt.
- Var alltid vaksam på om något ser annorlunda ut än vanligt när du loggar in.
- Ge aldrig någon annan person tillgång till ditt Bank-id.
- Använd aldrig ditt Bank-id på uppmaning av någon annan person. De myndigheter, banker, polis eller företag som erbjuder Bank-id kontaktar dig aldrig via telefon, mail eller liknande för att uppmana dig att logga in eller ladda ner nytt Bank-id.
- Läs alltid den text som visas i Bank-id-appen eller Bank-id-programmet när du identifierar dig eller skriver under. Den ska alltid stämma överens med den aktör du agerar mot. Läs också alltid igenom hela underskriftstexten vid underskrift, och skriv aldrig under något du inte känner igen.
Källa: BankID.
Så gör du om du utsätts för bedrägeri
- Spärra ditt Bank-id
- Kontakta din bank
- Gör en polisanmälan
Läs mer om hur du går tillväga om du utsatts för bedrägeri i vår guide "Jag har loggat in med mitt Bank-id eller e-legitimation på uppmaning av nån annan".
Säkerhetsnivån styr användningsområdet
Men bara för att du har skaffat en e-legitimation betyder det inte att du kan nå alla de digitala tjänster du vill komma åt. Det beror nämligen på hur säker din e-legitimation är – och hur känslig information som finns på e-tjänsten du vill logga in på.
Hur säker och tillförlitlig en e-legitimation är graderas med det som kallas tillitsnivåer. I Sverige har vi fyra olika tillitsnivåer, 1, 2, 3 och 4, och ju högre tillitsnivå en viss e-legitimation har desto säkrare är den. Med den lägsta tillitsnivån, nivå 1, identifieras du genom exempelvis e-postadress och lösenord och din identitet styrks alltså inte alls. Här handlar det trots namnet inte om någon tillit till identiteten men det sätts viss tilltro till att det är samma individ genom de återkommande inloggningarna.
I Sverige är det Digg, Myndigheten för digital förvaltning, som godkänner och granskar e-legitimationer efter tillitsnivåerna 2, 3 och 4. Det här ger e-legitimationerna en kvalitetsmärkning och säkerställer att alla utgivare mäts mot samma parametrar. Nivåerna definieras av Digg i ett ramverk som den som ger ut en svensk e-legitimation mäts emot. Bank-id uppfyller den tredje och näst högsta tillitsnivån. Det gör också den konkurrerande e-legitimationen Freja e-id+. E-legitimationen "Svenska pass" uppfyller den fjärde och högsta tillitsnivån.
– Hela jobbet att bevisa att man når upp till tillitsnivåerna ligger på e-legitimationsutfärdaren. Man kan till exempel få hemläxor innan man blir godkänd. Man måste också ha en viss verksamhet igång innan vi granskar och godkänner, säger Eva Sartorius, specialist inom digital identitet på Digg.
Utmaningar med gapet
I Sverige har vi en vision om att vi ska ta tillvara på digitaliseringens möjligheter. E-legitimationerna gör det möjligt att driva på den digitaliseringen och den förenklar också vardagen för de allra flesta.
Men inte för alla. Och för dem som står utanför blir gapet snabbt stort och bygger ett digitalt utanförskap, en utmaning som lyfts i Internetstiftelsens rapport "Svenskarna och internet".
– Det finns målgrupper som inte har alla verktygen med sig, till exempel för att kunna hantera just en e-legitimation. Det kan bero på att man inte har svenskt personnummer, att man inte har de digitala färdigheterna eller att man har en funktionsnedsättning som gör att man inte klarar det. Det är så klart en utmaning, säger Jannike Tillå.
Det blev inte minst tydligt under pandemin när många av vardagens måsten till stor del flyttade ut på nätet. Särskilt uppenbart blev det här under de första faserna av vaccineringen mot Covid-19. Flera regioner saknade telefonbokning eller uppmanade invånarna att i första hand boka sin vaccinering via webben, vilket då krävde e-legitimation. Samtidigt var vaccineringen fokuserad på de allra äldsta i samhället, där det fortfarande finns flera invånare som saknar kunskapen och de tekniska verktygen som behövs.
Viktigt med alternativ – och hjälp
Det sätter fokus på en väldigt viktig aspekt, konstaterar Jannike Tillå. Det måste finnas alternativa vägar att gå vid sidan av den digitala vägen med identifiering via e-legitimation. Annars riskerar människor som av olika anledningar inte har tillgång till e-legitimation att stå utanför avgörande samhällsfunktioner.
Det måste finnas alternativa vägar att gå vid sidan av den digitala vägen med identifiering via e-legitimation.
Jannike Tillå, affärsområdes- och kommunikationschef på Internetstiftelsen.
– Annars får vissa människor inte tillgång till samma infrastruktur och möjligheten att nyttja samma tjänster. Om du inte erbjuds att boka vaccin via telefon, ja då står du utanför möjligheten att boka tid för vaccin. Eller att boka ett läkarbesök. Det gäller både digitala samhällstjänster men även e-handel och andra tjänster som inte är kopplade till det offentliga, säger Jannike Tillå.
I Internetstiftelsens rapport Svenskarna och internet 2020 syns tydligt att digitaliseringen har accelererat i många grupper under pandemin. Nästan alla i samhället gör mer digitalt, oavsett hur digital man var före pandemin. Det betyder också att vi har många i samhället som knappt har använt internet tidigare men som nu börjar göra det mer och till fler tjänster.
– Många av oss har kanske glömt hur det var från början. Är man ensam och inte har någon i ens närhet som kan hjälpa en blir det väldigt svårt att ta sina första digitala steg. Här behöver vi hitta samverkan mellan olika aktörer, mellan näringsliv och det offentliga. Vi behöver inse att vissa människor måste kunna gå och få hjälp av någon, säger Jannike Tillå.
