Kontantlösa butiker

[dr Cassandra Nojdh]

...
BankID-kartellen skulle i alla fall, som en kortsiktig åtgärd, kunna göra förfarandet med kontroll mot pass eller nationellt ID-kort obligatoriskt varje gång ett mobilt BankID utfärdas på distans....

Det vore förmodligen väldigt bra, och då tillsammans med ett krav på att besöka ett godkänd valideringsställe (kanske det lokala postombudet eller liknande)

BankID-kartellen kommer aldrig att anlita "det lokala postombudet". Och inte vill de ha in kunderna till sina (allt färre) bankkontor heller, vilket skulle bli följden om något av dessa förfaranden skulle bli obligatoriskt. Många vill inte/anser sig inte behöva skaffa pass eller nationellt ID-kort (det kostar för tusan -lar hela 400 kr., det är kö hos polisen, ska jag behöva åka 20 mil för detta och varför duger inte mitt körkort). Då blir de förbannade, går hem, och röstar på ett visst parti i nästa val. Några typiska reaktioner från "svenska folket" kan man läsa om här: https://www.sweclockers.com/forum/trad/ ... llt-id?p=1
Där struntar man i regel om någon snorunge eller gamling är så -la korkad att den låter sig luras (säger undertecknad, som inte bara är gammal utan även igår fick ett indiskt "I'm calling from Microsoft"-samtal - det första efter pandemin!).

Det intressanta är, som jag skrev tidigare, att Freja ID har slopat kravet på att besöka godkänt valideringsställe om man kan verifiera sitt Freja-konto (Freja+) med svenskt pass eller nationellt ID-kort

Så skaffar du Freja+
Det finns två sätt att få Freja+ på:

1. Slutför din registrering med ett svenskt pass eller nationellt ID-kort - då får du Freja+ direkt.
2. Slutför din registrering med en annan slags ID-handling och besök ett av våra ombud för en snabb säkerhetskontroll på plats.

[dr Cassandra Nojdh]

Telefonbedrägerier göder gängen – augusti ny rekordmånad (DN)

Någonting behöver göras, och det ganska snabbt också. Men bankerna kommer inte att göra något om ingen tvingar dem! Är det någon som tror att Kristersson-regimen - som ju säger sig ha förklarat krig mot "gängkriminaliteten" (ett missvisade uttryck eftersom det här rör sig om rena maffiastrukturer) - kommer att göra det?

[Odd]

Som sagt. Slopa möjligheten till att ge ut Mobila Bankid rekursivt.

Kanske behöver man till och med lagstifta om det för att det skall bli genomfört.

Men framför allt, slopa personnumret som primärnyckel. Det är det som är ingången och så länge som samma nyckel, dvs personnumret, används i allmänna register och som kundnummer, så kommer dessa bedrägerier att bestå.

[dr Cassandra Nojdh]

Som sagt. Slopa möjligheten till att ge ut Mobila Bankid rekursivt.

Kanske behöver man till och med lagstifta om det för att det skall bli genomfört.

Men framför allt, slopa personnumret som primärnyckel. Det är det som är ingången och så länge som samma nyckel, dvs personnumret, används i allmänna register och som kundnummer, så kommer dessa bedrägerier att bestå.

Bortsett från utläggningarna om personnumrets användning, som är en större fråga - hur skulle det då gå till? Menar hr. Odd möjligen att ett mobilt BankID överhuvud taget inte ska kunna tas ut på distans? Beskriv gärna förfarandet i detalj.

Jag talar här själv om temporära förbättringar inom BankID-systemet. EU:s identitetsplånbok, som Encceladus-kollektivet ständigt återkommer till, kommer säkerligen att ställa större krav än så.

[Odd]

Jag menar att ett Mobilt Bankid inte skall kunna användas för att ge ut ett Mobilt Bankid, dvs rekursivt.
Tekniskt sett skapas ett nytt certifikat baserad på en certifikatskedja som går direkt tillbaka till root-certifikatet, men förtroendemässigt baseras själva utgivandet på en certifikatskedja som är bruten. I vanliga fall skulle en säkerhetsorganisation, såsom en bank eller motsvarande, inte godta detta men eftersom förfarandet maskeras genom att man ger ut ett nytt certifikat som inte avslöjar hur förtroendekedjan egentligen ser ut.

Det kan vara lite lurigt att förstå, och jag förstår varför, det är ganska avancerat, men ändå enkelt. Då jag har sysslat med sån där data där certifikatskedjor är en nödvändig del av datasäkerheten, ser direkt vad problemet är.

identity-chain.png (108.51 KiB) Visad 964 gånger

[dr Cassandra Nojdh]

Jag menar att ett Mobilt Bankid inte skall kunna användas för att ge ut ett Mobilt Bankid, dvs rekursivt.
Tekniskt sett skapas ett nytt certifikat baserad på en certifikatskedja som går direkt tillbaka till root-certifikatet, men förtroendemässigt baseras själva utgivandet på en certifikatskedja som är bruten. I vanliga fall skulle en säkerhetsorganisation, såsom en bank eller motsvarande, inte godta detta men eftersom förfarandet maskeras genom att man ger ut ett nytt certifikat som inte avslöjar hur förtroendekedjan egentligen ser ut.

Det kan vara lite lurigt att förstå, och jag förstår varför, det är ganska avancerat, men ändå enkelt. Då jag har sysslat med sån där data där certifikatskedjor är en nödvändig del av datasäkerheten, ser direkt vad problemet är.

Det där var inte alls särskilt svårt att förstå. Den principella problembeskrivningen är helt logisk. För att tillitskedjan inte ska brytas fordras att något ytterligare certifikat/certifiering tillförs i det sista steget. Vissa banker verkar kräva något ytterligare certifiering, utöver ev. tidigare existerande mobilt BankID, som via BankID på kort eller via koddosa. De utfärdande bankerna verkar ha rätt stor frihet beträffande hur de utformar sina procedurer. Ev. är det en del av problemet.

Men beskrivningen ovan svarar inte på min fråga om hur ett alternativt förfarande praktiskt skulle kunna gå till? Strikt tolkat skulle ovanstående innebära att man inte alls någonsin skulle kunna ta ut ett mobilt BankID på distans, om banken varje gång ska gå i god för att det är rätt person som gör det.

Om man jämför med det baltiska bankoberoende SmartID-systemet så verkar det kräva att när ett sådant SmartID löpt ut som måste ett nytt verifieras med hjälp av det statliga ID-korten, som i sin tur innehåller ett hårt certifikat. Där verkar inget personligt besök krävas eftersom man förlitar sig på att den som använder det statliga IDkortet också är dess innehavare. På liknande sätt verkar likaledes bankoberoende Freja fungera, även om chipet i pass eller id-kort inte är ett certifikat i egentlig mening. Det förklarar antagligen varför man måste dels skanna ID-uppgifterna på passet/kortet och sedan läsa av motsvarande uppgifter från chipet. Det anses väl på något sätt garantera äktheten.

Sedan kan varje bankkund i en BankID-utfärdande bank ha upp till tre samtidiga BankID. Även det kan faktiskt ifrågasättas.

[Odd]

...
Men den svarar inte på min fråga om hur ett alternativt förfarande praktiskt skulle kunna gå till? Strikt tolkat skulle ovanstående innebära att man inte alls någonsin skulle kunna ta ut ett mobilt BankID på distans, om banken varje gång ska gå i god för att det är rätt person som gör det.

Jag är övertygad om att ingenjörerna och teknikerna bakom BankID klarar av att hantera detta när de väl går upp för dem att det faktiskt är ett av de två orsakerna till att vi har så mycket bedrägerier just nu. Men så länge som inte bankerna får stå för kostnaderna för bedrägerierna (de har ju trots allt orsakat dom genom att välja att inte täppa igen luckorna) så kommer dom inte göra något. Tvärtom, många banker tjänar pengar på att bedragna kunder blir skuldsatta, för då får man ta in ränta, förseningsavgifter, indrivningsavgifter och annat smått och gott som kan få en knaper ekonomi att tilta över.

[dr Cassandra Nojdh]

...
Men den svarar inte på min fråga om hur ett alternativt förfarande praktiskt skulle kunna gå till? Strikt tolkat skulle ovanstående innebära att man inte alls någonsin skulle kunna ta ut ett mobilt BankID på distans, om banken varje gång ska gå i god för att det är rätt person som gör det.

Jag är övertygad om att ingenjörerna och teknikerna bakom BankID klarar av att hantera detta när de väl går upp för dem att det faktiskt är ett av de två orsakerna till att vi har så mycket bedrägerier just nu. Men så länge som inte bankerna får stå för kostnaderna för bedrägerierna (de har ju trots allt orsakat dom genom att välja att inte täppa igen luckorna) så kommer dom inte göra något. Tvärtom, många banker tjänar pengar på att bedragna kunder blir skuldsatta, för då får man ta in ränta, förseningsavgifter, indrivningsavgifter och annat smått och gott som kan få en knaper ekonomi att tilta över.

Så är det säkert, men jag efterfrågar inte den tekniska lösningen utan en procedurbeskrivning, dvs. "kundens" förfarande för att ta ut och förnya sitt mobila BankID. Alltså på en logisk, eller om man så vill konceptuell nivå, inte en teknisk.

[Enceladus]

...
Men den svarar inte på min fråga om hur ett alternativt förfarande praktiskt skulle kunna gå till? Strikt tolkat skulle ovanstående innebära att man inte alls någonsin skulle kunna ta ut ett mobilt BankID på distans, om banken varje gång ska gå i god för att det är rätt person som gör det.

Jag är övertygad om att ingenjörerna och teknikerna bakom BankID klarar av att hantera detta när de väl går upp för dem att det faktiskt är ett av de två orsakerna till att vi har så mycket bedrägerier just nu. Men så länge som inte bankerna får stå för kostnaderna för bedrägerierna (de har ju trots allt orsakat dom genom att välja att inte täppa igen luckorna) så kommer dom inte göra något. Tvärtom, många banker tjänar pengar på att bedragna kunder blir skuldsatta, för då får man ta in ränta, förseningsavgifter, indrivningsavgifter och annat smått och gott som kan få en knaper ekonomi att tilta över.

Jag är inte lika övertygad. Storbankerna kastade in handduken istället för att förbättra sina fysiska id-handlingar. Det var inte företagsekonomiskt lönsamt. EU:s identitetsplånbok innebär att bankkartellens förbud mot id-växling i praktiken upphävs. Utan feta vinstmarginaler blir alternativkostnaden för hög.

[dr Cassandra Nojdh]

...
Men den svarar inte på min fråga om hur ett alternativt förfarande praktiskt skulle kunna gå till? Strikt tolkat skulle ovanstående innebära att man inte alls någonsin skulle kunna ta ut ett mobilt BankID på distans, om banken varje gång ska gå i god för att det är rätt person som gör det.

Jag är övertygad om att ingenjörerna och teknikerna bakom BankID klarar av att hantera detta när de väl går upp för dem att det faktiskt är ett av de två orsakerna till att vi har så mycket bedrägerier just nu. Men så länge som inte bankerna får stå för kostnaderna för bedrägerierna (de har ju trots allt orsakat dom genom att välja att inte täppa igen luckorna) så kommer dom inte göra något. Tvärtom, många banker tjänar pengar på att bedragna kunder blir skuldsatta, för då får man ta in ränta, förseningsavgifter, indrivningsavgifter och annat smått och gott som kan få en knaper ekonomi att tilta över.

Jag är inte lika övertygad. Storbankerna kastade in handduken istället för att förbättra sina fysiska id-handlingar. Det var inte företagsekonomiskt lönsamt. EU:s identitetsplånbok innebär att bankkartellens förbud mot id-växling i praktiken upphävs. Utan feta vinstmarginaler blir alternativkostnaden för hög.

Jag är inte så intresserad av att utpeka bankerna som -ens hantlangare, inte heller att försöka förutse vad EU:s harmoniseringsarbete kan komma att innebära.

Hr. Odd talar om rekursivt utfärdande, vilket såvitt jag förstår är basen för telefonbedrägerierna. Det är förhållandevis enkelt att lura ett brottsoffer att medverka till att ett nytt "falskt" mobilt BankID kan tas ut på distans, och det är där insatsen måste göras inom ramen för det nuvarande systemet, för att få stopp på de galopperande bedrägerierna.

Den möjlighet som finns implementerad tekniskt idag i BankID är identifiering mot pass eller nationellt ID-kort, vilket vi kan kalla för biometrisk identifiering även om den inte är fullständig. Freja-systemet som jämförelse, liksom det baltiska SmartID-systemet kräver att användaren presenterar någon biometrisk egenskap (t.ex. ansikte) förutom en ID-handling med biometriska data. Id-växling tillåts inte heller i SmartID-systemen, men det finns inget behov av det eftersom SmartID accepteras "överallt". Däremot är det statliga ID-korten, med sitt hårda certifikat, basen för att ta ut både det mobila, SIM-kortsbaserade ID:t och SmartID.

Slutsatsen måste, återigen, bli att biometrisk identifiering för mobilt BankID måste bli obligatorisk i BankID-systemet om det ska gå att få stopp på telefonbedrägerierna. BankID-bankernas incitament för detta kan med fog ifrågasättas, för att skaffa sig marknadsdominans så har man satt enkelhet framför säkerhet och vant sina kunder vid detta. Att snabbt och "enkelt" kunna ta ut ett mobilt BankID har på något sätt blivit en mänsklig rättighet. Läs gärna begåvningsreservens reaktion i den referens jag lämnade tidigare.

[dr Cassandra Nojdh]

Storbankerna kastade in handduken istället för att förbättra sina fysiska id-handlingar.

Jaså. Det var väl de SIS-märkta ID-korten: https://www.dnv.com/se/services/id-kort-32778

Vilka utfärdar sådana idag?

[Odd]

Valideringen måste ju ske på ett sätt som BankID litar på och som slutanvändarna litar på, dvs bankerna och alla andra aktörer som använder BankID.
Det måste även vara möjligt att dra in utfärdade certifikat som kan vara komprometterade, exempelvis om man upptäcker att ett ombud under en viss tid har sålt falska identifieringar, så kan man ju inte lita på något som det ombudet har gett ut och då måste alla certifikat som är utfärdade via det ombudet dras in.

Jag vet att det kommer att pipas om att det är jobbigt, omständligt, hysteriskt, onödigt, dyrt och så vidare, men det finns inte några genvägar när det gäller säkerhet. Vi har valt att ha ett samhälle där allt skall ske på distans och hoppas på stora besparingar, men man får inte blunda för att det uppstår nya problem och nya kostnader.

Och som konsument har man väldigt lite att säga till om. Låt säga att bedragarna kommer över en elektronisk legitimation som gäller dig, och börjar att ta lån och gör annat som kostar dig pengar, då har du idag väldigt lite, om något alls, att sätta emot då lagstiftningen säger att du skall betala allt som din identitet, även när den är stulen, orsakar.

Vill vi leva i ett sådant samhälle?

[dr Cassandra Nojdh]

Alltså, problembeskrivningen är vi överens om så den behöver vi inte orda mer om. Både BankID och Freja har ju ett förfarande som bygger på biometrisk identifiering, vilket gör att Freja tillåter att identifiering sker helt och hållet på distans. För banker hade man ju tänkt sig att det skulle krävas personligt besök på bankkontor för grundidentifiering, men åtminstone hos SEB går det tydligen att bli kund enbart med mobilt BankID. Väl inne där kan man ta ut BankID på BankID på BankID. Snacka om rekursion. Har man inte mobilt BankID går det bra att skicka in några papper, bara: https://seb.se/privat/bli-kund/new-in-s ... d-handling

För det befintliga BankID-systemet är den enda framkomliga vägen att alltid kräva biometrisk identifiering om mobilt BankID ska kunna utfärdas på distans. Tekniken finns ju redan. Självklart kommer det, som hr. Odd skriver, "att pipas om att det är jobbigt, omständligt, hysteriskt, onödigt, dyrt och så vidare" och det vill inte BankID-kartellen ta, tyvärr, eftersom bankerna inte vill ha in sina kunder på (de allt färre) kontoren.

Det juridiska ansvaret har ju också, som hr. Odd påpekar, inte bidragit till BankID-kartellens förbättringsvilja, även om det börjat röra på sig något där efter HD-domen i målet T 4623-21: https://www.domstol.se/hogsta-domstolen ... 22/115592/

Tolkningen av denna doms prejudikatvärde är dock omstridd! Det är naturligtvis bättre att på alla sätt föröka förhindra att de situationer som uppstått i det aktuella rättsfallet uppstår.

[dr Cassandra Nojdh]

Det kunde vara bra att ha en backup, tänkte jag igår, och skulle göra en "rekursiv" anskaffning av ytterligare ett mobilt BankID, då tiil min gamla telefon som legat oanvänd i några år. Efter att ha följt beställningsrutinen (som jag antar ungefär på samma sätt som bedragare gör) skulle jag aktivera det mobila BankID-et i min gamla telefon, men stoppades med felmeddelandet att NFC-läsare saknas på telefonen (så gammal var den). Det tolkar jag som att en biometrisk identifiering med pass/ID-kort var tänkt att utföras om en sådan läsare hade funnits.

Detta hävdade också den ytterst trevliga kvinna som jag pratade med på bankens kundtjänst, och hon hävdade också att detta är obligatoriskt (i "min" bank) vid anskaffning av nytt BankID på distans (det tror jag förstås inte på). Andra banker kan förstås också göra annorlunda, då varje BankID-utfärdande bank gör sina egna bedömningar om vad som ska krävas, när och hur. Hur dessa bedömningar ser ut är naturligtvis inget man vill tala högt om.

Tekniken har funnits åtminstone sedan 2021. https://www.bankid.com/om-oss/nyheter/d ... aekerheten

Av formuleringarna i texten att döma förefaller det främsta motivet vara att slippa få in kunderna på bankkontoren.

Ytterligare reaktioner från den svenska begåvningsreserven: https://www.sweclockers.com/forum/trad/ ... c-funktion

[Odd]

Kravet infördes för ett par månader sedan, nån gång på sensommaren. Minns inte exakt.

Detta täpper till en del av luckan, men den löser inte problemet.

Däremot kommer vi få en ny typ av åldringsbrott, där skurkarna gör "hembesök" och lurar de äldre att legitimera sig, eller andra varianter. Det vore förmätet att tro att bedragarna som ägnar sig åt sådana här brott plötsligt skulle bestämma sig för att bli hederliga.

Återigen, jag tror att det enda sättet att få bukt på detta är att bankerna och finansinstituten blir strikt återbetalningsskyldiga av varenda krona som bedragarna kommer över. Att bankerna i dag inte ställs till svars mot penningtvättlagen när de slussar pengar till bedragarna, det övergår mitt förstånd. Det är ju solklart att bankerna begår penningtvättbrott varje gång som ett bedrägeri av detta slag genomförs.

Edit: Skurkarna har tydligen redan hittat fiffiga sätt att förfalska de elektroniska ID-kort som inte kräver personlig verifiering.
Så fungerar de nya digitala id-korten – bilden förfalskades på några minuter
Det var ju bara en tidsfråga, och i detta fall, om man skall tro DN, endast några minuter.

[dr Cassandra Nojdh]

Kravet infördes för ett par månader sedan, nån gång på sensommaren. Minns inte exakt.

Detta täpper till en del av luckan, men den löser inte problemet.

Däremot kommer vi få en ny typ av åldringsbrott, där skurkarna gör "hembesök" och lurar de äldre att legitimera sig, eller andra varianter. Det vore förmätet att tro att bedragarna som ägnar sig åt sådana här brott plötsligt skulle bestämma sig för att bli hederliga.

Återigen, jag tror att det enda sättet att få bukt på detta är att bankerna och finansinstituten blir strikt återbetalningsskyldiga av varenda krona som bedragarna kommer över. Att bankerna i dag inte ställs till svars mot penningtvättlagen när de slussar pengar till bedragarna, det övergår mitt förstånd. Det är ju solklart att bankerna begår penningtvättbrott varje gång som ett bedrägeri av detta slag genomförs.

Edit: Skurkarna har tydligen redan hittat fiffiga sätt att förfalska de elektroniska ID-kort som inte kräver personlig verifiering.
Så fungerar de nya digitala id-korten – bilden förfalskades på några minuter
Det var ju bara en tidsfråga, och i detta fall, om man skall tro DN, endast några minuter.

Kanske det. Jag har försökt begränsa ramen för min diskussion här till hur man ska kunna (åtminstone) försvåra för bedragare att genom social manipulation kunna ta ut "äkta" nya mobila BankID på distans.

Detta till skillnad från helförfalskningar (det som beskrivs i DN-artikeln är såvitt jag förstår ett exempel på sådant, liksom de falska Swish-apparna), de har det alltid varit svårt att skydda sig mot, även före den elektroniska tiden. Det gäller inte bara regelrätta ID-handlingar utan alla typer av dokument som ger innehavaren någon form av rättighet.

[Enceladus]

Det finns ett antal debattartiklar på DN om det svenska experimentet med e-legitimationer på lägre tillitsnivå:

”Gör om bank-id för att skydda äldre från att luras av kriminella”

I stort sett alla bankbedrägerier av äldre har en gemensam nämnare: bank-id, som sägs göra vår vardag trygg och säker. Men det gäller tydligen inte våra äldre.

Svar: ”Skrota bank-id och byt till ett säkrare system”

Göran Carlson har helt rätt i att bank-id låter sig utnyttjas av bedragare. Hans förslag till åtgärder är emellertid tandlösa eftersom de missar de allvarliga konstruktionsfelen i bank-id.

Svar: ”Använd pass för att ersätta bank-id med ett säkrare system”

Att lösningen skulle vara en statlig e-legitimation är inte helt korrekt, men ett införande av en sådan skulle hjälpa att stärka identiteten vid utfärdande av nya e-legitimationer. Myndigheten för digital förvaltning (Digg) har efter uppdrag av regeringen redovisat sin syn på möjligheterna för framtagandet och driften av en statlig e-legitimation.

Det är intressant hur opinionen kring BankID har förändrats genom åren. Sverige var tidigt ute med att använda e-legitimationer och många var stolta över det. Bristerna förbisågs. Med tiden har dock allt fler länder anammat den estniska modellen. Nu framstår Sverige inte längre som en ledare, utan tvärtom.

[dr Cassandra Nojdh]

Ja, Enceladus-kollektivet bidrar med lösryckta citat utan värde, eftersom Sveriges malligaste tidning givetvis lagt texterna som refereras bakom betalvägg! Det lilla som "citeras" kan vi som inte hackar betalväggar inte kan verifiera.

Skribenten i det tredje insänderiet verkar dessutom slå in öppna dörrar, eftersom tekniken för att biometriskt verifiera ett nytt BankID, uttaget på distans, med pass eller nationellt ID-kort, redan finns i BankID-systemet, det måste "bara" bli obligatoriskt, utan att fler blir förbannade för det och röstar på Åkessson (eftersom "varför i h-lv-te duger inte mitt körkort, och jag tänker i mig inte betala 400 kr för något jag inte behöver"). Se bara på den populistiska ilskan på förslaget till miljözon i Stockholms innerstad.

Det är oklart (som vanligt) vad Enceladus-kollektivet menar med "den estniska modellen, men vi kan titta (återigen) på det baltiska SmartID-systemet, som närmast liknar BankID. Här kan man se vilka olika typer av verifieringar som är möjliga när man vill ta ut ett nytt SmartID:
Authenticating your Smart-ID account

Basen är förstås det hårda certifikatet som finns på det obligatoriska nationella ID-kortet, men vid uttag av mer än ett SmartID accepteras istället biometrisk verifiering. Observera att vid verifiering av ett nytt SmartID accepteras inte längre det SIM-kortbaserade mobila eID-et.

Självklart vore det bättre med ett statligt eID, utfärdat i form avt ett hårt certifikat på en fysisk bärare. I Estland är det lättare eftersom ett nationellt ID-kort är både obligaroriskt att inneha och att ha med sig, eftersom man när som helst kan bli utsatt för en ID-koll av polis. Den åtgärden måste ha stöd i lag, men det kanske kommer i Sverige också, eftersom Kristersson-regimen verkar vilja effektuera precis vad som helst som polis och åklagare begär i lagstiftningsväg. Åkesson bara knäpper med fingrarna, så.

Ett statligt eID, vare sig det ligger på en fysiskt separat bärare eller integreras i det nationella ID-kortet kommer att ha svårt att få acceptans i befolkningen om det inte tvingas på densamma. Jag är inte på något sätt övertygad om att Sverige behöver ett ID-kortsobligatorium. Ständiga ID-kortskontroller är något man förknippar med den kubanska kommunistdiktaturen, inte med Sverige. Men det kanske kommer, med tanke på att övervakningsförespråkarna verkar bli allt fler.

[dr Cassandra Nojdh]

Ett fysiskt kort – förslaget för statlig lösning på e-legitimation

Uppskattningsvis 6 000 digitala tjänster i Sverige kräver i dag identifiering med godkänd e-legitimation; som att till exempel signera skattedeklarationen eller att beställa tid för läkarbesök. Men samtidigt saknar uppskattningsvis en miljon personer i Sverige en godkänd e-legitimation.

[...]

Föreslaget bygger på att staten bör ansvara för utfärdandet av e-legitimationen på samma sätt som staten idag ansvarar för utfärdande av pass och nationella id-kort.

Sent ska syndaren vakna. Men bättre sent än aldrig. Då är det kanske dags att även avskaffa körkortet och andra mindre säkra alternativ som id-handling?

Regeringen hade hade redan tillsatt en utredning (till) om detta ("Säker och tillgänglig digital identitet, Dir. 2022:142) när DIGG lade fram sitt förslag. Det fanns en hel del att säga om DIGG:s förslag redan då: Ännu ett förslag på en statlig e-legitimation

Framför allt att DIGG, som svarar för tillitsramverket, och "adelsmärket" Svensk E-legitimation nu också ska bli utgivare.

Med det sagt så har i alla fall ovannämnda utredning langat fram ett delbetänkande: Utredning om statlig e-legitimation lämnar sitt delbetänkande

Man har gjort en del omtänkande gentemot DIGGS:s förslag, bl.a. har man sänkt åldersgränsen. Idén om ett separat plastkort, utan någon annan identifierande funktion än eID är dessutom feltänkt, i synnerhet om det ska avgiftsbeläggas. Polisen föreslås svara för grundidentifieringen (dvs. som för pass och nationellt ID-kort) och hur det ska gå till undandrar sig mitt förstånd med tanke på att Polisen för död och pina inte vill hålla på med identitetshandlingar överhuvud taget.

Däremot är det bra att man föreslår en kontaktlös standard för avläsningen. Jämför med det estniska ID-kortet, Skatteverkets eID från Svenska Pass och BankID på kort, som använder kontaktkort och kräver en kortläsare för det (BankID på kort uppfyller dessutom tekniskt tillitsnivå 4). Användningen av ett ev. svenskt statligt eID på dator kräver även det en kortläsare. Däremot har utredningen slarvat beträffande Estland(baltikum och berör inte alls det mobila SmartID-systemet. Detta visar att det är fullt möjligt av kombinera ett statligt eID med privata mobila lösningar.

Påståenden av typen

Som bekant är det bara Sverige som leker marknad med e-legitimationer.

Ovan nämnda bedrägeri kan inte ske med en e-legitimation på högsta tillitsnivå, vilket är standard i övriga EU. Det finns dock inga privata sådana.

är alltså felaktiga. Som jag redan visat är även det mobila eID-systemet i Estland hanterat av av mobiloperatörerna. Noga taget är det inte fråga om ett statligt eID här, även om Enceladus-kollektivet felaktigt påstår det.

Det finns inga tekniska hinder för mobila e-legitimationer på nivå 4. Alla moderna telefoner har något som kallas trusted execution environment (TEE), och sim-kort kan fungera som chip. Estlands statliga e-legitimation utfärdas på högsta tillitsnivå för telefoner också.

[dr Cassandra Nojdh]

Nu ska ju ovan nämnda utredning inte ha tänkt färdigt förrän i maj nästa år, och då får vi se hur saken står då.

Om BankID ska stå sig i loppet behöver de tills vidare, liksom Freja redan gjort, aktivera obligatorisk och fullständig biometrisk identifiering när en nytt mobilt BankID tas ut på distans. Med det menas att den som vill ta ut ett nytt mobilt BankID måste dels kunna presentera ett giltigt pass eller nationellt ID-kort (som skannas och "blippas") dels en ansiktsbild av sig själv som kan jämföras med den som lagras i ID-handlingen.

Tekniken finns ju redan: https://support.bankid.com/sv/skaffa-mo ... d-digitalt

Freja+ är redan formellt eIiDAS-anmäld för att kunna användas inom EU. BankD borde vara intresserat av det också. Som det är nu tycker jag det är tveksamt om mobilt BankID de facto når upp till tillitsnivå 3.