430 Petter Dahl SvJT 2023 2 Siffror och bakgrund
Att bedrägeribrottsligheten är ett stort samhällsproblem kan knappast ha undgått någon. Den engagerar den organiserade brottsligheten och finansierar enligt polisen även terrorism.4 Bedrägerierna göder även samma kriminella nätverk som sysslar med knarkhandel och uppmärksammade skjutningar.5 Polisen och myndigheterna som samverkar mot bedrägerier publicerar regelbundet dystra rapporter och statistik över utvecklingen. Redan 2020 var brottsvinsterna från bedrägeribrott som i huvudsak drabbar privatpersoner på 2,1–2,3 miljarder kronor, vilket är i nivå med det uppskattade värdet av vinstmarginalerna för narkotikaförsäljning i första ledet i Sverige. Och då är ändå inte välfärdsbedrägerier, försäkringsbedrägerier och övriga bedrägerier medräknade. Anmälningsgraden varierar mellan olika typer av bedrägeribrott och främst kan mörkertalet i antalet ej fullbordade brott inom vissa kategorier antas vara mycket högt. Under 2021 stod 195 902 anmälda bedrägeribrott för 13% av samtliga anmälda brott i Sverige.6

Brottstyper 2020 2021 Förändring %

Brottsvinster MSEK Brottsvinster MSEK
Social manipulation 1 221 1 725 41% Kortbedrägerier (card present) 119 260 118% Kortbedrägerier (card not present) 192 262 37% Fakturabedrägerier 97 100 3% Snyltning 1,7 1,5 -9% Identitetsbedrägeri lån + köp 408 676 66% Annonsbedrägeri 86 134 56% Totalt 2 125 3 159 49%
Tabell 1: Källa Polisen Noa Brottsvinster exklusive moms-, välfärds-, försäkrings- och övriga bedrägerier.

Preliminära siffror helåret 2022 visar att antalet anmälda bedrägeribrott troligen blir i nivå med 2021 eller möjligtvis lite lägre. Om de sammanlagda brottsvinsterna från bedrägeribrotten kommer fortsätta att öka i samma takt har vi ännu inga siffror på, men vi befarar en fortsatt ökning av brottsvinsterna. Att olika former av bedrägerier utgör en lukrativ marknad för kriminella ter sig inte förvånande, då riskerna i förhållande till brottsvinsterna är lägre än många andra former av brottslighet.

4 Polisen: De organiserade bedrägerierna. En rapport om bedrägerier kopplade till organiserade kriminella miljöer. Dnr: A354.340/2021. 5 Polisen: De dödliga bedrägerierna. En rapport om bedrägeribrottslighet och skjutvapenvåldet. Dnr: A554.314/2022. 6 Brå kriminalstatistik: 2021 Anmälda brott.

SvJT 2023 Praktiska erfarenheter från BankID 431 Det är ändå bara en viss kategori och andel av dessa bedrägeribrott som möjliggörs med hjälp av obehörig användning av e-legitimation. Det är primärt inom kategorin social manipulation vi finner flest fall av obehörig användning av BankID. Bedrägeribrotten under social manipulation består av 16 olika brottskoder som kan delas in i tre huvudsakliga kategorier. Investeringsbedrägerier, Romansbedrägerier och Nätfiske/Vishing.7

Brottstyper 2020 2021 Förändring %

Brottsvinster MSEK Brottsvinster MSEK

Nätfiske/Vishing 160 345 116% Investeringsbedrägerier 850 995 17% Romansbedrägerier 360 400 11% Totalt 1 370 1 740 27% Tabell 28: Källa polisen nationellt bedrägericentrum.

Nätfiske/Vishing som är ett modus består här av 8 olika brottskoder.
    För de två kategorierna investerings- och romansbedrägerier som 2021 sammanlagt stod för 80% av brottsvinsterna under social manipulation,9 är det uteslutande behöriga transaktioner som utförs. Det är alltså användaren själv som med sitt betalningsinstrument godkänner den bedrägliga betalningen. De som utför en behörig transaktion åtnjuter inte det skydd som betaltjänstlagen ger vid en obehörig transaktion. I kategorin nätfiske förekommer både obehöriga och behöriga transaktioner.10 Statistiken ger dock inga uppgifter om hur fördelningen mellan behöriga och obehöriga transaktioner i kategorien ser ut.
    Uppskattningar som BankID själv utfört under hösten 202211 genom att gruppera fullbordade bedrägerier i kategorin nätfiske, tyder på att obehöriga transaktioner utgör någonstans mellan 65–80% av brottsvinsterna, vilket motsvarar 360–443 miljoner kronor för hela 2022. Detta samtidigt som antalet fullbordade brott som bygger på obehöriga transaktioner endast står för uppskattningsvis 40% av de anmälda fullbordade brotten. Enligt BankID:s bedömning rör det sig

7 Nätfiske, telefonbedrägerier, vishing, phishing och smishing är begrepp som används frekvent, lite beroende på modus. 8 Utsorteringen Tabell 2 är inte samma som används i Tabell 1, differensen social manipulation mellan Tabell 1 och 2 återfinns i annan kategori i Tabell 1 då en brottsanmälan kan ha mer än en brottskod. 9 Mörkertalet i antal anmälda investerings- och romansbedrägerier befaras vara stort. 10 Per månad 2022 gjordes ca 1500 anmälningar i denna brottskategori, varav ca 30% rörde fullbordade brott. Mörkertalen ej fullbordade brott är mycket stora under brottskategorin nätfiske. 11 Uppskattningen utfördes på fullbordade brott i augusti 2022 vilket antas gälla för helåret.

