.FILE
Bilden visar en man som arbetar med sin dator och mobiltelefon.

Hur säker är din e-legitimation?

E-legitimation har förenklat och förändrat vår vardag i grunden. Men med tekniken och den ökade digitaliseringen i samhället ställs vi också inför nya utmaningar både när det gäller säkerhet och utanförskap.

Hur kan jag undvika att bli lurad av nätfiske?

Andelen svenskar som har blivit uppringda och utsatta för försök till så kallade vishing-bedrägerier har ökat lavinartat de senaste 10 åren. Bedrägerierna är toppen på det isberg som populärt kallas nätfiske.

Betala räkningarna i mobilen med några få knapptryck. Swisha en kompis för halva krognotan. Deklarera, signera olika ansökningar eller logga in på vårdtjänster.

I vårt allt mer digitaliserade samhälle har många av vardagens måsten flyttat ut på nätet och in i våra smarta telefoner. Och navet för all den här nya bekvämligheten som snabbt har blivit självklarheter är e-legitimationen. Den är vårt digitala id-kort som hjälper oss att identifiera oss mot alla de här nätbaserade tjänsterna. 

– Digitala samhällstjänster bygger ju mångt och mycket på att man ska kunna identifiera sig och signera digitalt. Därför är de oumbärliga för att vi ska kunna fortsätta accelerera utvecklingen kring digitala samhällstjänster i Sverige, säger Jannike Tillå, affärsområdes- och kommunikationschef på Internetstiftelsen.  

Jannike Tillå, affärsområdes- och kommunikationschef på Internetstiftelsen.

Avgörande med fastställd identitet

Men vad är det då som skiljer en e-legitimation från ett lösenord? Det handlar om flera saker, och inte bara tekniken bakom inloggningen. 

Ett lösenord är inte fastställd till en särskild identitet. Det säkerställer alltså inte att just du är du. Det innebär att när någon skapar ett konto med användarnamn och lösenord, till exempel på Facebook, ett forum eller någon annan nättjänst så säkerställs aldrig identiteten på den som skapar kontot. I praktiken kan alltså vem som helst utge sig för att vara någon annan och skapa ett konto i hens namn. Till exempel ditt.  

Ett användarkonto som å sin sida kräver identifiering via e-legitimation säkerställer att det är just du som skapar eller loggar in på kontot. Det kan ingen annan göra i ditt ställe, utan att bryta mot lagen. 

Skillnaden mellan att identifiera sig med en e-legitimation eller med ett lösenord handlar i grunden alltså hur man från början säkerställer att just du är du – eller inte. Och att en e-legitimation är kopplad till en fastställd identitet säkerställs genom att det kontrolleras grundligt av utgivaren första gången man ger ut e-legitimationen.  

Varje person som bor i Sverige och får ett personnummer har en identitet, som staten ansvarar för. För att få skaffa till exempel ett bank-id så måste du ha ett personnummer och vara kund i en utgivarbank. Det är sedan utgivarens ansvar att fastställa identiteten, innan utgivning av e-legitimationen kan ske. 

Det är alltid en utmaning första gången, konstaterar Andreas Bergqvist, säkerhetschef på BankID: 

– Den som har ett bank-id har någon gång varit inne på ett kontor med en ID-handling. Bankerna har ett bankgemensamt regelverk hur en kontroll av fysisk ID-handling skall utföras för att verifiera att du är du på ett säkert sätt. Det handlar om allt ifrån att känna på själva ID-handlingen och verifiera din underskrift till skyldigheten att ringa utgivaren av ID-kortet. 

Andreas Bergqvist, säkerhetschef på BankID.

Flera utgivare bakom e-legitimationerna

I Sverige har vi flera aktörer som erbjuder e-legitimation med kvalitetsmärkningen Svensk e-legitimation, vilket betyder att de har granskats och godkänts av staten. 

Allra vanligast i Sverige är BankID, den e-legitimation som ges ut av 10 av Sveriges banker. Den allra första bank-id-legitimationen utfärdades redan 2003 och i dag har nästan alla svenskar mellan 18 och 67 år ett bank-id.

För att skaffa bank-id krävs att du är kund i någon av de anslutna bankerna och det är hos någon av dem du beställer e-legitimationen. Ansökningsprocessen ser olika ut hos de olika bankerna och de sätter också sina egna ålderskrav. Men den som är under 18 måste ha tillstånd av sin vårdnadshavare.  

Bank-id finns i tre olika varianter. Mobilt bank-id är numera vanligast, alltså e-legitimationen som app i mobiltelefonen eller läsplattan. Men det går också att ha på ett kort med en kortläsare eller i ett program i ens dator. 

Viktigt att inse värdet 

När du väl har din e-legitimation är det viktigt att se på den för vad det är, en värdehandling som du behöver skydda precis som du skyddar en fysisk värdehandling eller egendom.   

Det är inte lagligt att använda någon annans bank-id.

