Banker beder om pas og kørekort tilsendt i pivåben mail

Flere banker beder deres kunder sende kopi af kørekort og pas over mail. Det skaber risiko for identitetstyveri og for at få rippet sin konto, forklarer formand for Rådet for Digital Sikkerhed, Rasmus Theede.

Nordea, Lån og Spar, Arbejdernes Landsbank, Santander Consumer Bank og Ikano Bank, beder alle deres kunder sende pas eller kørekort til dem over mail uden kryptering med risiko for, at uvedkommende kan opsnappe oplysningerne og misbruge dem.

»Det er selvfølgelig ikke i orden. Bankkunder er særligt udsat identitetstyveri,« begynder Rasmus Theede, der er formand for Rådet for Digital Sikkerhed, og tilføjer, at det desuden er firmaernes ansvar, jf. persondataloven, at have procedurer, der beskytter persondata:

»Det er bankens ansvar at tage de fornødne tekniske foranstaltninger og ikke bruge et system, der ikke er sikkert og er opfundet i 70’erne - det er absurd,« uddyber han til Version2.

Han er overrasket over, at problemet er til stede i større banker, selvom han havde hørt om, at mindre private firmaer kunne finde på det.

Står på flere bankers hjemmesider

Bankernes sløseri med oplysningerne viste sig, da flere på redaktionen fortalte, at de havde oplevet at få en mail, hvor banken bad om kopi af pas og kørekort. Et par Google-søgninger senere viste det sig, at nogle banker bruger det som almen procedure.

På Nordea Finans hjemmeside, står der for eksempel følgende, hvis man vil have et energilån.

Illustration: Screenshot

At sende sit pas over en åben mail skaber risiko for identitetstyveri, forklarer Rasmus Theede, som også tilføjer:

»Lige præcis pas er et af de allermest fortrolige dokumenter at opbevare – det er ikke længe siden, at der var en retssag, hvor folk brugte pas til at få fat i nem-ID og tømme bankkontoer.«

Almindelig branchestandard eller en fejl?

Også Ikano Bank og Santander Consumer Bank har en opfordring på deres hjemmeside til, at kunder sender kopi af pas eller kørekort til dem over mail i forbindelse med lån.

Illustration: Screenshot
Illustration: Screenshot

Ikano Bank skriver til Version2 at metoden er ’almindelig branchestandard', og at der 'pt. ikke findes klare regler inden for dette område’. Alligevel overvejer banken nu at erstatte mails med en upload-funktion.

Det har ikke været muligt at få en kommentar fra Nordea eller Santander Consumer Bank.

Hos Lån og Spar samt Arbejdernes Landsbank er det modsat ikke den almene procedure at bede om pas/kørekort over mail, skriver de til Version2. Begge banker har dog alligevel sendt en mail til kollegaer med netop den opfordring.

Vil arbejde for at få kryptering på mails

»Det overrasker os, for vi har en klar politik om ikke at indhente personfølsomme oplysninger på denne måde. Vi har ikke før hørt om sådanne lignende situationer,« skriver Arbejdernes Landsbank til Version2 og beklager mailen.

De vil arbejde for at kunder kan sende mails til dem i ’sikret form’.

Både Arbejdernes Landsbank og Lån og Spar skriver desuden, at de vil ’indskærpe’ over for deres medarbejdere, at de ikke skal bede om pas/kørekort over mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (39)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Jensen
  1. Mig bekendt fungerer "sikker post" dog kun inden for det offentlige selv, og ikke når private skal kommunikere sammen med det offentlige.

  2. Her kan jeg så ikke forstå hvorfor de i det hele taget skal have en kopi af legitimationspapirer, der er jo nemID login hos alle banker, det burde være nok.
    Men at sende den gennem e-boks kunne vel gøre det, banken har vel også en "sikker" post derinde.

Jakob Møbjerg Nielsen
Michael Jensen

Det er helt klart noget rod, og noget de bør få styr på.
MEN: Helt reelt, hvor stor en sandsynlighed er der så for, at der bliver lyttet på linjerne, og trafikken opsnappet? Set i forhold til f.eks. en korrupt bankmedarbejder, der lige snupper et par kunders ID, eller en korrupt (eventuelt tredjepartsfirmas) tekniker, der nakker et helt backup-sæt?

Henrik Pedersen

Jeg vil bare lige sige at Jyske bank gør det rigtigt med internt beskedssystem på deres hjemmesider, til at snakke med bankrådgiveren hvor til de også har upload. Selvfølgelig er det over HTTPS.

