Är BankID för helt olika användningsområden en dunderblunder?

Om regleringsintention och handlingslogik

 

 


Av professor CLAES MARTINSON

I det digitala kontosamhället har regleringsintentionen varit att skilja mellan olika nivåer av risk för att på så vis begränsa riskerna. Trots denna intention har e-legitimationen BankID kommit att användas för så olika förhållanden som bank, Swish och buss. Det har medfört att BankID används för såväl ingripande rättshandlingar avseende stora belopp som för struntsummor, och likaså i såväl privat som offentlig miljö. Att använda en och samma nyckel för så olika sammanhang innebär till synes risker. Bidragande orsaker till dessa risker är att användarna generellt underskattar vikten av säkerhetstänkande och likaså att de inte förstår vad de låser upp när de är på väg att bli lurade. Till riskerna bidrar också att personal i de olika verksamheterna föreställer sig att regleringen påbjuder BankID. Såväl användare som personal föreställer sig att de agerar i linje med intentionen med regleringen, men utfallet förefaller vara något annat än intentionen. Till synes föreligger en diskrepans mellan regleringsintention och den handlingslogik som regleringen genererar. Det kan vara av vikt att studera exempel på sådan diskrepans för att förstå hur lagstiftare och andra regleringskonstruktörer kan åstadkomma intentionsenlig reglering.

 


1 En oavsiktlig bakdörr i kontosamhället
Förändringen från kontantsamhälle till kontosamhälle har varit smidig. De flesta av oss tycks ha upplevt övervägande fördelar med de nya betalningsformerna och med att slippa hantera kontanter. Samtidigt tycks vi oavsiktligt ha inrättat en bakdörr in till något vi tidigare förknippade med trygghet. Den trygghet som det förr innebar att ”ha sina pengar på banken” är inte längre densamma. Borta är också tryggheten i att rättshandla om krediter med bankerna och med hjälp av erfaren bankpersonal. Så här långt har kontosamhället lett till att den enskildes relation med banken inte längre är en trygghetsrelation. Den oavsiktliga bakdörren har medfört att vi öppnat för stora skador. Enskilda kan behöva se alla sina monetära tillgångar försvinna för att istället bytas ut mot skulder.1

 

1 Det finns flera framställningar om vad förändringen inneburit i riskhänseende, se exempelvis flera av de andra artiklarna i detta temanummer av SvJT. Jag begränsar därför referensen här till den kortfattade beskrivningen i SOU 2019:14 Ett säkert statligt id-kort — med e-legitimation s. 100, och senast Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation — Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335), s. 21–22.

446 Claes Martinson SvJT 2023 Riskerna med den oavsiktliga bakdörren skall inte överdrivas. Som kommer att framgå är exempelvis en uppsnappad BankID-kod antagligen inte särskilt användbar i sig själv. För att den informationen skall kunna utnyttjas av någon obehörig behövs sannolikt även åtkomst till viss hårdvara genom någon form av brott, såsom bedrägeri, stöld eller rån. Inget av dessa brott förefaller dock ligga så särskilt långt borta och oavsett risknivå kan det finnas anledning att studera vad som går att göra åt den.2 Vad jag redovisar i denna artikel är en förstudie kring det bredare temat om vad som kan göras. Kunskapsintresset är att förstå hur lagstiftare behöver agera, respektive inte agera, för att åstadkomma den hantering som lagstiftaren önskar. I här aktuellt avseende handlar det om huruvida en viss identifierad hantering ligger i linje med lagstiftarens och andra normkonstruktörers intentioner, samt vad det kan bero på om så inte är fallet.3 En specifik aspekt handlar om huruvida det är vettigt att använda den i Sverige helt dominerande e-legitimationen BankID för olika användningsområden och olika system.4 BankID används numera nämligen inte bara i bankrelationen.5 Från att ha varit ett verktyg som användes relativt sällan, i avskilda miljöer och för kontakter med enbart den enskildes bank, är BankID idag ett verktyg som kan behöva användas nära nog dagligen och i offentliga miljöer där det finns övervakningskameror, mobilkameror och obekanta ögon. Trots att mobiltelefoner har fingeravtrycks- och ansiktsavläsning förekommer det att användare slår in sin kod inför andra. När lokaltrafikföretag och småbutiker

 

2 Att inget av dessa brott förefaller ligga särskilt långt borta följer exempelvis av beskrivningar av modus operandi i några av de andra artiklarna i detta temanummer av SvJT. 3 Jag har i ett tidigare projekt, kring obehöriga korttransaktioner, nått resultatet att det föreligger en säregen diskrepans mellan lagstiftarens intentioner med lagstiftningen, lagstiftningens innehåll och tillämpningen av lagstiftningen, när det gäller ARN:s hantering jämfört med lagstiftarens intentioner, såsom de uttryckts över tid. Det är av rättsvetenskapligt intresse att dra erfarenheter av olika exempel på diskrepanser mellan lagstiftarintentioner och utfall i rättstillämpningen och i den rättsliga hanteringen. Det handlar som sagt om kunskapen om hur lagstiftare behöver bete sig, respektive inte bete sig, för att åstadkomma den hantering som lagstiftaren önskar. Kunskap som förstås är rättsvetenskapligt relevant. Claes Martinson, Femton förmögenhetsrättsliga forskningsresultat, Iustus 2018 kap. 10–12. 4 BankID är en e-legitimation som tillhandahålls av en privat aktör, Finansiell IDTeknik BID AB som ägs av de större bankerna. BankID har ca 8 miljoner användare. En annan e-legitimation på den svenska marknaden är Freja eID Plus, med 142 000 användare, se SOU 2021:62 Användning av e-legitimation i tjänsten i den offentliga förvaltningen, s. 87–89. Se även SOU 2019:14 Ett säkert statligt id-kort — med e-legitimation s. 136–138, samt SOU 2017:114 reboot — omstart för den digitala förvaltningen, s. 245, där det anges att 90 % av befolkningen i åldrarna 20–40 år har (hade) minst ett BankID. 5 En utveckling som möjligen inte var förutsedd och som kanhända, i viss mån, kan jämföras med Collingridges dilemma: När en teknik fortfarande befinner sig i ett tidigt utvecklingsstadium, är det fortfarande möjligt att påverka riktningen på utvecklingen, men vi vet ännu inte hur den kommer att påverka samhället. Men när tekniken har blivit samhälleligt förankrad, känner vi till dess konsekvenser, men det är mycket svårt att påverka dess utveckling. David Collingridge, The social control of technology, Francis Pinter, St Martins Press, New York, 1980.

SvJT 2023 Är BankID för olika användningsområden… 447 kräver BankID för sina varor och tjänster följer inte bara risker för att någon snappar upp koden, utan också attitydförändringar till hur ett verktyg som ger tillträde till något så värdefullt som den enskildes bankkontakter bör hanteras.6 Om det är vanligt att ställas inför krav på att legitimera sig med BankID från olika slags verksamhetsföreträdare ökar möjligheterna för obehöriga att komma in i banksystemen. Användningen i de offentliga miljöerna blir på så vis en del i hur obehöriga kan utnyttja det faktum att verktyget BankID har blivit en huvudnyckel som används för allt möjligt annat än kontakterna med banken.7 Det är framför allt i dessa senare nämnda risker som det är relevant att tala om en bakdörr. Just det faktum att BankID används för flera olika system som leder till de risker som gör fenomenet intressant i regleringshänseende.
    Förstudien är avgränsad till en preliminär forskningsfråga av rättsvetenskaplig karaktär. Den handlar om vilka rättsligt relevanta faktorer som kan bli styrande i sådan mån att ett system som BankID blir använt för annat än rättshandlingar med banken i privata och säkra miljöer. Annorlunda uttryckt handlar det om att försöka förstå intentionerna med regleringen och om användandet av BankID i andra miljöer avviker från dessa intentioner. I förlängningen handlar det inte bara om användandet i sådana miljöer utan även om användande av BankID i system med helt olika förhållanden.
    Metoder för att undersöka frågan så här långt har varit att identifiera normativa rutiner avseende hantering av samhällsrisk i sammanhanget betalningstransaktioner, att identifiera relevanta rättsliga utsagor i bred mening och att undersöka hur några personer som arbetar med att sälja tjänster respektive bygger system resonerar.
    Det resultat jag nått är så här långt inte mer än en tes. Tesen är att den handlingslogik som regleringen genererar är en annan än intentionerna med författningarna, dvs. med den rättsliga logik som i här aktuellt avseende går ut på att begränsa risker. Att tesen kan tänkas vara relevant, och att handlingslogiken således blir en annan än intentionerna, antas här ha åtminstone två förklaringar. Den ena är att de tekniska aspekterna i hög grad blir normerande för hur privata och offentliga aktörer organiserar sina verksamheter och rutiner. Den andra har att göra med vilken kritik som de som är ansvariga föredrar att värja sig mot.

 

2 Några rättsligt relevanta faktorer avseende intention
Tesen bakom denna förstudie bygger på en, möjligen gammaldags, tanke om att systemanvändare för att begränsa riskerna skall använda

 

6 Jfr angående normativa transformationer pga. teknologiska förändringar och svårigheterna att förutse de sociala implikationerna Olya Kudina och Peter-Paul Verbeek, Ethics from within: Google Glass, the Collingridge dilemma, and the mediated value of privacy, Science, Technology, & Human Values, 44 (2), 2019 s. 291–314. 7 Jfr betraktelserna i Andreas Ekström, Bekvämlighetens tyranni — Hur vi förlorade makten över vår tids stora revolution, Volante, 2022 s. 25–41.

448 Claes Martinson SvJT 2023 olika sätt att ta sig in i olika system.8 Det är exempelvis vanligt att ha olika lås på olika slags tillgångar, och likaså avseende olika slags utrymmen. Låsens säkerhetsnivå beror på omständigheter som värde, risker och antal användare. Är riskerna stora, såsom när de inkluderar fara för personskador, kan det även förekomma att tillträdet behandlas av personal och med direkt individigenkänning. För digitala system handlar det om att användarna har olika användar-ID och lösenord för olika applikationer och sammanhang.
    Forskningsfrågan rör som nämnts rättsligt relevanta faktorer som kan bli styrande i sammanhanget. Utifrån dessa går det att forma en bild av intentioner med regleringen. Det handlar om reglering och normativa utsagor på olika nivåer. Ingen av dem pekar klart ut att intentionerna bakom regleringarna är sådana att ett verktyg som BankID inte skall användas för flera olika system och för flera användningsområden. Tillsammans ger de emellertid en bild.
    Det finns anledning att börja med att peka på några av de rättsligt relevanta faktorer som ligger i linje med ovan beskrivna tes. De kan antas verka styrande i sammanhanget. Sett till vad som kan förefalla vara intentionerna styr de till synes bort från användning i offentliga miljöer och användning i flera system på flera olika områden.

 

2.1 Myndighetsutsagor
Att döma av normativa utsagor som svenska myndigheter sprider är det alltjämt relevant att tänka i linje med tesen om att systemanvändare för att begränsa riskerna skall använda olika sätt att ta sig in i olika system.
    Polisen och Myndigheten för samhällsskydd och beredskap har i samarbete med Stöldskyddsföreningen haft en annonskampanj med texten: ”Lämna aldrig ut personlig information — Den kan användas för att tömma ditt bankkonto.” Med den avsiktliga överstrykningen av ordet personlig förstärker myndigheterna sitt budskap.9 Även myndigheten för digital förvaltning, DIGG, pekar i samma riktning. Den myndigheten arbetar med ett ”Tillitsramverk för Svensk e-legitimation”. Företrädarna för den myndigheten uttrycker sig i termer av olika skyddsklasser och tillitsnivåer som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.10

 

8 Gammaldags för att det inte nödvändigtvis är säkrare med olika verktyg. För exempelvis fysiska identitetshandlingar kan förhållandet åtminstone förefalla vara det omvända, givet omständigheterna, jfr SOU 2019:14 Ett säkert statligt id-kort — med e-legitimation s. 175–185, men notera i vilken mån det alltjämt i princip handlar om olika verktyg för olika sammanhang, s. 192–196. 9 Annonser i dagspressen (digitala versioner). Jfr: Polisen https://polisen.se /utsatt-for-brott/skydda-dig-mot-brott/bedrageri/identitetsintrang/ (senast besökt 23 januari 2023). Stöldskyddsföreningen https://www.stoldskyddsforeningen.se/ privat/ (senast besökt 23 januari 2023). 10 Myndigheten informerar om tillitsnivåer här https://www.digg.se/digitala-tjanster/e-legitimering/tillitsnivaer-for-e-legitimering (senast besökt 23 januari 2023).

SvJT 2023 Är BankID för olika användningsområden… 449 2.2 Författningsreglering
Det finns reglering om vikten av att hålla isär olika nivåer av risk. En sådan reglering är eIDAS-förordningen, om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. I artikel 8 stadgas att det skall finnas olika tillitsnivåer i system för elektronisk identifiering. Det uttalade syftet är att tillgodose förtroendet för elektroniska transaktioner på den inre marknaden.11 För sammanhanget offentliga miljöer går det också att peka på att betaltjänstlagen, som generellt stadgar en nivå av säkerhet som kräver användande av ett verktyg som BankID, ändå stadgar undantag för inköp av bland annat ”biljetter”, så länge beloppen inte överstiger 50 euro.12 I förarbetena klargörs att det handlar om bland annat betalningstransaktioner som genomförs med hjälp av mobiltelefoner eller annan teknisk utrustning, till exempel vid köp av en SMS-biljett för en resa.13

2.3 Statliga utredningar
Statens utredare har också dragit slutsatsen att privata e-legitimationer inte bör användas i utövandet av tjänst och de föreslår därför e-tjänstlegitimationer.14 Även om skälen för detta var blandade och delvis andra än att olika användningsområden för samma verktyg skulle innebära säkerhetsrisker, så ligger utredarnas överväganden, och deras inventering av efterfrågan, i linje med att använda olika verktyg för olika system.15 Det senaste statliga utredningsdirektivet på området inkluderar minimering av risken för bedrägerier. Likaså upprepas behovet av alternativa lösningar för e-legitimationer. Direktivet pekar dock inte specifikt ut problem med samma e-legitimation för olika användningsområden.16 I en annan pågående utredning om betaltjänster finns däremot indikationer som är mer tydliga i den riktningen.17

2.4 Ytterligare rättsliga faktorer i linje med tesen
Även den rättsvetenskapliga forskningen har identifierat att det potentiellt kan leda till svårigheter att samma verktyg används till olika

 

11 Förordning EU nr 910/2014 av den 23 juli 2014 preambeln punkt 2. 12 Betaltjänstlagen 2010:751, 1 kap. 7 §.13 SOU 2016:53 s. 15, 187–189. Prop. 2017/18:77 s. 135–136. 14 Sju e-tjänstlegitimationer på den svenska marknaden beskrivs i SOU 2021:62 Användning av e-legitimation i tjänsten i den offentliga förvaltningen, s. 83–87. Se även SOU 2017:114 reboot — omstart för den digitala förvaltningen, s. 271–273. 15 SOU 2021:62 Användning av e-legitimation i tjänsten i den offentliga förvaltningen, s. 28, 17–19, 107–119, 139–140, angående informationssäkerhetsriskerna se s. 137–139, 184–185. 16 Dir 2022:142 Säker och tillgänglig digital identitet (22 dec 2022). 17 Dir 2020:103 Statens roll på betalningsmarknaden. Den särskilde utredaren, Anna Kinberg Batra, uttryckte på DN Debatt den 16 november att Sverige måste införa en statlig e-legitimation, och pekade på problemet med att ”ett fåtal banker och privata företag i dag äger och kontrollerar samhällsviktig och känslig infrastruktur, som i bank-id:s fall sträcker sig långt bortom betalningssystemet”.

450 Claes Martinson SvJT 2023 system. — ”Det som ur praktisk synvinkel är mycket lyckat, nämligen att ett och samma verktyg med stor lätthet kan användas för olika ändamål och i olika sammanhang, blir i detta sammanhang en omständighet som kan skapa osäkerhet kring regleringens tillämpning.”18 En internationell utblick över främst Norden kan ge en blandad bild kring användande av e-legitimation i såväl bankrelationen som i andra relationer, dvs. som verktyg för att kommunicera i olika system.19

2.5 Rättsliga faktorer i annan riktning?
Så långt olika faktorer som ensidigt pekar i samma riktning. Det finns emellertid också faktorer som pekar i annan riktning. För användaren är det förstås praktiskt att kunna använda e-legitimation i såväl bankrelationen som i andra relationer.20 Beträffande den praktikalitet som användaren får genom att använda samma e-legitimation i såväl bankrelationen som i andra relationer finns det anledning att notera fenomenet att det idag finns överordnade användar-ID och lösenord som ger tillgång till en användares hela uppsättning av användar-ID och lösenord i flera olika system. Det faktum att det idag finns sådana överordnade användar-ID och lösenord, leder inte till samma risker som om ett och samma verktyg används för flera system. Risken ligger nämligen i spridningen av informationen. Det faktum att en dator eller mobiltelefon håller reda på de olika verktygen för att komma in i respektive system sprider inte informationen. Verktygen för varje system är fortfarande åtskilda i kommunikationsledet. Därmed ger inte överordnade användar-ID och lösenord utomstående tillgång till flera system. Det faktum att det i dessa fall handlar om olika verktyg för olika system är en faktor som pekar i linje med den här uppställda tesen. Att hålla isär de olika systemen är relevant även när ambitionen är att underlätta den praktiska användningen.

 

2.6 En motsägelsefull bild
Vad jag beskrivit i detta avsnitt (2) pekar i samma linje som tesen. Regleringarna och de rättsligt relevanta faktorerna, i bred mening, pekar på vikten av riskbegränsning. Även om jag inte visat att intentionerna bakom regleringarna är sådana att ett verktyg som BankID

 

18 Marianne Rødvei Aagaard, BankID-bedrägeriet, JT 2022–23 s. 77–78. 19 SOU 2021:62 Användning av e-legitimation i tjänsten i den offentliga förvaltningen, s. 121–125. Jfr Lennart Johansson, Banker och Internet — särskilt om kundaktiverade betalningsinstruktioner, Iustus, 2006 s. 331 och valet att i studien avgränsa bort säkerhetsfrågor av detta slag. Likaså Gustaf Sjöberg, Reglering av banker, Jure, 2018 s. 66–68. 20 Jfr ”För individen kan det vara önskvärt att ha tillgång till en elektronisk identitetshandling som kan användas i alla sammanhang. Vardagstryggheten i det digitala samhället kan paradoxalt nog vara den motsatta, nämligen vikten av att ha tillgång till flera alternativa sätt att identifiera sig elektroniskt.” SOU 2017:114 SOU 2017:114 reboot — omstart för den digitala förvaltningen, s. 67, där utredarna med ”vardagstryggheten” pekar på en annan risk med att bara kunna identifiera sig med ett verktyg, nämligen att användaren temporärt kan förlora detta verktyg.

SvJT 2023 Är BankID för olika användningsområden… 451 inte skall användas för flera olika system och för flera användningsområden, går det till synes att teckna en sådan bild av intentionerna bakom regleringen. I den mån användning av BankID för flera olika system ökar riskerna är en sådan användning av BankID inte i enlighet med intentionerna.
    Givet vad jag pekar på i detta avsnitt (2) framstår det som en aning motsägelsefullt att BankID tillåtits genomgå den förändring vi sett vad gäller användning. BankID är ett verktyg med ganska hög säkerhetsnivå som konstruerats för att användas för ett system som behöver hög säkerhet givet de värden och den centrala betydelse bankernas kontoverksamhet har i samhället. Att det numera används nära nog dagligen i offentliga miljöer där det finns övervakningskameror, mobilkameror och obekanta ögon, förefaller inte vara i linje med vare sig verktygets ursprung eller vad jag i detta avsnitt redovisat som rättsligt relevanta faktorer.

 

3 Handlingslogiker
Vilka rättsligt relevanta faktorer ligger då bakom att verktyget BankID numera används i offentliga miljöer där det finns övervakningskameror, mobilkameror och obekanta ögon? I denna förstudie har jag ännu bara undersökt hur några få personer som arbetar med att sälja tjänster resonerar. Jag har också undersökt hur några av dem som bygger systemen resonerar. Det handlar om kundtjänstpersonal vid ett regionägt lokaltrafikföretag, till systemvetarpersonal vid samma region, och till programmerare.
    Svaren innebar i korthet att de är oförstående inför frågorna.

 

3.1 Systemvetare och programmerare
Från systemvetarna och programmerarna har jag fått svar som i hög grad påminner om varandra. Svaren går ut på att riskerna är tillräckligt låga. Deras svar har gått ut på att det inte spelar någon avgörande roll om någon kan komma över en användares BankID-lösen. Koden i sig är inte avgörande, menar de. För att koden skall vara användbar har de pekat på att det krävs att de obehöriga även kommer åt själva telefonen som BankID-systemet skickar en begäran om inloggning till. Alternativet att någon utvecklar ett sofistikerat system för att simulera den relevanta telefonen bedömer de som osannolik pga. komplexiteten i en sådan lösning. Riskerna påverkas också av att flertalet användare själva har möjlighet att ställa in BankID på så vis att lösenord inte behöver slås in. Med mobiltelefoner som har fingeravtrycks- eller ansiktsigenkänning blir det tillräckligt att använda ett finger eller att titta på telefonen.
    Svaren från de tekniskt sakkunniga pekar således på att risken med användande av BankID i offentliga miljöer är liten i teknisk mening. Det är förstås en viktig aspekt att notera. Samtidigt innebär svaren från teknikerna att de också värderar de faktiska riskerna som små. I deras

452 Claes Martinson SvJT 2023 perspektiv på frågorna ligger inte sådana aspekter som attitydförändringar. Deras förtroende för tekniken pekar dem snarare i riktning mot att inte beakta risker som de inte själva identifierat. De rättsligt relevanta faktorer som jag redovisat i föregående avsnitt (2) blir i deras ögon en aning överdrivna. Intentionerna med den rättsliga regleringen och de rättsligt relevanta faktorer som pekar på risker med att använda samma verktyg för olika system, beaktas inte. I så mening kan det antas att den rättsliga styrningen inte fungerar. Den fungerar inte i tillräckligt hög grad för att påverka dem som konstruerar systemen. En orsak skulle kunna vara att de tekniskt sakkunniga antagligen inte tar del av regleringen.21 Oavsett orsak skulle förhållandet kunna uttryckas som att den handlingslogik som regleringen och de rättsligt relevanta faktorerna genererar blir en annan än intentionerna med den rättsliga logiken. En central följd härav är att det blir de tekniska aspekterna som i hög grad blir normerande, istället för de normativa intentionerna.22

3.2 Personal vid lokaltrafikföretaget
Lokaltrafiksföretaget som jag varit i kontakt med säljer en betydande andel av sina resor via en app och det får som följd ett krav på kunderna att använda BankID. En standardresa kostar i skrivande stund 35 kr.
    På mina frågor om det lämpliga i att resenärerna skulle behöva slå in sin BankID-kod inför andra, inklusive övervakningskameror och mobiltelefonkameror, blev svaren ett totalt oförstående. Personalen vid lokaltrafikföretaget svarade sinsemellan på sätt som i hög grad innebar samma svar. Svaren gick ut på att ”det står i lagen” att företag måste kräva tvåfaktorsautentisering, dvs. bekräftelse med BankID, eftersom det är den tjänst som personalen upplever står till buds. Jag har frågat och fått nämnda svar i flera omgångar från flera olika personer vid lokaltrafikföretaget. Det blev ingen skillnad i svar trots att jag förklarat att bakgrunden till min fråga är riskerna som dessa företag utsätter hela systemet för, och trots att jag uppmanat den personal som jag frågade att lyfta frågan med överordnade. Jag har alltså i mina frågor inkluderat direkta påpekanden om risker för systemet och samhället, och fått totalt oförstående som svar.
    Föreställningen om att lokaltrafikbolaget måste kräva BankID förefaller vara stark. För detta talar inte bara de oförstående svar som jag fått. Lokaltrafikföretaget gav, vid tiden för denna undersökning, inga

 

21 Flera faktorer kan bidra till detta, såsom relationen mellan beställare och utförare. Att i den relationen förhålla sig till en reglering som även den närmast berörda myndigheten anser hålla en hög abstraktionsnivå kan ha effekter i sig. Jfr Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation — Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335), s. 29. 22 Jfr angående hur normativa aspekter inte anses statiska utan samspelar med den tekniska utvecklingen, Olya Kudina och Peter-Paul Verbeek, Ethics from within: Google Glass, the Collingridge dilemma, and the mediated value of privacy, Science, Technology, & Human Values, 44 (2), 2019 s. 291–314.

SvJT 2023 Är BankID för olika användningsområden… 453 upplysningar om risker och inga råd om hur användarna, bolagets resenärer, kunde agera givet att företaget styr användarna till att använda BankID i öppna miljöer. Således gav företaget inga upplysningar om att många telefoner har fingeravtrycks- och ansiktsavläsning så att det åtminstone går att undvika att behöva slå in sin BankID-kod i den offentliga miljö som deras kunder befinner sig i när de exempelvis köper en buss-biljett.
    Givet svaren från personalen vid lokaltrafikföretaget är en möjlig slutsats att den handlingslogik som regleringen och de rättsligt relevanta faktorerna genererar blir en annan än intentionerna med den rättsliga logiken. I detta fall är det föreställningar om lagregleringen i sig som leder till denna effekt. Personalen förefaller tänka att så länge företaget följer regleringen i den mening som de uppfattar den, så har företaget ingen anledning att ta ansvar för intentionerna bakom. Inte ens direkta påpekanden om riskerna som företaget orsakar sina resenärer, förändrade personalens svar. Personalen ser sig inte ha något ansvar för sådant som eventuella obehöriga intrång i kundernas bankkonton. Eftersom det, med personalens föreställningar, ”står i lagen” att företaget måste använda ett verktyg som BankID, så är det som det är. Därmed behöver företaget inte beakta vad de speciella förhållanden som det egna företaget verkar under kan få för effekter för de övergripande riskerna.

 

3.3 Företrädare för BankID
Eftersom jag presenterar en förstudie dristar jag mig till att också inkludera vad jag uppfattat i de utsagor som personal vid Finansiell ID Teknik BID AB:s (dvs. bolaget bakom BankID) gjorde offentligt vid konferensen Obehörig användning av e-legitimation — Rättsliga utmaningar och nordiska utvecklingslinjer.23 Jag ser det som relevant eftersom utsagorna ligger helt i linje med undersökningen av de ovan nämnda yrkesgrupperna. Notera dock att det för denna förstudie handlar om redogörelser för faktorer som endast är av preliminär betydelse.
    Företrädare för BankID:s verksamhet menade att det i princip inte är BankID:s sak att tänka på riskerna när de tillåter andra företag än banker att använda verktyget. Inte heller det faktum att vissa av dessa företag verkar under sådana förhållanden att användarna med hög frekvens kommer att slå in sina BankID-lösenord i offentliga miljöer, föreföll ha betydelse.
    Till saken hör att BankID inte är ensamma på marknaden. BankID skulle därför kunna hänvisa verksamheter vars kunder befinner sig i offentliga miljöer att använda ett annat system. Likaså skulle BankID själva kunna utveckla ett annat system än det system som används för

 

23 Uppsala universitet den 1–2 december 2022, arrangörer Marianne Rødvei Aagaard och Torbjörn Ingvarsson.

454 Claes Martinson SvJT 2023 banksystemen. BankID:s företrädare verkar dock inte se någon anledning att hänvisa köpare till andra verktyg.24 Även för BankID:s egen personal förefaller det därför gå att tala om att den handlingslogik som regleringen genererar är en annan än intentionerna med författningen dvs. med den rättsliga logiken. Istället för att beakta de specifika riskerna och intentionerna bakom regleringen och de rättsligt relevanta faktorerna, så tillhandahåller BankID sin produkt som standard. Sett till lagregleringen förefaller det tillåtet att sälja den på marknaden. Den utgör också en produkt som behövs för att köparna av produkten skall klara av att uppfylla krav som lagen ställer på dem. Trots att BankID:s personal värderar vikten av riskbegränsning högt väger de bakomliggande intentionerna med regleringen till synes lättare än den handlingslogik som regleringen genererar.25

4 Vilka kan orsakerna vara?
En relevant fråga är varför den handlingslogik som regleringen genererar skiljer sig från intentionerna. Ett antagande skulle kunna vara att de ansvariga i olika organisationer förutser viss kritik oavsett hur de agerar. Under sådana förhållanden är det rationellt att föredra en kritik framför alternativen. Den kritik som följer med alternativet att använda BankID och på så vis uppfylla vad som uppfattas som lagstadgade krav, är härvid antagligen att föredra. Med argumentet att den egna organisationen ”gör vad som står i lagen” träffar kritiken inget vitalt.
    Till orsakerna hör också vilka som drabbas av det egna agerandet. Aktörer som säljer lokaltrafik via egen app och småbutiker som kräver Swish, har liten anledning att bry sig om kritik mot att deras agerande kan drabba bankkunder och banker. Lokaltrafikföretag och småbutiker som fått köpa BankID-verktyget som lösning för sina system har fått ett godkännande från BankID. De uppfyller också lagens krav på autentisering. Som godkända laglydiga aktörer kan de ta lätt på kritik om att deras agerande innebär risker för kunderna. Jämfört med att få kritik för att de inte använt stadgad autentisering och brutit mot lagen är valet självklart. Saken kan kanske uttryckas som att konkreta krav trumfar abstrakt fara.
    Även BankID:s personal kan resonera på liknande sätt, om än inte med samma styrka. BankID kan beskriva sig som en möjliggörare som behövs för att kontosamhället skall leva upp till de lagstadgade kraven. Därmed kan de ta någorlunda lätt på eventuell kritik mot att de låter verktyget användas i offentliga miljöer på sätt som innebär risker för användarna och för sina ägare, bankerna. Att BankID istället skulle

 

24 Med BankID:s personal avser jag främst Petter Dahl, regelverksansvarig Finansiell ID Teknik BID AB. 25 Att BankID delar intentionerna i så mån att företagets personal lägger stor vikt vid att minimera risker framgick tydligt i föredrag av Petter Dahl, Obehörig användning av e-legitimation i praktiken, Uppsala universitet den 1 december 2022.

SvJT 2023 Är BankID för olika användningsområden… 455 vägra sälja sin produkt skulle kunna uppfattas som marknadsstörande. Det förefaller dock som att BankID mycket väl skulle kunna begränsa användningen av sin produkt, för att tillgodose säkerheten i de sammanhang som ställer krav på hög säkerhet, såsom för bankkunder och banker. Förklaringen till att BankID agerat som företaget gjort ligger därför antagligen också någon annan stans. Möjligen handlar det i huvudsak om det ekonomiska utbytet för produkten, men förklaringen är antagligen komplex.
    Grupperna systemvetare och datorprogrammerare kan i sammanhanget luta sig mot sina roller. De behöver ta fram tekniken och tekniken skall primärt tillgodose regleringens krav. Med teknik som tillgodoser dessa krav är det upp till köparna av systemen och deras användare att använda tekniken på sätt som ligger i linje med intentionerna. Trots att det antagligen främst är systemvetare som kan identifiera risker med att köparna av systemen och deras användare inte använder tekniken på sätt som ligger i linje med intentionerna, kan de peka på att de tagit fram vad som krävs för att uppfylla de krav som regleringen ställer. De kan också peka på att riskerna är så låga att det krävs ännu inte identifierade former av brottsligt beteende för att riskerna skall utlösas. Systemvetarna och programmerarna är inriktade på att i teknisk mening tillgodose de krav som regleringen ställer. Låt vara att de inte själva tolkar regleringen, utan att de får den tolkad för sig och därmed i ännu högre grad översatt till mer direkta och konkreta krav.

 

5 Dunderblunder?
Som nämnts är detta en förstudie. Det är ovanligt att förstudier i rättsvetenskap publiceras. Att så blivit fallet denna gång beror på omständigheterna. Bland dessa omständigheter är det inte minst viktigt att temat om obehörig användning av e-legitimationen BankID blivit uppmärksammat såsom ett fenomen som ökar i omfattning. I den mån en bidragande orsak faktiskt är att BankID används för flera olika ändamål skulle det kunna vara relevant att omgående försöka påverka riskerna. Att en förstudie skulle bidra med sådan påverkan är inte ett mål i sig med en forskningsinsats, men en acceptabel bieffekt.26 Skulle något ändras beror det dock knappast på denna förstudie i sig.
    Jag vill understryka att vad jag presenterat behöver läsas med förbehåll för att det just är en förstudie. Det kan visa sig att ett efterföljande projekt inte leder fram till något relevant resultat. Vad jag åstadkommit är att söka av ytskiktet. De metoder jag använt är inte att betrakta som vetenskapliga. Vare sig dogmatiken, eller intervjuerna, är tillförlitliga i den mån som jag menar bör krävas. Möjligen är kartläggningen av regleringsintentioner och vad jag kallat rättsligt relevanta faktorer av inledande vikt, men det handlar alltså om en förstudie.

 

26 I varje fall i rättsvetenskaplig forskning där det är vanligt med insatser som i ganska hög grad utgör argumentation för förändring.

456 Claes Martinson SvJT 2023 Med de nämnda förbehållen kan jag påpeka att den titel som jag valt för artikeln bör läsas med frågetecknet accentuerat. Kanhända är BankID för olika användningsområden ingen dunderblunder.27 Jag har här inte alls visat att så är fallet. Kanske är det rent av mer rättvisande att använda beskrivningen dunderblunder för vad jag själv åstadkommit. Jag kan så här långt ha förbisett eller missat att undersöka de aspekter som egentligen skulle behöva undersökas för att hävda något i vetenskaplig mening. Som framgått har jag ännu bara gjort några antaganden om vad som kan ligga bakom diskrepansen mellan den handlingslogik som regleringen genererar och intentionerna med den rättsliga logiken.

 

27 En indikation är att temat inte tagits upp specifikt, trots att frågan om obehörig användning och risker är uppmärksammad. Den senast publicerade utredningen på området tar inte upp temat, trots att den går ut på att leda till ett statligt alternativ till Bank–ID. Se utredningen av Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation — Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335), notera s. 95. Givet att riskerna i sammanhanget förefaller kunna vara delvis beroende av de allmänna föreställningarna är det dock kanske ändå relevant att just ägna sig åt forskning kring temat. Även forskare bör kunna ställa frågan om kejsarens kläder.