Andreas Bergqvist, säkerhetschef på BankID.

– Det här är väldigt viktigt att förstå. Att medvetet lämna ut sitt bank-id till någon annan är dels ett avtalsbrott mot tjänsten. Men att använda någon annans bank-id är också en brottslig handling enligt brottsbalken. Det är inte lagligt att använda någon annans bank-id. Punkt slut, säger Andreas Bergqvist. 

Ökade och förbättrade säkerhetsrutiner har gjort det svårare för bedragarna att kapa någon annans bank-id, det som förut framför allt handlade om att lura av andra människors bankdosekoder.  

Bedragarna försöker numera i stället ofta att få offren att överföra pengar till bedragarna. Det kan handla om allt ifrån romansbedrägerier och investeringsbedrägerier till det som kallas “Blocketbedrägerier”, men som rymmer många liknande bedrägerier.  

– Man låter användaren göra hela jobbet. Det är inte bank-id som är problemet utan hur man hanterar det. Offret använder sitt bank-id och för över pengar till vad de tror är sitt livs kärlek, den där fantastiska investeringen eller första hyra på en studentlägenhet, säger Andreas Bergqvist. 

Stress gör oss mer sårbara 

Mycket kommer ur att vi inte alltid har samma förståelse för att vi kan bli lurade över internet. I den fysiska världen är vi mer vana och har ett större försiktighetstänk. 

Ofta ser bedragarna till att situationen upplevs brådskande.

Andreas Bergqvist, säkerhetschef på BankID.

– Du ger inte person klädd som en hantverkare dina husnycklar, bara för att personen kommer fram till dig och säger att du har en vattenläcka i ditt hus som personen ska fixa. Men i den digitala världen är vi mer benägna att bli lurade. Någon ringer och säger att de är från banken, polisen eller en myndighet och ber dig att identifiera dig med en bankdosa, säger Andreas Bergqvist. 

Ofta ser bedragarna också till att situationen upplevs brådskande. Att man som offer är stressad gör att man riskerar att tappa sitt säkerhetstänk i stunden, och därmed riskera att bli lurad.  
 
Så länge du använder din e-legitimation korrekt så är användningen av e-legitimation helt säker. Problemet är att det finns andra aspekter. Du som användare kan till exempel luras att använda din e-legitimation felaktigt eller att ge över din e-legitimation till en bedragare. 

Så undviker du att bli utsatt för kortbedrägerier

Varför råna banker eller personer när man enkelt kan stjäla pengar på nätet? Privata kortuppgifter är hårdvaluta för kriminella. Men det går att undvika att bli deras byte.

Tekniken bakom e-legitimationerna uppdateras ständigt. Enligt Andreas Bergqvist ligger till exempel bank-id långt före utvecklingen jämfört med vad en bedragare kan åstadkomma rent tekniskt.   

– I dag är det inte en fråga om att attackera tekniken utan man attackerar användarna. Här är bedragarna kreativa, anpassar sig till vad som händer i samhället och de ger sig också ofta på de svagaste i samhället. Ofta äldre eller till exempel nysvenskar, säger Andreas Bergqvist. 

Så skyddar du ditt bank-id 

  1. Kom ihåg att bank-id är en värdehandling.
  2. Bank-id är en personlig e-legitimation, precis på samma sätt som till exempel ditt pass. Du behöver därför alltid hantera ditt bank-id på ett säkert sätt.
  3. Var alltid vaksam på om något ser annorlunda ut än vanligt när du loggar in.
  4. Ge aldrig någon annan person tillgång till ditt bank-id.
  5. Använd aldrig ditt bank-id på uppmaning av någon annan person. De myndigheter, banker, polis eller företag som erbjuder bank-id kontaktar dig aldrig via telefon, mail eller liknande för att uppmana dig att logga in på eller ladda ner nytt bank-id.
  6. Läs alltid den text som visas upp i bank-id-appen eller bank-id-programmet när du identifierar dig eller skriver under. Den ska alltid stämma överens med den aktör du agerar mot. Läs också alltid igenom hela underskriftstexten vid underskrift, och skriv aldrig under något du inte känner igen.

Källa: BankID.

Så gör du om du utsätts för bedrägeri 

  • Spärra ditt bank-id
  • Kontakta din bank
  • Gör en polisanmälan

Källa: BankID.

Säkerhetsnivån styr användningsområdet  

Men bara för att du har skaffat en e-legitimation betyder det inte att du kan nå alla de digitala tjänster du vill komma åt. Det beror nämligen på hur säker din e-legitimation är – och hur känslig information som finns på en e-tjänst du vill logga in på.  

Hur säker och tillförlitlig en e-legitimation är graderas genom att titta på vilken grad av tillit den har. Det kallas tillitsnivåer. I Sverige har vi fyra olika tillitsnivåer, 1, 2, 3 och 4, och ju högre tillitsnivå en viss e-legitimation har desto säkrare är den. Med den första tillitsnivån, nivå 1, identifieras du genom exempelvis e-postadress och lösenord och användarens identitet styrks alltså inte alls. Här handlar det trots namnet inte om någon tillit till identiteten men man sätter viss tilltro till att det är samma individ genom de återkommande inloggningarna.  

I Sverige är det DIGG, Myndigheten för digital förvaltning, som godkänner och granskar e-legitimationer efter tillitsnivåerna 2, 3 och 4. Det här ger e-legitimationerna en kvalitetsmärkning och säkerställer att alla aktörerna mäts mot samma parametrar. Nivåerna definieras av DIGG i ett ramverk som den som tillhandahåller en svensk e-legitimation mäts emot. För att nå sin nivå gör man en avgiftsfri ansökan hos DIGG.  

– Hela jobbet att bevisa att man når upp till tillitsnivåerna ligger på e-legitimationsutfärdaren. Man kan till exempel få hemläxor innan man blir godkänd. Man måste också ha en viss verksamhet igång innan vi granskar och godkänner, säger Eva Sartorius, specialist inom digital identitet på DIGG. 

Eva Sartorius, specialist inom digital identitet på DIGG.

Utmaningar med gapet 

I Sverige har vi en vision att vi ska ta tillvara på digitaliseringens möjligheter. E-legitimationerna gör det möjligt att driva på den digitaliseringen och den förenklar också vardagen för de allra flesta.  

Men inte för alla. Och för dem som står utanför blir gapet snabbt stort och bygger ett digitalt utanförskap, en utmaning som lyfts i Internetstiftelsens rapport “Svenskarna och internet”.  

– Det finns målgrupper som inte har alla verktygen med sig, till exempel för att kunna hantera just en e-legitimation. Det kan bero på att man inte har svenskt personnummer, att man inte har de digitala färdigheterna eller att man har en funktionsnedsättning som gör att man inte klarar det. Det är så klart en utmaning, säger Jannike Tillå.  

Det blev inte minst tydligt under pandemin när många av vardagens måsten till stor del flyttade ut på nätet. Särskilt uppenbart blev det här under de första faserna av vaccineringen mot Covid-19. Flera regioner saknade telefonbokning eller uppmanade invånarna att i första hand boka sin vaccinering via webben, vilket då kräver BankID, Telia e-legitimation eller Freja eID Plus. Samtidigt var vaccineringen fokuserad på de allra äldsta i samhället, där det fortfarande finns flera invånare som saknar kunskapen och de tekniska hjälpmedlen som behövs.   

Viktigt med alternativ – och hjälp 

Det sätter fokus på en väldigt viktig aspekt, konstaterar Jannike Tillå. Det måste finnas alternativa vägar att gå vid sidan av den digitala vägen med identifiering via e-legitimation. Annars riskerar människor som av olika anledningar inte har tillgång till e-legitimation att stå utanför avgörande samhällsfunktioner.    

Det måste finnas alternativa vägar att gå vid sidan av den digitala vägen med identifiering via e-legitimation.

Jannike Tillå, affärsområdes- och kommunikationschef på Internetstiftelsen.

– Annars får vissa människor inte tillgång till samma infrastruktur och möjligheten att nyttja samma tjänster. Om du inte erbjuds att boka vaccin via telefon, ja då står du utanför möjligheten att boka tid för vaccin. Eller att boka ett läkarbesök. Det gäller både digitala samhällstjänster men även e-handel och andra tjänster som inte är kopplade till det offentliga, säger Jannike Tillå.  

I Internetstiftelsens rapport Svenskarna och internet 2020 syns tydligt att digitaliseringen har accelererat i många grupper under pandemin. Nästan alla i samhället gör mer digitalt, oavsett hur digital man var före pandemin. Det betyder också att vi har många i samhället som har använt internet lite tidigare men som nu börjar göra det mer och till fler tjänster.  

– Många av oss har kanske glömt hur det var från början. Är man ensam och inte har någon i ens närhet som kan hjälpa en blir det väldigt svårt att ta sina första digitala steg. Här behöver vi hitta samverkan mellan olika aktörer, mellan näringsliv och det offentliga. Vi behöver inse att vissa människor måste kunna gå och få hjälp av någon, säger Jannike Tillå.  
 

Skriv upp dig på vårt nyhetsbrev!

Skriv upp dig på vårt nyhetsbrev!

Varje månad får du kunskap och tips från Internetstiftelsen som gör det digitala livet enklare. Poddar, artiklar och tips om föreläsningar. Mer kunskap helt enkelt!

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn
Skriv upp dig på vårt nyhetsbrev!

Skriv upp dig på vårt nyhetsbrev!

Varje månad får du kunskap och tips från Internetstiftelsen som gör det digitala livet enklare. Poddar, artiklar och tips om föreläsningar. Mer kunskap helt enkelt!

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn