BankID på stø kurs mot bankuavhengighet

 – Vi har nettopp blitt enige med bankene om hvordan vi skal løse de avtaletekniske og forretningsmessige aspektene av at de ikke lenger skal være formelle utstedere av BankID. Så nå starter vi det viktige arbeidet med implementeringen, sier Øyvind Brekke i Stø, som eierselskapet til BankID og BankAxept nå har byttet navn til.

Bak det litt tørre utsagnet finner man noe som faktisk kan kalles en norsk ID-revolusjon.

BankID er i dag Norges mest brukte elektroniske tjeneste. Den blir brukt til identifisering og signering på nett nesten én milliard ganger per år. 4,6 millioner nordmenn er registrerte brukere, og gjennom BankID får de tilgang til rundt 16.000 offentlige og private tjenester.

Selv om det finnes alternativer som statens egen Min ID og de private alternativene Buypass og Commfides, er BankID den helt dominerende ID-løsningen i Norge. Faktum er at BankID i en majoritet av tilfellene blir brukt til annet enn banktjenester og betaling,  for eksempel til innlogging på offentlige tjenester som Altinn og Helsenorge, samt private tjenester som forsikringsselskaper og strømleverandører

Likevel er det slik at den som vil ha BankID må bli godkjent av banken. Om du ikke er kvalifisert til å få en bankkonto, så får du heller ikke BankID. Slik har det vært siden starten i 2004. Det er estimert at det rammer i underkant av 400.000 nordmenn, det kan være folk med spesielle behov, bostedsløse eller ikke-digitale personer, i tillegg kommer et betydelig antall utenlandske statsborgere bosatt i Norge.

Vil viske ut digital skillelinje

Nå skal den digitale skillelinjen viskes ut. Fra og med neste år er det ikke lenger norske banker som utsteder BankID. Den rollen overtas av Stø.

– Går alt etter planen skal vi utstede den første BankID-en fra Stø i begynnelsen av 2026, sier Brekke, og fortsetter:

– Deretter påbegynner vi migrasjonen av eksisterende BankID-er fra bankene over til Stø. Målet er at vi skal bli klare med det i løpet av 2026, men det vil ta en noe tid. Vi skal tross alt flytte avtaler for 4,6 millioner personer.

Overgangen fra BankID på mobil til BankID-app tok i alt to år. Denne endringen skal gå betydelig raskere og har ambisjon om å lage så lite trøbbel som mulig for brukerne. Derfor har det vært nødvendig for Stø å gjøre en rekke praktiske avklaringer med bankene.

Snur prinsipper på hodet

Endringen snur nemlig hele prinsippet for BankID på hodet. Fra at Stø i dag leverer ID-teknologi og er en slags driftsleverandør til bankene som inngår avtaler med kundene, til at bankene blir fullmektig for Stø og gjennomfører den kontroll som må til for at en kunde skal få BankID fra Stø.

– Stø har verken ressurser til eller erfaring med kundesenterdrift. Vi er avhengige av at bankene forplikter seg til å levere tjenester til oss, selv om de ikke lenger er den juridiske utstederen av BankID, sier Brekke.

Det handler både om rene supportspørsmål og at den som skal skaffe seg BankID fra Stø fortsatt har et sted å gå til for det fysiske oppmøtet som må til for at en ID-løsning med sikkerhetsnivå høyt skal kunne utstedes.

Håper på offentlig støtte

Men fullmektigrollen er ikke begrenset til bankene. Målet til Stø er at det offentlige også kommer på banen og velger stille opp med et skrankepunkt for dem som ønsker seg BankID uten kobling til en bank.

– Da blir det mulig for Norge å oppfylle sitt mål om at alle skal få tilgang på eID på et høyt nivå, sier Brekke.

Nyordningen fører til tre større endringer som, ifølge Øyvind Brekke, alle vil gjøre BankID til en bedre ID-løsning.

► En gjentakende kritikk mot BankIDs dominans innen elektronisk ID, har vært kravet om at brukeren må være bankkunde. Med Stø som utsteder forsvinner det kravet.

► Med Stø som utsteder av BankID blir det etter hvert enklere å bytte bank. Slik det er i dag må en den som bytter bank, be sin nye bank om en ny BankID-avtale.  Målet er at man på sikt kan ha én og samme BankID hele livet.

► Som eneste utsteder av BankID, vil Stø kunne lansere oppdateringer og nye tjenester i et betydelig høyere tempo enn i dag.

Ønsker seg offentlig register 

Det første punktet av disse tre er det viktigste, og mest omdiskuterte.

Professor Marte Eidsand Kjørven ved Universitetet i Oslo har vært en av de fremste kritikerne til BankIDs dominerende posisjon. «Når én og samme eID fungerer som en universalnøkkel til hele samfunnet, er konsekvensene store. Både for dem som stenges ute og for dem som får sin identitet misbrukt», skrev Kjørven og sju andre forskere og professorer i et debattinnlegg i Dagens Næringsliv for en drøy måned siden.

– Om det offentlige blir med på den satsingen vi nå gjør, løser vi langt på vei problemet med at ikke alle får BankID fordi banken sier nei, sier Brekke.

For mennesker som trenger hjelp av nærstående i hverdagen, er det noe mer komplisert. En bank er nemlig forpliktet til å trekke tilbake en BankID dersom de tror den blir brukt av noen annen enn den person ID-en er utstedt på. 

Brekke etterlyser derfor et offentlig, tverrgående fullmaktregister, der disponenter og verger registrers med fullmakt til å opptre på vegne av andre, men ved å benytte egen BankID.  Et slikt register mener han ikke skal driftes av verken bankene eller Stø, men av myndighetene.

Og bak alt står eIDAS 2.0

I bakgrunnen av hele denne diskusjonen lurer EUs nye regelverk for digitale eID-lommebøker, eIDAS 2.0. EU-parlamentet sa ja til det i fjor vår, og i Norge jobber Digitaliseringsdirektoratet med å finne ut hvordan Norge skal tilpasse seg regelverket.

I korthet går EU-forordningen ut på at alle EU- og EØS-land må etablere en eID-lommebok som er på sikkerhetsnivå høyt, gratis og tilgjengelig for alle, både privatpersoner og bedrifter.

Lommeboken skal være teknisk lik, gratis, og fungere på tvers av landegrensene i EU og EØS. Den skal kunne inneholde såkalte attesterte bevis, som for eksempel førerkort, studiebevis eller finansieringsbevis som skal være likeverdige med den fysiske versjonen. Og alle store «big tech»-plattformer må akseptere lommeboken.

Det er en beskrivelse som i stor grad peker mot en eller annen form for offentlig løsning. I fjor vår ville ikke fagdirektør Tor Alvik i Digitaliseringsdirektoratet utelukke noen alternativer, men var tydelig på at det valg som myndigheter til sist tar, må følge kravene som kommer med eIDAS 2.0.

– Skal vi velge noen av markedsløsningene, for eksempel BankID, så må man følge de rammene og reglene som er. Da må vi komme frem til en løsning som kan utstedes til alle og ha andre rammer enn løsningen har i dag. Det gir seg selv, sa Alvik til BankShift i fjor vår.

Etter det BankShift forstår skal Digitaliseringsdirektoratet etter planen ta en endelig beslutning om anbefalt veivalg i løpet av 2025.  Anbefalingen vil bli oversendt til regjeringen, som tar den endelige beslutningen.

Har jobbet for å lage eID-lommebok 

– BankID tikket av på mange av EUs bokser allerede i fjor, men ikke tilgjengelig-for-alle-boksen. Er dette et forsøk på å dytte Digitaliseringsdirektoratets i en bestemt retning?

– Vi prøver i alle fall å legge til rette for at de kan få en enkel og kostnadseffektiv løsning. En av grunnene for hvorfor dette har vært en riktig investering av oss å gjøre, er jo at vi ønsker at det skal være mulig for Norge å bygge videre på BankID, sier Brekke.

Ifølge Stø-sjefen er det å gjøre BankID bankuavhengig bare det siste steget i en omfattende moderniseringsprosess som begynte for tre år siden da BankID BankAxept ble skilt ut fra Vipps.Styrket svindelbekjempning, biometriløsning og egen app er noen av de andre tingene som har blitt utviklet underveis.

– BankID-appen vår begynner jo faktisk å bli en eID-lommebok som ligner kravene til EU, sier Brekke.

– Men er ikke bruken av biometri i appen fortsatt veldig lav? Man må fylle i BankID-passordet nesten overalt.

– Jo. Den er fortsatt altfor lav. Jeg fikk nettopp ny statistikk som viser at biometriandelen i bankene er på 37 prosent, i privat sektor generelt på 30 prosent og i offentlig sektor er den null.

– Er det problematisk?

- Det er en sikkerhetsvurdering som direktoratet og etatene har gjort, at en stor del av interaksjonen med offentlig sektor skal være på sikkerhetsnivå høyt, hvor BankID i dag har et krav om passord. Vår vurdering er at biometri med BankID er sikkert nok for mange offentlige tjenester.

Men EUs ID-krav har mangler

Selv om Stø har lagt seg i selen for å kunne bli Norges foretrukne eID-lommebok er Øyvind Brekke ikke klar til å tilpasse seg hvilke eIDAS 2.0-krav som helst.

De er særlig tre ting han mener er utfordrende med eIDAS 2.0, og som i verste fall skulle kunne føre til at hele prosjektet flopper.

– Om det skal være gratis for alle, hvordan skal det da oppstå forretningsmodeller som gjør det attraktivt for oss og andre private aktører å bidra til videreutvikling og innovasjon.

– Det andre er at personvernhensynet blir altfor strengt ivaretatt opp mot andre hensyn. Som regelverket er formulert skal det ikke finnes noen sentral database som registrerer alle transaksjoner, bare brukerens lommebok og brukerstedet. Det vil gjøre det mye vanskeligere å avsløre svindel og skulle brukeren miste sin telefon vil vi heller ikke kunne hjelpe til med å gjenopprette BankID-sertifikatet slik vi kan i dag.

– Et tredje problem er at det nesten ikke finnes noen telefoner på det europeiske markedet som oppfyller sikkerhetskravene om hemmelighetene skal lagres desentralisert.

Et fjerde som har mindre med eIDAS 2.0 å gjøre og mer med Norge å gjøre, er at Brekke mener hovedalternativet til BankID – at staten bygger en ny statlig elektronisk ID – helt enkelt ikke er samfunnsmessig logisk.

Å opprette en helt ny eID innebærer at 4,6 millioner nordmenn faktisk må dukke opp et sted og  fysisk identifisere seg for at ID-løsningen skal være på sikkerhetsnivå høyt. En annen utfordring er at selv om EU krever at et land må tilby en lommebok, er innbyggerne ikke pålagt å ta den i bruk. Ergo, hvis norske myndigheter skal opprette en egen eID-lommebok må de også overbevise alle nordmenn om at de trenger den i tillegg til BankID.

– Vi mener jo at det ville være en snarvei å velge BankID slik at man får 4,6 millioner bruker fra start. Det ville gi Norge et forsprang i et internasjonalt perspektiv.   Men da må man altså løse utfordringene knyttet til manglende forretningsmodeller og unødvendig strenge personvernregler som forhindrer bekjempelse av svindel, sier Stø-sjefen.