432 Petter Dahl SvJT 2023 alltså om drygt 2 000 personer som under 2022 drabbats av nätfiskebedrägerier med obehöriga transaktioner.

3 Rättsligt ramverk för en tillförlitlig e-legitimation och en elektronisk underskrift
E-legitimationer kan ha olika användningsområden. Alla e-legitimationer kan användas för identifiering, men det finns inget krav på att en e-legitimation även ska inneha funktionen att kunna skapa en elektronisk underskrift, även om alla praktiskt förekommande e-legitimationer i Sverige idag har detta som en inbyggd funktion.12 Därtill kommer användningen av ett digitalt verktyg som betalningsinstrument. Hur utfärdaren av e-legitimation har identifierat och sen utfärdat själva e-legitimationen till innehavaren bygger på processer, där teknik och rutiner utgör grunden för varför vi kan förlita oss på en e-legitimation. Vilket användningsområdet är påverkar emellertid vilken reglering som blir tillämplig, och vilka krav som ställs på utfärdaren.

3.1 Flera olika tillitsramverk
I Sverige har Myndigheten för digital förvaltning (DIGG) ansvar för Tillitsramverk för kvalitetsmärket Svensk e-legitimation och utför granskningar av utfärdarna som vill kunna använda kvalitetsmärket.13 Det svenska tillitsramverket har tre olika tillitsnivåer (2, 3 och 4) som en utfärdare av e-legitimationer kan granskas mot. Utöver det nationella tillitsramverket finns det även reglering på EU-nivå i eIDASförordningen14, som består av två separata delar. Den första delen berör elektronisk identifiering och den andra delen berör betrodda tjänster. Bestämmelserna som berör elektronisk identifiering syftar till att uppnå att olika länders anmälda system för elektronisk identifiering ska kunna fungera även mellan olika medlemsländer, och uppfylla förordningens krav på tillitsnivåer.15 Det är i huvudsak uppfyllande av dessa två olika tillitsramverk som utgör grunden för en allmänt accepterad tillit för e-legitimationer. Man kan emellertid notera att det inte finns någon svensk författningsreglering av vad en e-legitimation är, som ska användas inom Sverige.16 BankID uppfyller kvalitetsmärket Svensk e-legitimation

12 Utöver BankID, så utfärdar även Telia, AB Svenska Pass och Freja e-legitimationer till privatpersoner. Telia e-legitimation innehar inte kvalitetsmärket Svensk e-legitimation. 13 https://digg.se/digitala-tjanster/e-legitimering/tillitsnivaer-for-e-leg... tillitsramverk-for-kvalitetsmarket-svensk-e-legitimation. 14 (EU) 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Kapitel II reglerar Elektronisk identifiering och kapitel III Betrodda tjänster. 15 Det finns tre olika tillitsnivåer i eIDAS-förordningen. låg, väsentlig och hög. Dessa skiljer sig något från de tre svenska tillitsnivåerna 2, 3 och 4. 16Den statliga reboot utredningen (SOU 2017:114) konstaterade att området elektronisk identifiering var underreglerat och föreslog bl.a. införande av ny lag

SvJT 2023 Praktiska erfarenheter från BankID 433 tillitsnivå 3,17 och är granskat och godkänt på tillitsnivå väsentlig enligt eIDAS-förordningen.18 Då BankID även används för bankärenden, träffas BankID också av kraven på stark kundautentisering enligt andra betaltjänstdirektivet.19 De tekniska tillsynsstandarderna för stark kundautentisering som tagits fram av European Banking Authority i delegerad förordning RTS20 till andra betaltjänstdirektivet skiljer sig en del från de två tillitsramverk som beskrevs ovan. En viktig skillnad är att risk måste bedömas både vid själva utfärdandet, och vid användandet av metoden för stark kundautentisering.
    Här skiljer sig därmed kraven mellan en utfärdare av en vanlig e-legitimation och BankID. En utfärdare av vanlig e-legitimation är i princip klar efter själva utfärdandet. För att uppfylla kraven i RTS:en har banken och BankID krav på sig att inte bara riskbaserat försöka upptäcka och förhindra felaktig utgivning av BankID och framför allt även försöka upptäcka om ett redan utgivet BankID inte längre används på ett korrekt sätt. Enligt en grov uppskattning stoppas idag automatiskt upp mot en tredjedel av alla försök till obehörig användning av BankID, vilket förhindrar att en skada ens uppstår.

3.2 Betrodda tjänster och betalningsinstrument
Det finns ett antal så kallade betrodda tjänster som regleras i eIDASförordningens andra del i syfte att harmonisera dessa inom EU. Det är elektroniska underskrifter, elektroniska stämplar, elektroniska tidsstämplar, valideringstjänster, elektroniska tjänster för rekommenderade leveranser och certifikat för autentisering av webbplatser.
    Artikel 25.1 i eIDAS-förordningen ger den tydligaste juridiska förankringen för elektroniska underskrifter; nämligen att ”En elektronisk underskrift får inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven på kvalificerade elektroniska underskrifter” Förordningen gör skillnad på kvalificerade elektroniska underskrifter och elektroniska underskrifter som inte är

om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identifiering, för att författningsreglera en godkänd svensk e-legitimation. Förslaget bereds fortfarande i Regeringskansliet. (Observera att utredningen använde termen ”elektronisk identifiering” och inte det idag mer vedertagna begreppet e-legitimation). 17 DIGG: Dnr 2019-540, datum för beslut 2020-10-05. 18 Cooperation Network godkände 2021-09-27 BankID på tillitsnivå väsentlig. BankID är alltså godkända peer review, men ännu inte (januari 2023) ett anmält eID-system enligt eIDAS, den processen pågår. 19 EU 2015/2366 om betaltjänster på den inre marknaden, om ändring av direktiv 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG. 20 EU 2018/389 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för ”sträng” kundautentisering och gemensamma och säkra öppna kommunikationsstandarder. RTS — Regulatory Technical Standards (”sträng” är en felöversättning).

434 Petter Dahl SvJT 2023 kvalificerade.21 De icke kvalificerade underskrifterna delas i sin tur upp i elektroniska underskrifter och avancerade elektroniska underskrifter. En elektronisk underskrift med BankID utgör en avancerad elektronisk underskrift. Det finns ingen egentlig koppling mellan anmälda eID-system och elektroniska underskrifter i förordningen,22 och framför allt kan en icke-kvalificerad elektronisk underskrift skapas på olika sätt, där metod för identifiering inte nödvändigtvis behöver uppfylla något av de tidigare nämnda tillitsramverken.
    När BankID används som ett betalningsinstrument23 ställs det även ytterligare tekniskt regulatoriska krav på BankID, utöver de som följer av ovan nämnda reglering. Andra betaltjänstdirektivet innehåller regler om något som lite kryptiskt kallas för dynamiska kopplingar.24 För BankID utgör en dynamisk koppling helt enkelt en elektronisk underskrift av en betalningsorder, där belopp och betalningsmottagare måste framgå i texten som skrivs under. Då blir användningen av BankID ett betalningsinstrument.
    BankID är alltså inte enbart en e-legitimation som uppfyller tillitsramverken nationellt och på EU-nivå, utan BankID uppfyller även de regulatoriska krav från EU som ställs på ett betalningsinstrument.

4 Olika former av obehörig användning
Obehörig användning av e-legitimation kan delas in i minst tre olika kategorier där olika lagar och rättsområden kan aktualiseras: Obehörig identifiering med e-legitimation,25 obehörig underskrift med elegitimation26 och obehörig transaktion med betalningsinstrument.27 Utöver dessa tre olika kategorier som alla bygger på den obehöriga användningen av en e-legitimation, kan man även nämna obehörigt innehav av en e-legitimation,28 själva grundförutsättningen för alla tre former av obehörig användning av e-legitimation.

21 Efterfrågan på kvalificerade betrodda tjänster har ännu inte riktigt uppstått i Sverige, troligen på grund av att vi i Sverige redan innan eIDAS-förordningen trädde i kraft hade ett väl fungerande ekosystem för bl.a. elektroniska underskrifter. 22 Det är dock tillåtet, artikel 24.1 b att skapa en kvalificerad elektronisk underskrift baserat på en identifiering med ett anmält eID-system tillitsnivå väsentlig eller hög. Den kopplingen finns mellan anmälda eID-system och betrodda tjänster. 23 Betalningsinstrument definieras i lagen (2010:751) om betaltjänster 1 kap. 4 § 10 st. som ett kontokort eller någon annat personligt instrument eller personlig rutin som enligt avtal används för att initiera en betalningsorder. 24 RTS, artikel 5 med krav att betalaren ska informeras om belopp och mottagare när stark kundautentisering tillämpas för en betalning. Konstruktionen med dynamiska kopplingar är införd för att även hantera bankdosor och andra metoder för stark kundautentisering som ej har inbyggd funktion för elektronisk underskrift. 25 Exempelvis brottsbalken (BrB) 4 kap. 6 b § om olovlig identitetshantering eller BrB 9 kap. 3 c § olovlig befattning med betalningsverktyg kan bli aktuella. 26 Exempelvis kan BrB 15 kap. 12 § missbruk av urkund i vissa fall bli aktuell. 27 Exempelvis BrB 9 kap. 3 c § olovlig befattning med betalningsverktyg men även särskild reglering i betaltjänstlagen kan bli aktuell. 28 Obehörigt innehav av en e-legitimation, alltså att en annan person än innehavaren själv förfogar över både den fysiska e-legitimationen och den personliga behörighetsuppgiften kan falla in under obehörig befattning med betalnings-

SvJT 2023 Praktiska erfarenheter från BankID 435 Utan att fullt ut analysera frågan, är det tydligt att det finns mer specifik lagstiftning när det rör sig om olika former av bedräglig användning av ett betalningsinstrument än dito bedräglig användning av en e-legitimation.29 2021 infördes olovlig befattning med betalningsverktyg i brottsbalken30 med ett straffvärde upp till sex år medan exempelvis den mer generella lagstiftningen om olovlig identitetshantering,31 ger ett straffvärde upp till två år. Missbruk av e-legitimation i form av obehöriga underskrifter och obehöriga transaktioner med betalningsinstrument är de två kategorier som får mest uppmärksamhet både i media och från rättsväsendets sida.32 Detta beror givetvis på att båda kategorierna kan användas för någon form av otillbörlig förmögenhetsöverföring och därför har det funnits incitament att driva processer både straff- och civilrättsligt.

4.1 Obehörig underskrift med e-legitimation
Typfallet obehörig underskrift med e-legitimation rör sig i huvudsak om kreditavtal där en obehörig person (gärningsmannen), ofta boende i samma hushåll eller närhet, har lyckats komma över både personlig säkerhetskod och BankID utfärdad för någon närstående. I vissa fall har innehavaren själv, i direkt strid mot användarvillkoren för BankID, överlämnat BankID och personlig säkerhetskod till den obehöriga personen.33 I vissa fall har innehavaren inte själv aktivt varit delaktig utan snarare blivit vilseledd eller brustit i sina skyldigheter att hålla sitt BankID och säkerhetskod skyddad. I de fall gärningsmannen finns i samma hushåll eller närhet, brukar det normalt inte vara svårt att få fram vem själva gärningsmannen är om det genomförs en förundersökning. Men utan en förundersökning från polisen är kreditinstitutet i en svår situation att själva utreda ärendet på grund av banksekretessen.34 Dessutom har det förelegat viss osäkerhet om

verktyg. Riksdagen har riktat ett tillkännagivande till regeringen om att även e-legitimation ska kunna definieras som ett betalningsverktyg (motion 2020/21:3852). 29 Använder den bredare definition ”bedräglig” som används i Non-cash-direktivet (EU) 2019/713, då obehörig användning inte nödvändigtvis täcker all bedräglig användning. 30 I departementspromemorian Ds 2020:1 användes termen olovlig befattning med betalningsinstrument, men regeringen ändrade termen till betalningsverktyg (prop. 2020/21:73). Betalningsverktyg utgör ett bredare samlingsbegrepp för olika slags anordningar som kan användas för överföring av pengar eller ett penningvärde. 31 BrB 4 kap. 6 b §. 32 Även obehörig identifiering med e-legitimation är emellertid värd att hantera och agera på från samhällets sida. Det är en fråga om att skydda innehavarens integritet och rättigheter. Vi känner till att obehörig identifiering med BankID bl.a. har använts som ett verktyg i hederskulturer och för ena partnern i osunda parrelationer, att utöva kontroll, övervakning och inskränkning av den verkliga innehavarens fri och rättigheter. 33 Se NJA 2021 s. 1107. 34 Utgivaren av BankID kan sitta på teknisk information och bevisning som är väsentlig för bedömning av ärendet om det rör sig om obehörig underskrift eller inte. Men på grund av banksekretess så får ej sådan relevant information lämnas över till kreditgivaren.

436 Petter Dahl SvJT 2023 användarens skyldigheter att skydda sitt BankID i enlighet med användaravtalet även gäller mot tredjeman. Här har alla tio banker som ger ut BankID till 1 maj 2023 uppdaterat alla användaravtal till förmån för tredjeman via införande av ett så kallat tredjemansavtal i användarvillkoren för BankID.

4.2 Påstådd obehörig underskrift med e-legitimation
Ett annat problem är friendly fraud35 som är en beteckning på att innehavaren själv är delaktig eller själv utför underskriften, men sen förnekar kännedom om underskriften eller transaktionen. Erfarenheten hos BankID är att det finns tydliga indikatorer att misstänka friendly fraud i en stor andel av alla utredningar som utförs av kreditgivare där personen som krediten berör helt förnekar all kännedom om den upprättade krediten. I dessa fall hamnar emellertid kreditinstitut som inte själv har utgett BankID i en svår utredningssituation på grund av banksekretessen. Om inte polisen utför en förundersökning, kan det därför vara nära omöjligt för kreditinstitutet att utreda omständigheterna.
    Ett exempel är det uppmärksammade fallet om Casinoligan som satte detta i system i stor skala, och där flera av förövarna lagfördes.36 På internet finns det idag tydliga instruktioner och tips på hur man ska gå till väga för att ”enkelt och riskfritt” skaffa snabba pengar via olika former av friendly fraud bedrägerier.

4.3 Obehöriga transaktioner med betalningsinstrument
Obehöriga transaktioner med betalningsinstrument utgör idag det största problemområdet vid obehörig användning av BankID, både i fråga om anmälda brott och brottsvinster. En obehörig transaktion med BankID som betalningsinstrument är dock egentligen samma sak som en obehörig underskrift med BankID, men där underskriften utgör en betalningsorder och därmed faller in under betaltjänstlagen.37 Problembilden från BankID:s synvinkel är mycket densamma, men obehöriga transaktioner där BankID används som betalningsinstrument utgörs idag nästan uteslutande av bedrägeribrott som bygger på social manipulation och så kallat nätfiske. Även om vi befarar att friendly fraud kommer att öka även i denna brottskategori.

5 Bedragarnas modus och organisation
När bedragarna sysslar med nätfiske använder bedragaren alla tänkbara sätt att kontakta sina offer. Beroende på vilket sätt kontakten med bedrägerioffret tas, namnsätts bedrägeriet med olika namn. De

35 Friendly fraud, även kallat First-Party fraud är vanligt begrepp i bankvärlden. Innehavaren agerar svikligt och är själv delaktig eller bidrar till bedrägeriet men nekar till all kännedom om underskriften eller händelsen. 36 ”Casinomålet”; Uppsala tingsrätt mål B 6683-17, Svea hovrätt mål B 1187-20. 37 Uppskattningsvis så används BankID som ett betalningsinstrument i 95% av alla underskrifter.

SvJT 2023 Praktiska erfarenheter från BankID 437 vanligaste sätten är via SMS, smishing/SMS-phishing eller via telefon vishing/voice phishing men även andra sätt att komma i kontakt med tänkta bedrägerioffer förekommer. I första hand vill bedragaren komma över och själva förfoga över brottsoffrets BankID. Det är dessa bedrägerier man ofta hör talas om i media, när äldre har blivit bestulna på samtliga besparingar, varvid brottsvinsterna kan bli mycket stora.
    Bedragarna är förslagna och anpassar kontinuerligt sina modus operandi efter aktuellt läge och vad som för tillfället fungerar bäst. Ofta används aktuella frågor som att boka vaccintid, få covidpass eller högkostnadsskydd på elräkningen.38 Mycket vanligt är även att förmedla någon form av negativ falsk information som orsakar stress hos offret i kombination med en tidspress att agera för att stoppa det förespeglade negativa hotet. Det förespeglade hotet kan vara vad som helst; inkassokrav, obetalda fakturor, utförda kortbetalningar, utförda överföringar, lastbil med beställda vitvaror som ska levereras eller till och med falska dödsbesked. Det förekommer även falska ”positiva” besked som lotterivinster eller varianter av förmånliga pensionärserbjudanden. Tidigare bedrägerioffer kan också kontaktas igen senare, med besked att bedragarna nu har blivit gripna och bedrägerioffrets pengar kan återbetalas, bara offret betalar någon avgift eller lämnar ifrån sig nya bankdoskoder för att identifiera sig som rätt mottagare.
    Bedragaren, som utger sig komma från banken, polisen, annan myndighet eller företag, är angelägen att hjälpa till. Bedrägerioffret kan även få prata med mer än en bedragare, då offret kan kopplas runt till olika ”avdelningar”. På så vis kan en misstänksam eller orolig kund lugnas genom att bedragaren skapar ett intryck av att den visst ringer från en professionell organisation, och verkligen är den som den utger sig för att vara.
    Detta sätt att agera blir möjligt genom att bedragarna är välorganiserade i kriminella nätverk i så kallade vishing-kluster där olika personer i nätverken har sina specialuppgifter och kompetenser. Det kriminella nätverket styrs normalt sett av några få huvudmän som leder och planerar arbetet, och det har påvisats tydliga kopplingar mellan vishing-kluster och annan grov kriminell verksamhet som narkotika, vapen och skjutningar.39 Nästan var tredje person som mellan 2018– 2021 varit skäligen misstänkta för någon form av skjutvapenvåld var även skäligen misstänkt för bedrägeribrott.40 Kartläggning och uppgiftsinsamling av potentiella brottsoffer underlättas av att det i Sverige är relativt lätt att komma åt olika former

38 I målet som ledde fram till HD:s avgörande i NJA 2022 s. 522 var det nya regler till följd av GDPR som utnyttjades. 39 Polisen: De organiserade bedrägerierna — En rapport om bedrägerier kopplade till organiserade kriminella miljöer. Dnr: A354.340/2021 s. 16. 40 Polisen: De dödliga bedrägerierna — En rapport om bedrägeribrottslighet och skjutvapenvåldet Dnr: A554.314/2022.

438 Petter Dahl SvJT 2023 av personuppgifter. Det behövs även kompetens inom IT, teknik och utveckling när bl.a. domänadresser införskaffas, bedrägliga webbsidor sätts upp eller IT-system som sänder ut tusentals sms eller automatiskt ringer upp tänkta bedrägerioffer installeras hos olika molntjänstleverantörer. Bedragarna använder sig av virtuella telefonnummer som ser ut som ett vanligt svenskt telefonnummer. I de fall bedragarna ringer upp eller sänder sms, används falsk nummerpresentation s.k. spoofing. Att det går att använda falsk nummerpresentation och att det inte går att blockera telefonnummer som används vid bedrägerier, kan beskrivas som brister i telefonisystemen. Brister de kriminella utnyttjar.
    Bedragarna har även god kompetens om hur olika banker fungerar och vilka säkerhetsmetoder banken har. Tillsammans med en från bedragaren social förmåga att dupera och lura offret, förmås bedrägerioffret att själv utfärda ett nytt BankID till bedragaren, som bedragaren sedan förfogar över.
    När bedrägeriet är genomfört tar nästa kompetens i det kriminella nätverket över. Snabbt och på olika sätt förs pengarna ut från brottsoffrets bankkonto utan att bankens transaktionsövervakning slår till. Penningtvätt av brottsvinster från nätfiske skiljer sig lite från övriga generella tillvägagångssätt för penningtvätt. Penningtvätten från nätfiske utförs i större utsträckning inom landet via överföring till privatkonton och uttag i kontanter. En trolig orsak till detta är att bedrägerierna snabbt upptäcks och bedragarna har relativt kort tid på sig.41 När större brottsvinster från bedrägerierna ska tvättas, används penningtvättsnätverk bestående av många penningtvättsmålvakter. Nya penningtvättsmålvakter rekryteras kontinuerligt och existerande penningtvättsmålvakterna behöver hela tiden bli kund i en ny bank, allteftersom de blir utslängda från den bank där de redan begått penningtvätt i. Banksekretessen förhindrar att bankerna samarbetar i arbetet mot penningtvätt och medan varje bank försöker motverka penningtvätt isolerat i sin silo, fortsätter penningtvättsmålvakterna att obehindrat flytta runt mellan bankerna och upprepa sina brott.
    Det skulle inte begås många bedrägeribrott om det inte gick att tvätta brottsvinsterna så effektivt. Bedrägeribrotten är ofta komplicerade och resurskrävande att utreda42. Frågan är om det inte vore en effektivare åtgärd från samhällets sida att ge bankerna och polisen de verktyg och resurser som behövs för att gemensamt motverka penningtvätten på ett mer effektivt sätt.

41 Polisen: Bedrägerier och penningtvätt — Analys av bedrägerier ur ett brottsvinstperspektiv. Dnr: A697.130/2021 s. 10. 42 Polisen: De dödliga bedrägerierna - En rapport om bedrägeribrottslighet och skjutvapenvåldet. Dnr: A554.313/2922 s. 7.

SvJT 2023 Praktiska erfarenheter från BankID 439 6 Vad kan göras för att motverka olika former av obehörig användning av e-legitimationer?
6.1 Grundläggande förutsättningar
Det finns ingen enskild aktör i samhället som enskilt har förmåga eller möjlighet att drastiskt påverka den negativa utvecklingen kring bedrägerier och obehörig användning av e-legitimationer som sker just nu i Sverige. Flera olika samarbetsinitiativ mellan olika myndigheter, organisationer och verksamhetsutövare inom den finansiella sektorn har tagits med det behövs fler insatser. Två grundläggande förutsättningar för att stoppa den negativa spiralen av obehörig användning av e-legitimationer kan emellertid enligt BankID identifieras. Det första är lagstiftning som kan bestämma hur och när brottsutredande- och andra myndigheter, samt olika finansiella verksamhetsutövare kan och får samarbeta och utbyta information med varandra. En bättre samverkan och ett större informationsutbyte mellan berörda parter är nödvändigt. Inte enbart för att kunna utreda redan begångna brott effektivare, utan även för att bättre förhindra både att nya bedrägerier sker samt försvåra möjligheterna till penningtvätt. Denna punkt aktualiserar särskilt ändringar i reglerna om banksekretess,43 som idag utgör ett effektivt hinder mot att, utan polisens eller domstolarnas hjälp, utreda vilka fall som bör prövas civilrättsligt i domstol. Exempelvis har ett kreditinstitut, som ska utreda omständigheterna kring en påstådd obehörig underskrift med BankID, inga möjligheter att få någon som helst information från utgivande bank på grund av Banksekretessen, såvida inte en domstol beslutar om edition.44 Men förhindrar även bankgemensamma åtgärder för att effektivare förhindra och upptäcka penningtvätt.
    Det andra är att ställa hårdare identifieringskrav inklusive användning av biometriska uppgifter vid inskrivning i folkbokföringen och genomföra ID-kortsutredningens45 förslag att enbart ID-handlingar utfärdade av polisen ska tillåtas som fysiska ID-handlingar i samhället. ID-handlingar som har en tillförlitlig koppling till identiteten i folkbokföringen och samtidigt vars äkthet och giltighet kan valideras elektroniskt och möjliggör användande av ny teknik som ansiktsigenkänning.

43 Då det råder banksekretess, så måste det finnas en sekretessbrytande regel för att information ska kunna utbytas. Brottsutredande myndigheter har frågerätt enligt bank- och finansrörelselagen 1 kap. 11 §, samt lag om åtgärder mot penningtvätt och finansiering av terrorism (PtL) 4 kap. 6 §. Men informationsutbyte mellan verksamhetsutövare är starkt begränsad via PtL 4 kap. 9 § till att enbart röra sig om uppgifter som rör samma kund och samma transaktion. 44 Det ter sig som en onödig belastning att process i domstol först måste påbörjas, innan nödvändig information kan delas. 45 SOU 2019:14 Ett säkert statligt ID-kort — med e-legitimation.

440 Petter Dahl SvJT 2023 6.2 Vad gör BankID för att motverka olika former av obehörig användning?
Det pågår kontinuerligt ett aktivt säkerhetsarbete och utveckling av BankID för att hela tiden höja säkerheten vid både utgivning och användning av BankID. Majoriteten av allt arbete och utveckling som utförs, syns inte för slutanvändaren. Nedan presenteras kort aktuella och synliga skydds- och förstärkningsåtgärder.

6.2.1 Digital kontroll av ID-handling Hösten 2021 infördes en ny förstärkningsfunktion — digital kontroll av ID-handling.46 Funktionen används som en förstärkningsåtgärd både vid utgivning av ett nytt BankID och som en extra förstärkning vid en elektronisk underskrift med BankID. Funktionen Digital kontroll av ID-handling innebär att användaren blir tvingad att med telefonen skanna och ”blippa” sitt pass eller nationella ID-kort som extra förstärkning.47 Det är utgivande bank eller BankID som efter en regelstyrd riskbedömning beslutar om en distansutgivning av Mobilt BankID måste förstärkas med denna funktion eller inte. Vid användning kan förlitandepart48 välja om en transaktion, exempelvis underskrift av ett kreditavtal, också ska kräva denna förstärkningsåtgärd.
    Det kan inte uteslutas att en bedragare i samma hushåll kan komma över innehavarens pass eller nationella ID-kort, men Digital kontroll av ID-handling vid utgivning av nytt BankID, utgör ändå en åtgärd för att motverka många obehöriga transaktioner. En faktor som begränsar användningen av förstärkningsåtgärden, är att innehavaren måste ha sitt pass eller nationellt ID-kort tillgängligt i samband med utgivningen eller underskriften. Det finns många svenska medborgare som inte har ett giltigt pass eller nationellt ID-kort,49 även om siffrorna nu börjar gå upp till det normala efter pandemin. Dessutom finns det ca 860 000 personer i folkbokföringen med svenskt personnummer som inte är medborgare och inte kan skaffa ID-handling utfärdad av polisen. Det innebär att det idag är ca 3,8 miljoner folkbokförda personer som inte har förutsättning att genomföra Digital kontroll av ID-handling. I praktiken innebär det att enbart ungefär hälften av de utgivningar eller underskrifter som kräver Digital kontroll av ID-handling kan slutföras av användaren. Hälften av personerna kommer således nekas utgivning eller underskrift och måste finna annat sätt att slutföra åtgärden på, vilket normalt innebär ett fysiskt besök på ett bankkontor. Andelen folkbokförda som har en giltig ID-handling utfärdad av polisen måste öka ordentligt innan Digital

46 Se video https://cdn.bankid.com/video/kontrollera-id-handling.mp4. 47 Pass och nationellt ID-kort utfärdat av polisen kan via NFC (Near Field Communication) läsas av en mobiltelefon varefter ID-handlingens äkthet kan valideras elektroniskt och giltigheten automatiskt verifieras mot polisen. 48 Förlitandepart är den term som vanligtvis används för den part som förlitar sig på BankID. Exempelvis tillhandahållaren av själva e-tjänsten där BankID kan användas. 49 Ungefär 3 miljoner medborgare saknar ett giltigt pass (hösten 2022).

SvJT 2023 Praktiska erfarenheter från BankID 441 kontroll av ID-handling får en positiv effekt på obehörig användning i större skala. Inte förrän staten genomför förändringen enligt ID-kortsutredningens förslag, som i praktiken innebär att enbart fysiska IDhandlingar utfärdade från polisen kommer användas i samhället, kommer vi få de grundläggande förutsättningarna att mer effektivt och bredare vidta åtgärder mot obehörig användning av BankID.

6.2.2 Biometrisk ansiktsigenkänning BankID kommer även att införa biometrisk ansiktsigenkänning som ytterligare en förstärkningsåtgärd.50 Idag finns en sådan funktion i de flesta moderna mobiltelefoner, men här handlar det om att funktionen för ansiktsigenkänning byggs in i BankID. Swedbank var som första utgivande bank i december 2022 pilotbank för att använda ansiktsigenkänning inför viss utgivning av BankID. Att i framtiden kunna använda en biometrisk metod som ansiktsigenkänning vid både utgivning och användning av BankID förväntas reducera bedrägerierna med obehörig användning av BankID väsentligt eftersom det i princip omöjliggör genomförandet av en obehörig transaktion.
    Fördelen med att kunna använda ansiktsigenkänning, och samtidigt bevisa att så skett i samband med en elektronisk underskrift, är uppenbar. Har tillförlitlig ansiktsigenkänning använts i samband med skapandet av en elektronisk underskrift, bör det utgöra en mycket stark presumtion att det rör sig om en behörig användning.51 Även om lösningen att börja använda ansiktsigenkänning låter enkel, finns givetvis andra juridiska utmaningar med att behandla biometriska personuppgifter på det sättet i stor skala. Behandling av biometriska personuppgifter är särreglerat i GDPR52 och för en privat utfärdare av e-legitimation är den enda lagliga grunden för behandling av biometriska personuppgifter ett samtycke från innehavaren. Problemet att använda samtycke som laglig grund för behandling av personuppgifter är att ett samtycke inte får vara en förutsättning för att använda tjänsten och ska samtidigt vara frivilligt att lämna.53 Frågan är dock hur frivilligt det kan anses vara om förlitandeparter brett börjar kräva förstärkning med ansiktsigenkänning för att undvika obehöriga transaktioner. Det borde ligga i samhällets intresse att i lag reglera hur en utfärdare av svensk e-legitimation får behandla biometriska uppgifter i syfte att leverera en tillförlitlig e-legitimationstjänst, innan en sådan behandling blir allt för omfattande.

50 Se video https://cdn.bankid.com/video/instruktion-skaffa-bankid-sv-sub.mp4. 51 Det finns givetvis andra omständigheter exempelvis hot, som kan göra ett ingånget avtal ogiltigt. 52 (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (GDPR) 53 GDPR artikel 7 p 4.

442 Petter Dahl SvJT 2023 6.3 Vad kan förlitandepart göra idag för att motverka olika former av obehörig användning?
Hur förlitandepart utformar sina e-tjänster har också stor betydelse för bedragarnas möjligheter att på olika sätt lura en användare. Det finns flera viktiga saker som en förlitandepart bör genomföra, för att göra användande av BankID säkrare och tydligare för användaren.

6.3.1 Säker start — QR-kod eller automatisk start av BankID på samma enhet Säker start54 är en informationskampanj som BankID driver för att få alla ca 6 000 förlitandeparter som idag förlitar sig på BankID i sina etjänster att börja använda QR-kod eller automatisk start av BankID på samma enhet. Detta för att användaren inte ska ange sitt personnummer i samband med inloggning i e-tjänsten, via så kallad personnummerinitierad transaktion. Denna åtgärd försvårar obehörig identifiering med BankID, bedragare lurar en användare att släppa in bedragaren i e-tjänsten och det är också generellt en fördel att minska användandet av personnummer i olika sammanhang.

6.3.2 Tydligare underskriftstext och avsiktstext Underskriftstexten kan dels formateras för att skapa bättre läsbarhet och tydlighet kring det som undertecknas, dels visa en så kallad avsiktstext i BankID i samband med en identifiering. Avsiktstexten är till för att tydligare visa i vilken kontext en identifiering utförs, eller lämna annan viktig information till användaren vid inloggningstillfället. Bättre tydlighet och bättre information till användaren ger bättre förutsättningar att användaren inte låter sig luras.

6.3.3 Digital kontroll av ID-handling Den viktigaste funktionen som idag kan användas för att förhindra obehörig underskrift av BankID är att förlitandepart anger att underskriften måste förstärkas med den tekniska funktion som tidigare beskrivits Digital kontroll av ID-handling. Detta är en relativt ny förstärkningsfunktion vid användning av BankID, så möjligheten att kunna använda funktionen har ännu inte spridit sig bland förlitandeparter. Utbredd användning av denna förstärkningsfunktion torde dock vara beroende av att ID-kortsutredningens förslag blir verklighet och att befolkningen i större omfattning faktiskt har ID-handling som polisen har utfärdat. Men vid mer betydelsefulla underskrifter, så bör förstärkning med Digital kontroll av ID-handling ändå vara ett bra hjälpmedel.55

54 https://www.bankid.com/foretag/stark-koppling. 55 Se resonemanget i kap. 6.2 då allt för många personer i samhället idag saknar giltigt pass eller nationellt ID-kort utfärdat av polisen.

SvJT 2023 Praktiska erfarenheter från BankID 443 6.3.4. Spara identifieringsintyg och elektronisk underskrift Något som inte påverkar antalet bedrägerier, men som ändå kan spela viss roll när ett bedrägeri har inträffat, är att förlitandepart sparar det identifieringsintyg respektive den elektroniska underskrift som utförts. Det är enbart förlitandepart som får dessa urkunder och de behöver hanteras och lagras enligt de lagar och regler som förlitandepart har att förhålla sig till. Både identifieringsintyget och den elektroniska underskriften ska betraktas som urkunder med en utställarangivelse och kan användas som mycket tillförlitlig bevisning vid en eventuell tvist.

7 Slutord och förslag till prioriterat lagstiftningsarbete
Det finns idag tekniska metoder baserat på tillförlitlig ansiktsigenkänning, som om de skulle tillämpas i stor omfattning i praktiken skulle kunna göra diskussionen om obehörig användning av e-legitimation närmast obsolet. Men en storskalig och påtvingad användning av biometriska metoder innebära även andra risker och kan utgöra ett intrång i den enskildes fri och rättigheter. Här bör det vara lagstiftarens ansvar att införa en välavvägd reglering hur biometriska metoder ska användas i nationella e-legitimationstjänster.
    Den enskilt viktigaste frågan för att motverka obehörig användning av e-legitimationer idag är att regeringen snarast går vidare med IDkortsutredningens förslag att enbart polisen ska ställa ut de fysiska IDhandlingar som används i samhället. Om staten genomför detta kommer BankID kunna genomföra de förändringar som krävs för att vi ska bli av med obehöriga transaktioner till följd av bedrägeriklustrens nätfiske.
    För att även förhindra och motverka de bedrägerier som bygger på behörig användning av e-legitimation och efterföljande penningtvättbrott, finns det ytterligare två viktiga områden som regeringen måste prioritera:

i) frågan om möjligheterna kring bättre informationsutbyte och samarbete både mellan olika verksamhetsutövare men även mellan olika myndigheter och mellan verksamhetsutövare, tekniska leverantörer som BankID, myndigheter och brottsutredande myndigheter.

ii) frågan att på nationell nivå åtgärda de brister i telefoninfrastrukturen som bedragarna utnyttjar. Förhindra falsk nummerpresentation56 vid sms och telefonsamtal samt möjlighet att införa blockering på telefonnummer som bevisligen används vid bedrägerier. När vi idag enkelt och snabbt kan utföra en så kallad takedown57 på en bedräglig webbserver, oavsett var någonstans i världen den står, så är det

56 Ett sms eller telefonsamtal ser ut att komma från en annan avsändare än den gör, så kallade spoofade nummer. 57 Blockera att det inte länger går att surfa till en specifik webbsida.

444 Petter Dahl SvJT 2023 ofattbart att det i Sverige inte går att blockera de telefonnummer som används av bedragarna.58 Här har andra länder som Finland och Frankrike kommit längre i sitt nationella arbete med att motverka detta missbruk. Svenska staten borde ställa liknande krav på svenska telefonoperatörer.

58 Jag inser att det finns både tekniska och legala utmaningar kring detta. Men varför skulle inte polisen kunna ges befogenheten att förverka ett telefonnummer, IP-adress eller för den delen en e-legitimation som används i brottslig verksamhet? Sen ställa krav på telefonoperatörerna i Sverige som är en reglerad verksamhet.