– Vi må være klare til å redefinere hvordan vi vet at det er en kunde vi snakker med

– Tre sekunder med lyd og et bilde fra Linkedin. Det er alt som trengs for å lage en kopi av deg. Det er en kjempeutfordring både for oss selv som bank og for hvordan vi forholder oss til våre kunder.

BankShift møter teknologidirektør i personmarkedet i DNB, Nicolai Rygh, rett etter at han stått på scenen og vist frem hvordan det er alt som trengs for å lage en «deepfake»-video av Kjerstin Braathen som tilsynelatende kommer med hemmelige investeringstips.

Videoen ble presentert under DNBs årlige sikkerhetskonferanse «Finansiell trygghet». 

Enorm «fake»forbedring

Forskjellen sammenlignet med fjorårets «sjokkvideo» var enorm. Da ble klipp av Kjerstin Braathen og tidligere finansdirektør Ida Lerner, hentet fra offentlige kilder, brukt i et målrettet svindelangrep på bankens Singapore-kontor. Stuntet var ikke veldig vanskelig å avsløre, selv om både Braathen og Lerner var ekte.

Den nye videoen med Braathen, som snakket engelsk, ville ha vært mye vanskeligere å avsløre. I hvert fall for personer som ikke er godt kjent med DNB-sjefen.

– Midlene er allment tilgjengelige på nett og kan koste så lite som 50 kroner, forklarer Rygh.

Han passer også på å advare om at hvis man får en telefon fra utlandet, der noen spør etter deg, så bør man være obs på å ikke si for mye.  Ifølge Rygh kan det like gjerne være et forsøk på å fange stemmen din, som det kan handle om telefonsvindel.

Mye enklere å lage falske nettsider

Men det stopper ikke der. Muligheten for å lage egne hjemmesider med såkalt vibe-koding er det mange som har prøvd seg på det siste året. Derfra er steget ikke langt til å be KI om å lage en phising-side som ser ut som en bank eller nettbutikk, for den som har mer skumle hensikter.

– Så lenge tjenestene våre ligger eksponert på internett, og det må en nettbank gjøre, er de i praksis også åpne for kopiering til en viss grad, sier Rygh.

Basert på egne tester med kommersielt tilgjengelig KI-teknologi mener han at det går relativt raskt å komme til et nivå som tilsvarer versjon 0,5-0,6 av et ferdig produkt.

– Dette er et evig kappløp, som ikke blir enklere av at motstanderen ikke følger spillereglene. Det gjør også at vi hele tiden må gjøre sikkerhetsvurderinger. Det som er trygt i dag, er ikke nødvendigvis sikkert i morgen, sier han.

– Det er et dilemma. Samtidig som vi er store forkjempere for friksjonsfrie kundeløsninger, ser vi et behov for å stramme inn sikkerheten, legger han til.

Må tenke over kundedialogen

Den raske utviklingen gjør at Rygh ikke tør utelukke at DNB fremover til og med må droppe enkelte former for kundedialog fordi banken ikke kan være helt sikker på at en kunde er den hen utgir seg for å være.

At DNB med enkle midler kan kopiere konsernsjefen, betyr at det samme kan gjøres hvem som helst. Det kan få store innvirkning på det daglig bankarbeidet 

– Det mest grunnleggende spørsmålet er: Er vi trygge på at det faktisk er den personen vi snakker med? Er vi sikre på at den digitale identiteten er ekte? spør Rygh retorisk før han fortsetter.

– Kanskje telefoni ikke er trygt nok. Kanskje vi må ha BankID-autorisert video inne i mobilbanken. Kanskje biometri blir obligatorisk, eller at man må skanne pass eller ID-kort for enkelte tjenester, sier han.

Hva skjer når agentene kommer?

Den raske KI-utviklingen har også gjort at vi nå må regne med at folk i løpet av 2026 faktisk vil begynne å ta i bruk KI-agenter for å handle på nett. Inkludert det å delegere betalingen til agenten.

Rygh mener det er en utvikling som vil gå raskere enn hva mange tror, men at lite vil skje før folk stoler nok på KI til å gi fra seg betalingsinformasjonen.

– Agenter er spennende. Jeg har testet løsninger som automatisk fyller ut reiseregninger, laster opp vedlegg og lærer underveis. De er utrolig kraftfulle, sier Rygh og fortsetter:

– Men hvis vi overfører dette konseptet til e-handel, og legger til at vi hela tiden må forholde oss til at de finnes kriminelle som jakter på penger derute, er vi tilbake ved spørsmålet: Hvem er det vi snakker med. Er det faktisk kunden? Eller er det en agent som agerer på kundens vegne – og vil den kunden vel?

– Mastercards Nordeuropa-sjef Erik Gutwasser mente i en ferskt intervju i BankShift at agent-utviklingen vil ende med at det til slutt bare er KI som kan avgjøre om KI-løsninger er til å stole på. Hva innebærer det for dere?

– Vi må tenke nytt. Mange av dagens verifiseringsmetoder – som captcha – er blitt for trivielle for AI å løse.

Captcha står for Completely Automated Public Turing test to tell Computers and Humans Apart og ble laget for nettopp å skille menneske og maskin.

– Vi må følge med i utviklingen, og være klare til å redefinere hvordan vi vet at det er en kunde vi snakker med. Utfordringen er at kundene vil ha løsningene som lager minst friksjon.