Sikkert som banken

Stadig flere selskaper lanserer egne betalingstjenester. Et nytt EU-direktiv tvinger norske banker til å åpne dørene for dem. Gjør det sparepengene dine mindre trygge?

Markedet for nye betalingstjenester har vokst raskt de siste årene. Her er et utvalg.  Foto: NTB Scanpix; AP

Saken oppdateres.

For et par uker siden stengte Google det sosiale nettverket Google+. Kanskje ikke så rart, for Google+ har blitt kalt et sosialt nettverk for antisosiale mennesker. Det ble nesten ikke brukt.

Men den viktigste grunnen var en sikkerhetsfeil. Google hadde latt uavhengige utviklere få tilgang til det sosiale nettverket. Feilen gjorde at utviklere kunne se informasjon brukerne ikke hadde samtykket i å dele, blant annet kjønn, yrke og bosted.

Nylig stengte Google det sosiale nettverket Google+.  Foto: Reuters

LES OGSÅ: Hvitsnippforbryternes helvetesmaskin

Snart må også norske banker åpne opp systemene sine for utenforstående. Det skyldes EU-direktivet PSD2, som skal sørge for mer konkurranse i finansbransjen, spesielt innen betalingstjenester. Fra 2019 må norske banker la uavhengige utviklere og selskaper som tilbyr betalingstjenester få tilgang til kontoinformasjon og betalingssystemer. Et selskap som vil lage en betalingstjeneste for ølbonger på Oktoberfest i München, kan for eksempel søke om tilgang til Sparebank1s systemer.

Men hvem er det egentlig som kan få tilgang til bankenes systemer? Kan du miste pengene dine fordi et tvilsomt firma har koblet seg på bankkontoen din?

LES KOMMENTAREN: Det store pensjonsgapet

– Vi har passet på kundenes penger i 200 år, og vi vil passe på dem under de nye lovene om åpenhet i EU også, sa Knut Eilif Halgunset, leder for digital utvikling i Sparebank1 SMN, til meg nylig.

Knut Eilif Halgunset er leder for digital utvikling i Sparebank1 SMN. Han mener at det er brukeren som er det svakeste punktet, men ser også andre sikkerhetsutfordringer når bankene skal åpne opp.  Foto: David Engmo, Adresseavisen

EU sier at bankene ikke har lov til å diskriminere mellom firmaer og utviklere som ber om å få tilgang til systemene deres. Men i motsetning til Google og Facebook er banker som Sparebank1 og DNB underlagt strenge regler, blant annet gjennom Finanstilsynet og hvitvaskingsloven.

– Hvis det er noe muffens, må vi si nei, sier Halgunset. Hvis Sparebank1 skal gi tilgang til betalingssystemene sine, må de sjekke om foretaket er det de gir seg ut for å være. I tillegg må de få bekreftet fra finansmyndighetene i landet foretaket kommer fra om de har lov til å tilby betalingssystemer eller andre finansielle tjenester. Om det er grunn til å tro at selskapet driver med hvitvasking eller svindel, er det ulovlig for en norsk bank å gi dem tilgang.

LES OGSÅ: Trønderske ideer kan endre bankverdenen

Det skal med andre ord mye til før tvilsomme bedrifter får tilgang til saldoen din. Likevel er det utfordringer.

Banker øver jevnlig på simulerte dataangrep og får eksterne selskaper til å sjekke at sikkerhetsrutinene er som de skal (og andre til å sjekke sikkerheten til dem som sjekker sikkerheten). Små selskaper som lager betalings-apper har ikke nødvendigvis samme standard. Det kan føre til sikkerhetshull.

I Norge er det ganske enkelt å sikre at en hacker ikke trekker penger fra kontoen din. Skal det skje en overføring fra en av dine kontoer, må du bekrefte det med BankID. Derimot kan det bli vanskelig å utvide BankID til hele Europa. Selv om noen land har lignende systemer, gjelder det på langt nær alle. Konsekvensen kan bli et at en felleseuropeisk standard blir satt av landene som har dårligere sikkerhetsteknologi enn oss. I tillegg må du forholde deg til flere ID-systemer, noe som i praksis senker sikkerheten.

Norske banker forbereder seg på å åpne opp for uavhengige utviklere. Her fra pitchekonkurransen under Trondheim Fintech hackathon, i Sparebank1 SMNs lokaler.  Foto: Roar Blåsmo-Falnes, Adresseavisen

 

LES OGSÅ: Prisen for dårlig sikkerhet: Én milliard kroner

Banker som Sparebank1 har spesialavtaler med selskaper som Microsoft og Amazon, som tilbyr lagringsplass i store dataskyer. Bankene kan ha full kontroll med hvor datasentrene som huser informasjonen deres befinner seg. Småselskaper har neppe kapasitet til å få til det samme. Det kan utgjøre en risiko, for et datasenter i et fattig land er ikke nødvendigvis like sikkert som et i Tyskland eller Trøndelag.

Det er brukeren som er det svakeste punktet, ifølge Halgunset. Selvfølgelig er vi det. Når var sist du oppdaterte antivirusprogrammet? Har du sjekket om passordet ditt er på avveie? Du kan lett miste oversikten over hvem som får tilgang til kontoen din eller hvordan de vil bruke dine data. Det står nok i brukererklæringen, men hvem leser den?

Banken din kan beskytte deg mot mye, men ikke mot deg selv. Før har følgene av slapp sikkerhet stort sett havnet i kategorien «Hvorfor har jeg postet 500 bilder av solbriller på Facebook midt på natta?!?». Fra 2019 kan det handle om pengene våre. Kanskje alvoret synker inn da.

Les flere kommentarer av Morten Langfeldt Dahlback her

Følg Adresseavisen Meninger på Facebook og Adresseavisen på Facebook, Instagram og Twitter

På forsiden nå