Jeg er dog lidt mere vild med Danske Bank's, omend lidt irriterende måde at gøre det på. Hver besked man sender (inklusive uploads) skal signeres med NemID og nøglekort, så det i praksis er "110%" og man derfor kan foretage sig stortset alt via nettet og en besked, da de kan vide sig (praktisk set fuldstændigt) sikre på det ikke er en anden.

Christian Schmidt

Jeg har aldrig rigtig forstået pointen med at sende kopi af billedlegitimation med posten. Hvis man ikke sammenligner fotografi (eller anden biometri) med personen af kød og blod, er der vel ikke meget sikkerhed i det?

En indskannet kopi af et pas er desuden meget lettere at forfalske end et rigtigt pas.

Brian Hansen

Samtlige online spille butikker (Battle.net, Steam, Origin, osv) kan finde på at opfordre dig til at sende et pas eller kørekort med email hvis din konto er blevet hacked og du skal bevise hvem den tilhører.
Og du kan godt glemme alt om at få den igen hvis du nægter.

Andreas Olsen

Ad 1) "sikker e-mail" fungerer mellem alle e-mail adresser der har tilknyttet et NEMID certifikat. Det værende en e-mail adr. i det offentlige, privat virksomhed eller personlig e-mail (jeg har tilmeldt min @gmail.com mail-adresse som sikker e-mail).
Dvs. at begge e-mail adresser skal være tilknyttet et certifikat, så kan man lave sikker udveksling.

Dermed ikke sagt at det nogle gange kan være en udfordring at anvende sikker e-mail, men det fungerer.

Alle sikre e-mail adresser kan søges frem her hos Nets: https://www.medarbejdersignatur.dk/produkter/nemid_medarbejdersignatur/i...

:)

Morten Grouleff

Danske bank beder også om foto af ID på email.

Jeg har netop fået en mail fra en Danske bank medarbejder, der bad mig sende foto af sygesikringsbevis og pas/kørekort som ukrypteret mail. (Jeg er ikke kunde i DB, men bestyrelsesmedlem i den lokale grundejerforening, hvor banken vil have se ID fra hele bestyrelsen, hver gang ,der udskiftes i den.)

Det er vel omtrent lige så betryggende, som da jeg tidligere sendte lignende fotokopier i en kuvert med postdanmark til banken.

Henning Hansen

Her kan jeg så ikke forstå hvorfor de i det hele taget skal have en kopi af legitimationspapirer, der er jo nemID login hos alle banker, det burde være nok.

Et kørekort er en tilladelse til at køre bil. Et pas er en identifikation til grænsekontrol.
Ingen af delene er obligatoriske, og ingen af delene kommer banken ved.
Hvis de vil have billed-id, må de selv lave det!

Peter O. Gram

Hvis en bank langer en masse af penge over disken til en, der er i stand til at fremvise en udskrift af et indscannet pas, hvorpå der er et billede, der i øvrigt ikke ligner 'kunden', så er det efter min meningen banken, der skal stå for tabet og ikke personen på pasbilledet. Det er jo helt forrykt, at det skal kunne lade sig gøre at stjæle en identitet bare fordi man kan fremstamme et cpr-nummer eller fremvise et fotografi af et pas.
Skulle det vise sig at ingen banker er så tåbelige, så burde det være forbudt at fremmane sådanne skræmmebilleder, sådan som denne her artikel gør det.
Det undrer mig i øvrigt at ingen synes at harcelere over at banken skal have årsopgørelser og lønsedler. Det er da mere privat end ens kørekort og pas.

Martin Liversage

Efter min mening er det største problem ikke at skannede pas og andre dokumenter sendes uden kryptering. Problemet er at dokumentet efterfølgende ligger i din mailbox hvis du ikke husker at slette det. Uden at have konkret viden så tror jeg at sandsynligheden for at ens mailbox (fx Gmail) bliver hacket er langt større end at en bestemt mail opsnappes.

Den værste historie jeg har hørt mener jeg at have læst i et trykt magasin, og derfor kan jeg ikke finde den på nettet. Men efter hukommelsen drejede det sig om en mand fra Sydafrika som havde investeret i et par huse i Australien som en slags pensionsopsparing. På et tidspunkt besøgte han sine huse og kunne konstatere at det ene hus havde skiftet ejer. Nogen havde stjålet hans hus og solgt det. Det var foregået via identitetstyveri da hans Gmail var blevet hacket. Et skannet pas og måsket et skøde gjorde det muligt for tyvene at sælge huset.

