Slut med phishing-forveksling: Banker får teknisk alternativ til indskannet pas i mails

Bankdata er på vej med en løsning, så flere danskere får mulighed for at sende personlige filer sikkert via netbanken.

Du har måske prøvet det? Der tikker en mail ind fra din bank, der lige "har behov for en indscannet kopi af dit pas, for at banken kan leve op til lovgivningen om hvidvaskning."

Men som den fornuftige bruger du er, så tænker du, der kan være tale om et udspekuleret phishing forsøg fra it-kriminelle, hvorfor du nægter at sende en scanning af passet via almindelig mail.

Hvis ovenstående scenarie eller noget, der minder om det, vækker genklang, kan en forklaring måske være, at du er kunde hos et af de 11 danske pengeinstitutter, der anvender Bankdatas netbankløsning.

Læs også: Banker beder om pas og kørekort tilsendt i pivåben mail

I denne løsning er det nemlig - modsat flere andre netbanker - ikke muligt at sende vedhæftede filer til banken via den almindelige netbank-kommunikation. Og så kan de eneste alternativer være et fysisk brev, et besøg i en lokalafdeling eller den nemme, men usikre løsning: en vedhæftet fil via almindelige mail.

Men snart får også Bankdatas brugere mulighed for at vedhæfte filer via netbanken. Det sker når version 2 af Bankdatas kommunikationsplatform til netbanken bliver rullet ud omkring sommerferien, fortæller afdelingsleder hos Bankdata Thomas Højmark Grønbæk.

»En case kunne være, at man skal have noget legitimation ind til sin rådgiver, for eksempel sit pas. Når version 2 kommer ud, så vil man kunne trykke på en knap til 'vedhæftning af fil' og så kunne sende en eller flere vedhæftninger med,« siger han.

Bankdata har allerede opdateret kommunikationsplatformen i netbanken set fra bankrådgiverens perspektiv, hvilket der er kommet flere positive tilbagemeldinger på fra brugerne, fortæller Thomas Højmark Grønbæk.

Og det er faktisk også den nye platform og de nye tjenester, som netbankkunderne kommunikerer via, selvom front-enden i netbanken ligner sig selv, forklarer han.

Sandboxing

Selvom en funktion til at vedhæfte en fil kan lyde relativ banal, så er der flere elementer, Bankdata lige skal have helt styr på, inden netbank-kunderne får mulighed for at vedhæfte filer.

Først og fremmest skal sikkerheden være i orden. Når det bliver muligt at sende filer til bankrådgiveren bliver det potentielt også muligt at sende ondsindede filer, hvad enten det er tilsigtet eller ej.

»Vi regner med at bruge en sandboxing teknologi, hvor hver fil bliver undersøgt for virus, makroer og malware, så vi er helt sikre på, vi har siet det fra, inden det kommer indenfor,« siger Thomas Højmark Grønbæk.

I den forbindelse fortæller han, at en løsning kan være, at det i første omgang kun er muligt at vedhæfte billedfiler og pdf'er. Og hvis det så viser sig, at det i virkeligheden dækker 90 pct. af behovet for vedhæftede filer, så kan det tænkes, at løsningen bliver ved med kun at understøtte billedfiler og pdf'er, forklarer Thomas Højmark Grønbæk.

Han tilføjer desangående, at Bankdata »i den agile ånd«, lytter på feedback fra både slutbrugerne, kunden, og rådgiverne.

Konkret hvilken sandbox-teknologi, Bankdata vil gøre brug af, er endnu uvist, men virksomheden er ved at se på forskellige produkter, oplyser Thomas Højmark Grønbæk.

Arkivering

Udover sikkerheden i forhold til de vedhæftede filer, så skal filerne arkiveres i nogle systemer, som både bankrådgiver og kunde er fortrolige og tilfredse med, forklarer Thomas Højmark.

»Så der er en transparens i forhold til, hvad der er sendt mellem parterne. Det skal være en god og brugervenlig løsning,« siger han.

Når det ikke allerede er muligt at vedhæfte filer i Bankdatas netbankløsning, hænger det sammen med, at kommunikationsdelen af løsningen er lavet helt om.

»Vi har haft en løsning på bankrådgiver-siden, som ikke var god nok. Hvor fundamentet ikke har været specielt brugervenligt,« fortæller Thomas Højmark Grønbæk.

Og det er dette fundament, som Bankdata har arbejdet på at udskifte siden efteråret 2016, og som nu er klar i version 1, hvor den kommende version 2 så tilfører mulighed for at tilføje filer i kommunikation til og fra banken.

Thomas Højmark Grønbæk understreger, at selvom det i dag ikke er muligt at vedhæfte filer direkte i netbanken, så tilbyder flere af de banker, der anvender den nuværende løsning fra Bankdata, en mulighed, hvor kunder kan sende eksempelvis et billede af et pas via e-boks i stedet for almindelig mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Heisterberg

Jeg har ingen anledning til specielt at forsvare bankmedarbejdere.
Men glem ikke de inkompetente lovgivere - som laver love uden rimelige undtagelser i forhold til netop det du beskriver.

Jeg har fire børnebørn. Til den første, på 10 år, var det intet problem at lave en børneopsparing. Til den sidste, på 3 år, var der alverdens dokumentationskrav - og jeg (og barnets far) havde været kunde i banken i omkring 65 / 35 år. Hvorfor krav: jo, hvidvaskning af penge.

Hvor svært kan det være for en lovgiver at skrive: for kunder med over 5 års anciennitet i banken, ......
Mod tåber kæmper selv guder forgæves !

Christian Nobel

Jeg tror ikke at det er banken, der betvivler din identitet. Snarere lovgivning, der gør at de skal kunne dokumentere at de ved hvem deres kunde er

I følge hvidvaskningsloven skal bankerne kende deres kunders identitet, men der er intet lovkrav om at de skal opbevare en kopi af pas, kørekort, eller lignende.

https://www.version2.dk/comment/334392#comment-334392

Derfor er det meningsløst at opkræve disse kopier for kunder der har være i banken i mange år, med mindre der ligger andre motiver bag, godt skjult af en mørkelampe.

I øvrigt kan det undre at det såkaldte NemID sagtens kan bruges til f.eks. tinglysning af et hus, men åbenbart ikke anses for validering fsva. hvidvaskningsloven - men det er så bare en af mange selvmodsigelser i forbindelse med NemID løsningen.

Jacob Rasmussen

Nordea må meget gerne læse med her, da deres mail løsning i netbank sjovt nok kan vedhæfte dokumenter fra banken til kunden, men ikke den anden vej?

Derudover er det fremover ikke kun banken, der skal bruge den slags løsninger.
Jeg er ved at leje en ny lejlighed, og ejendomsadministratoren, der jo arbejder for et advokatfirma, skal have kopi af mit sygesikring og pas eller kørekort, før de må tage imod mit indskud. Det er simpelt hen hvidvaskningsregler, fik jeg at vide.

De lover selvfølgelig at opbevare mine oplysninger fortroligt og sikkert, og slette dem igen når jeg flytter fra lejligheden, men de foreslog da også at jeg lige kunne skanne dem ind og sende dem i en email? Tak, men nej tak!

Lars Meldgård

Mon ikke det er noget i denne stil bankerne henviser til?

https://finanstilsynet.dk/Lovgivning/Lovsamling/Andretilsynslove/Hvidvas...

I punkt 10.2.1.4:
Ved ”legitimation” forstås dokumentation for, at identitetsoplysningerne er korrekte. Det kan eksempelvis være pas, kørekort, udskrift af Erhvervsstyrelsens register

Det går ud på at banken skal kende sin kunde - og ved eks. pas kan kunden bevise hvem han er. Det KAN også være noget andet end pas, men dog noget officielt dokument.

Men der står samtidig i punkt 10.4.3.2.1 at kunden skal være fysisk til stede ved legitimations-handlingen. Det er altså aldrig nok kun at sende elektronisk, hvorfor at den i artiklen omtalte løsning er lidt søgt...

Jacob Mathiasen

Jeg skiftede bank fra Danske Bank til Nordea engang i efteråret. - Ved den lejlighed fik de opfyldt dokumentationskravene. Sørme om jeg så ikke skal sende dem igen nogle få måneder senere... Som om at Nordea ikke vidste, hvem jeg var når det var dem selv som overførte mig fra Danske Bank, hvor jeg har været kunde i 30+ år.

Er det nu sådan at man skal belemres med det her pjat hver 6 måned fordi banken ikke kan huske fra næse til mund? Eller hver gang et eller andet sker hos dem og ikke hos mig?

Hvad er det næste? Måske skal jeg bekræfte min adresse hver dag - så de ved jeg stadigvæk bor der og eksisterer?...

Daniel Korsgaard

... at jeg sender et foto af mit pas til nogen som helst.

Så finder jeg en anden bank. Og hvis alle banker kræver dette, jamen så må jeg jo bare få udbetalt min løn i kontanter. Hurra for anti-hvidvaskning af penge.

Men jeg skal da glædelig gå ned i banken og vise dem mit pas, for mig bekendt er det ikke et billede af mit pas, som identificerer mig, men udelukkende det fysiske pas.

Og faktisk, er min 'nemkonto' jo netop ved kun én bank, ergo er det enten min konto, eller også har jeg slet ikke en bankkonto. Hvor svært kan det være?

Det er simpelthen blevet helt vanvittigt alle de steder man skal identificere hvem man er. Bare for at have et abonnement til kontaktlinser, skal man oplyse alt, inklusiv fuld adresse, fuld navn, og CPR nummer.

De gør det meget nemt at vælge hvor man ikke vil være kunde. Jeg finder bare et andet sted. På et eller andet tidspunkt må det ende med at blive en konkurrence parameter, når der kun er én bank/optiker/whatever som ikke er fuldkommen vanvittig,

Søren Rønsberg

@Lars Meldgård

Nu er det jo ikke fordi du bliver tilbudt en opbevaringsordning, men det er vel en naturlig følge af forevisning, for hvordan skulle et firma ellers bevise at forevisningen er sket?

Det har man haft en ganske simpel løsning på i forbindelse med modtagelse af de nu nedlagte checks:
Man noterer simpelthen pasnummer eller kørekortnummer.

Det er i øvrigt et vanvittigt system, der medfører masser af besvær for private og foreninger, samtidig med at staten aktivt laver handler med firmaer via skattely.

Mange banker og Nets udsender breve hvor der står at man skal aflevere legitimation, hvis man ikke allerede har gjort det. Det vil sige at man ikke kan se om de reelt mangler den.
For den forening hvor jer er kasserer betød det et halvt års forsinkelse på kontingentopkrævninger. Vores Betalingsservice blev nedlagt (uden vi fik besked) fordi banken havde overset de kopier af legitimation der lå i vores sagsmappe.

Lars Meldgård

@Søren Rønsberg
Jeg er klar over begrebet distancekunder, og de er også nævnt i loven, men jeg ser ikke at de slipper nemmere end andre, tværtimod.

i punkt 68: Der stilles skærpede krav...
i punkt 70: De skærpede krav til legitimation m.v. betyder, at der skal træffes yderligere foranstaltninger ...

Læs selv resten, og vær venlig at præcisere hvor du er uenig i mit udsagn.

Hvis forretninger sender breve ud med en formulering som du refererer (send ind hvis du ikke har gjort det i forvejen) tyder på at de pågældende virksomheder faktisk ikke aner OM en kunde tidligere har forevist.
Jeg er helt alignet med dig om at det er irriterende og formynderisk - men er der andre muligheder når lovteksten nu er som den er?

Finn Balle-Larsen

Egentlig handler denne tråd om at kunne sende information sikkert til f.eks banker og pengeinstitutter, men jeg tillader mig alligevel at lave et indlæg om noget lidt andet. Man kunne sige, at grunden til at man skal bruge en sikker overførsel er, at man ønsker at sende sensitiv eller privat information.
Så spørgsmålet er måske snarere hvad banker og pengeinstitutter skal bruge vores billedlegitimation til bagefter?
Selv henviser de blot til finanstilsynets anbefaling:
http://www.finansraadet.dk/nyheder/Pages/artikler-fra-finansraadets-nyhe...

I linket er der ikke taget hensyn til registertilsynets afgørelse i 1997 om at bankerne ikke må opbevare foto af personer. Senere i 2005 har datatilsynets direktør også udtalt, at finanstilsynet ikke har forlangt, at pengeinstitutterne skal destruere disse billedarkiver.
Måske de ikke kender forskellen på en fotokopi og en kopi af et foto :-)

Jeg kunne forestille mig, at det er "nemmere" for de store pengeinstitutter at gøre foto legitimationen obligatorisk og at de derved i virkeligheden undgår at skulle tage individual stilling til om risikoen ved og identifikationen af den enkelte person . Om det så bliver billigere eller bedre, det må fremstå i det uvisse.
Det er i hvertfald ikke effektivt for kunderne at der findes en billeddatabase i hvert eneste pengeinstitut, og det gavner næppe de mindre pengeinstitutter; idet de ikke høster stordrift fordelene.
En bedre vej kunne være at bruge det fremsatte folketingsforslag forslag B31 om et borgerlegitimationskort kombineret med nem-id.
Næsten alle brugere af netbanker, tinglysning , skat og adresseflytning benytter allerede nem-id, om ikke dagligt, så ofte til at lave transaktioner der entydigt identificerer os som kunder.
Så slipper vi for at have private billedlegitimations databaser der skal administreres, med ekstra omkostninger for kunderne og vores elektroniske identiteter bliver sikrere.

Henrik Hansen

Men glem ikke de inkompetente lovgivere - som laver love uden rimelige undtagelser i forhold til netop det du beskriver.

BINGO!!!

Det er langt fra altid med bankmedarbejdernes gode vilje at det her foregår, men når loven siger at KYC (Know Your Customer) og AML (Anti Money Laundering) procedurerne altid skal gennemføres, og juristerne i Compliance-afdelingen ikke har andet valg en at give medarbejdere der vælger at følje lovens ånd, og ikke lovens ord, en tjenestelig samtale og en skriftlig advarsel, ja så ender vi i den her situation.

Sverige har været lidt længere fremme i skoene end Danmark med implementeringen af AML og KYC lovgivning, og en tidlige svensk bank-kollega brokkede sig for mange år siden til mig over, at hendes 3-årige datter skulle medbringe mindst 3 typer legitimation, heraf mindst 1 stk. billedlegitimation, ved oprettelse af datterens børnekonto, så banken kunne KYC-kontrollere at hun ikke var på nogen terrorliste, før de oprettede hendes børnekonto.

...vel og mærke den samme bank som hun selv var medarbejder hos, og havde arbejdet for i mindst 10 år på det tidspunkt, som havde sendt tillykke-kort og blomster ved datterens fødsel og havde manglet end medarbejder i et års tid under barslen.

-- MEN --

Spørgsmålet er, om det er bedst at diktere at KYC- og AML-lovgivningen ikke må gradbøjes under nogen omstændigheder noget sted i EU, med de ulemper det så medfører i vores nogenlunde korruptionsfri nordiske samfund, eller om det er bedre at indskrive en hvis andel af fleksibilitet og sund fornuft i lovgivningen, med de ekstra risici det så medfører i de mere korrumperbare dele af Europa.

Jeg ville ønske at den sunde fornuft kunne vinde dette slag, men jeg er bange for den mindste mulighed for gradbøjning af AML- og KYC-lovgivningen vil blive misbrugt, da der er milliarder af sorte euro i omløb, hvis ejermænd med lys og lygte søger efter metoder hvorpå de kan hvidvaskes.

Steen Grode

I direktivet står kun at man skal kende kunden (og så være agtpågivende osv.)
I den danske lov står der at man enten skal identificere sig med navn, adresse og cpr.nr. eller anden lignende dokumentation (fx er der nogen som ikke har cpr.nr. selv om de er lovligt i Danmark, og der er nogen som ikke har fast adresse).

I nogle fortolkninger bliver det til at man skal have legitimation (fx pas, som det fx er tilfældet på hoteller) og i andre yderligere at man også skal legitimere en fast adresse. Men det er fortolkninger og det store spørgsmål er hvorfor fortolkninger kan få næsten retsvirkning.

Det tragiske er at vi stille og roligt bliver hvirvlet ind i et samfund der er en hybrid af Orwell's 1984 og stavnsbåndet.

Gert Madsen

Så slipper vi for at have private billedlegitimations databaser der skal administreres, med ekstra omkostninger for kunderne og vores elektroniske identiteter bliver sikrere.


Og fremstillerne af falske pas, skal bare finde eet råddent æble i finansinstitutionernes kurv, for at forbedre forretningen betydeligt.
Og i modsætning til at at tage af kassen, så er det ikke nemt at opdage.

Alt dette er forårsaget af en reprimande til Sydbank, som ikke var i stand til at redegøre for om de havde fået legitimeret deres kunder.
I stedet for at gøre som der lægges op til i hvidvaskningsloven, nemlig at en medarbejder ser legitimation, og noterer at nu er det tjekket (evt. skriver under på det), så vil man pinedød opbygge et register over legitimation.

Årsagen kan man jo gætte på.
Mit gæt vil være at man ser en risiko for at banken kan blive hængt op på at have godkendt falsk legitimation.
Ved at lave et register, kan man henvise til det.
Al risiko som sådan et register medfører, ligger helt på kundens side, så det er man trekvart ligeglad med.

Christian Nobel

Mit gæt vil være at man ser en risiko for at banken kan blive hængt op på at have godkendt falsk legitimation.
Ved at lave et register, kan man henvise til det.
Al risiko som sådan et register medfører, ligger helt på kundens side, så det er man trekvart ligeglad med.

Det minder lidt om historien om billedet på Dankortet (jamen hov, var det ikke en form for identifikation i sig selv?).

Billedet i Dankortet var en fremragende ide, da det også gav folk uden kørekort en mulighed for at have billed id

Men så skete der jo det, at der var en pige der fik stjålet sit Dankort, hvorefter personen som havde stjålet det hævede kontanter i en bank - personen var vel at mærke en fuldvoksen mand med skæg, men bankassistenten løftede ikke et øjenbryn.

Det gav selvfølgelig efterfølgende en farlig masse ballade, hvorefter bankene besluttede, jamen så skulle der da ikke være billede på Dankortet, for så ville deres ansvar i en tilsvarende situation jo være minimeret.

I vanlig stil, bankerne laver CMA manøvrer, og fraskriver sig enhver form for ansvar.

Log ind eller Opret konto for at kommentere