Så mit råd til venner og bekendte som er nødt til at sende dokumenter med mail er at slette dokumenterne fra deres mailbox og cloud-drev så snart de er sendt.

Anonym

Her er hvad Nordjyske Bank skrev til mig Dato 18.04.2016, og efterfølgende aldrig vendte tilbage, jeg var åbenbart en dårlig kunde, når jeg ikke ønskede at sende mine data via. åben mail?

Hej Henrik

Vi har ikke på nuværende tidspunkt et system til at kunderne uploade dokumenter sikkert. Så alternativet må være fysiske kopier. Du er naturligvis velkommen til at sende disse med posten eller møde op på adressen, så skal jeg selv sørge for at tage kopier så du kan få dine originaler med hjem igen.

Du er naturligvis også velkommen til at se dig om efter en bank som har de it sikkerhedsmæssige løsninger du efterspørger.

Venlig hilsen
XXXX XXXX
Kunderådgiver

Gert Madsen

Det er pga. hvidvask-loven


Niks.
Der står ingen steder i loven om hvidvaskning, at nogen skal have kopi af billedlegitimation.
Det står heller ingen steder i vejledning fra finanstilsynet.

Derimod står der at finansvirksomheder skal sikre sig at de kender identiteten på dem, som de handler med, og registrere at det er gjort.
Det vil jo almindeligvis sige at en medarbejder skal notere at vedkommende kender kunden, eller har set legitimation.

Vi kan kun gætte på, hvorfor bankerne har opfundet ideen om at kræve en kopi af legitimation.
Men det giver en voldsom forøgelse af risikoen for identitetstyveri, og det er i den grad disrespekt for kunderne.

Men desværre har bankerne en helt urimelig særstatus, hvor de får lov at aftale den slags tiltag indbyrdes.
Andre brancher havde fået sikker dom for kartelvirksomhed.

Gert Madsen

Helt enig, Christian.

Det kræves så heller ikke i loven om hvidvaskning.
Men de fleste banker påstår at det er årsagen, og feks. Sydbank går så langt som til direkte at påstå at det står i loven. Jeg går ud fra at de har jurister, som kan læse indenad, så vi kan vel kun antage at de bevidst lyver overfor deres kunder.

Jakob Møbjerg Nielsen

Det står heller ingen steder i vejledning fra finanstilsynet.

Du har teknisk set ret. Det er ikke et krav, men en anbefaling (fra afsnit 10.4.3.2):

  1. Hvidvaskloven stiller ikke krav om forevisning af billedlegitimation, men billedlegitimationen er en mere sikker legitimationsmåde, når kunden møder fysisk op ved etableringen af kundeforholdet, fordi virksomheden da har mulighed for at sammenligne personens ansigt med billedet på legitimationsdokumentet. Det anbefales derfor, at der i disse tilfælde stilles krav om billedlegitimation.

  2. Det anbefales derfor, at virksomheden forlanger forevisning af billedlegitimation udstedt af offentlig myndighed, f.eks. Pas Kørekort

Det er lettest for bankerne at følge denne anbefaling, for så er der ingen tvivl om man har "tilstrækkelig legitimation". Finder Finanstilsynet noget "utilstrækkeligt" (hvad end det er legitimation eller kreditvurderinger), kan det hurtigt blive en dyr fornøjelse for banken.

(Der skulle stå 49. og 50. i citatet, men Version2s cms insisterer på at skrive en numereret liste)

John Foley

Bemærk, at ingen offentlig instans tager ansvar, udtaler sig eller tager opgaven på sig. Kun private, selvudnævnte og såkaldte eksperter udtaler sig om det uhensigtsmæssige og åbenlyst forkerte i dispositionerne. Ingen af de eksisterende offentlige eller private instanser har den fornødne pondus, indsigt eller kompetence til at gøre noget ved problemet. Heller ikke EU's forordning vil medføre forbedringer, desværre.
Derfor - endnu engang - påpeges et behov for et uvildigt og neutralt råd, med deltagelse af repræsentanter fra det offentlige og private samt forskningsverdenen, der får både magt, ret og beføjelser til at gøre noget ved de utallige problemer og udfordringer, der dagligt afdækkes og afsløres. Det er allerede for længe siden gjort i mange andre lande vi normalt sammenligner os med, men desværre er Danmark, traditionen tro, fodslæbende grænsende til det kriminelle.

Gert Madsen

det er tilsyneladende dette påbud


Den almindelige praksis har været at man mente at kende sine kunder.
Nu skal man så have registreret, at man reelt har tjekket identiteten på sine kunder.
Heller ikke dette kræver nogen kopi af legitimationen.

Det er værd at bemærke at denne nye praksis faktisk er i modstrid med ideen i loven mod hvidvaskning. Man undlader at få folk til at møde op, og i stedet beder man om en kopi af legitimationen.
Det kræver ikke megen indsats af Muhammed Fanatiker Jensen at kopiere et billede af Lars Løkke ind over et stjålet pas, og derefter overføre penge til den foretrukne terrororganisation.
Jeg ved heller ikke om nogen forestiller sig at det kunne have bremset Stein Bagger.

Jakob Møbjerg Nielsen

Nu skal man så have registreret, at man reelt har tjekket identiteten på sine kunder.

Bemærk at vejledningen er 3 år ældre end dommen.

Heller ikke dette kræver nogen kopi af legitimationen.

Men lovgivningen giver helt specifikt lov til netop dette. Det er livrem og seler, i modsætning til sagen jeg linkede tidligere. Man kan muligvis argumentere for, at sektoren er gået fra én yderlighed til en anden, ifb. med fortolkningen af vejledningen.

Det er værd at bemærke at denne nye praksis faktisk er i modstrid med ideen i loven mod hvidvaskning.

Det er det vel kun, hvis man ikke beder en ukendt kunde om at møde personligt? Alternativt at signere de uploadede dokumenter med NemID, hvis man har systemet til det.

Ole Laursen

Det er værd at bemærke at denne nye praksis faktisk er i modstrid med ideen i loven mod hvidvaskning. Man undlader at få folk til at møde op, og i stedet beder man om en kopi af legitimationen.

Enig. Loven nævner jo også nogle andre muligheder. Men det der med billedlegitimation sidder fast, også selvom der netop står klart og tydeligt at det er en fordel når man fysisk møder folk.

Det er ren og skær jurist-cover-my-ass. EU har vedtaget hvidvasklovgivning, og det kan man jo måske godt forstå at visse lande har stærkt behov for og med det indre marked osv., men det er kørt igennem med venstre hånd hele vejen ud til forbrugerne her i landet.

Eskild Nielsen

Det er sikkert tanken at banken kan bevise at de har set billed-ID, men det er da kun en billed ID, der er blevet forevist fysisk, der har værdi?

Selvfølgelig kan en en bankmedarbejder, der både har set personen og den elektronisk fremsendte være i stand til at afgøre om det er fup, men ellers er 'chain of trust' da sprængt med det samme?

Martin Grove

De burde vel anvende Digital Post. Alle virksomheder kan sende og modtage Digital Post fra via E-boks' løsning, medmindre de er fritaget - http://www.e-boks.dk/page.aspx?pageid=3d94a806-4c2d-4a90-8fa8-c637075d58b2

Problemet er at få leveret Digital Post fra E-boks til virksomhedens interne sikre e-mail miljø - det kræver infrastruktur og integration til Digital Post snitfladerne.

Denny Christensen

Ifm deres roderi med hvidvask fik jeg som Nordea kunde et spørgeskema, som jeg behørigt ignorerede.

På et tidspkt kunne jeg se at min netbank adgang ville udløbe såfremt jeg ikke fik besvaret skemaet. Deres problem som jeg så skulle løse...

Nå af med sølvpapirhatten og i gang med spørgsmålene, der for en dels vedkommende forekom mig mere at være af marketingskarakter end at have noget som helst med hvidvask at gøre.

Til sidst skulle jeg, der havde logget ind på Netbank med NemID, tage et billede af mit kørerkort (tror det var kørekortet) og sende med. Niks -. det sker ikke. Selv ikke med https stående i URL.

Det ringede jeg så og brokkede mig over, det hjalp ikke. Men slutteligt fik de da lavet skemaet om til at handle om hvidvask alene og uden upload. Så kunne jeg da i det mindste fortsat have netbank adgang.

Det er givet sikkert nok med https, men bare det at de spurgte, når jeg nu var logget på med NemID, viser at der var tale om amatører.

Næste gang må jeg troppe op i banken og insistere på at besvare skemaer på papir :-)

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize