En Statlig E-Legitimation, Ska Det Vara NåGot? En Vilt Omdebatterad FråGa Som Engagerar


twitter thread from




En statlig e-legitimation, ska det vara något? En vilt omdebatterad fråga som engagerar. Som många vet har jag enträget arbetat inom området i många år nu, och förstås haft och har mina egna åsikter. En lång och lite nördig.. 🧵 (1/42)
Myndigheten för digital förvaltning (Digg) fick sent i våras ett uppdrag av regeringen att utreda hur en statlig e-legitimation bör utformas. Idag slutrapporterades uppdraget. Undertecknad har lett arbetet på området säkerhet och teknik. (2/42)
Jag har länge varit av åsikten att staten bör avstå ifrån att blanda sig i utgivarsidan, och låta dem med behovet (näringslivet) driva utvecklingen, för att istället fokusera på styrningen av den offentliga förvaltningens behov. (3/42)
Det allmänna är inte innovationens mästare, och det finns skäl till det. Generellt kan sägas att myndigheternas snäva instruktioner (frågan om legalitet) samt huvudregeln att myndigheter inte får konkurrera på en fungerande marknad effektivt förhindrar innovation. (4/42)
Min syn, något förenklad, är att myndigheter är bäst på att förvalta, inte så mycket på att uppfinna. Och jag tror det krävs visst mått av uppfinningsrikedom för att leda digitaliseringen på ett område som detta. (5/42)
Samtidigt har utgivning av id-handlingar i Sverige aldrig varit en ren myndighetsuppgift. Förr räknades inte ens pass som en id-handling. Det är först på senare tid, ungefär samtidigt som de nationella id-korten infördes, som myndigheter gjort entré på området. (6/42)
Innan dess var det ffa. bankerna och dåvarande postverket som gav ut id-kort (körkortet räknas dock också som en id-handling, mer om det problemet senare). På motsvarande sätt är det med e-legitimationer, dessa har givits ut av de som haft mest behov av dem. Bankerna. (7/42)
Att BankID bildades 2003 (20 år sedan!) var ett sådant unikt ögonblick av svenskt samförstånd. Där det allmänna i samtal med företrädarna för bankerna kom överens om att inrätta en infrastruktur som skulle kunna användas tvärsektoriellt. (8/42)
Sverige tog genom detta en egen väg. En bra jämförelse är Finland, som stod i exakt samma situation som Sverige runt millenieskiftet. Finnarna valde vägen att ta fram en statlig e-legitimation på kort, något som i djupfryst frågan i 20 år. (9/42)
Finland är fortfarande inte ur startblocken. De arbetar nu med att lansera en statlig e-legitimation i en app, för att försöka börja resan att komma tillbaka från permafrosten. Vägvalen har haft en enorm betydelse för digitaliseringen i våra respektive länder. (10/42)
Notera att här betecknas “mogen” som att mer än 40% av invånarna aktivt använder e-legitimationer. Estland brukar utmålas som en förebild där 98% av invånarna har en e-legitimation, det talas tystare om att endast 60% av invånarna använder dem. (12/42)
I Sverige har vi idag en helt världsunik användning av e-legitimationer. Inget annat land är i närheten av det genomslag, spridning och användning vi har i Sverige med 6000 e-tjänster och 17 miljoner transaktioner per dygn (2022). (13/42)
I Sverige använder knappt 90% av befolkningen e-legitimationer, det är en fantastisk framgångssaga. Framgången kan inte förklaras på annat sätt än att man låtit utvecklingen bedrivas inom näringslivet. (14/42)
Men det betyder inte att det inte finns utrymme för självkritik. Att drygt 10% inte använder e-legitimationer betyder att nästan en miljon står utanför, och betydelsen av att inneha en e-legitimation ökar för varje dag som går. (15/42)
Det är också problematiskt från ett robusthetsperspektiv att vår elektroniska tillvaro i allt väsentligt står och faller med att Finansiell ID-teknik AB förmår hålla liv i BankID-tjänsten. (16/42)
Det är här en statlig e-legitimation kommer in. Och jag har ändrat mig, jag tycker nu tiden är mogen för en statlig e-legitimation. I grunden är det tre skäl som får mig att svänga. (17/42)
1. Inkluderingsperspektivet, det är idag närmast omöjligt att leva en normal tillvaro utan tillgång till e-legitimation. Alla måste kunna skaffa en e-legitimation, även alla de som vistas i Sverige tillfälligt och därför inte har ett personnummer (t.ex). (18/42)
2. Robusthetsperspektivet, det måste finnas ytterligare minst en lösning att falla tillbaka på om de privata alternativen av någon anledning skulle sluta att fungera. (19/42)
3. Grundidentifiering. I takt med att det personliga mötet blir alltmer sällsynt (i digitaliseringens spår) har det visat sig bli allt svårare att i den fysiska tillvaron identifiera en person på ett säkert sätt. Det har ett par olika orsaker. (20/42)
Privata aktörer, varesig de är banker eller andra fristående utfärdare, har begränsad åtkomst till bl.a folkbokföringsuppgifter och andra myndighetsregister (passregistret t.ex.). Dessutom kommer de inte åt vissa biometridata (fingeravtryck) i våra säkra id-handlingar. (21/42)
En myndighet med rätt befogenheter har de bästa förutsättningarna att identifiera den som ansöker om en e-legitimation. En säker så kallad grundidentifiering tillhandahållen av det allmänna är en tjänst som gagnar hela samhället. (22/42)
Den statliga e-legitimationen kan alltså användas av såväl befintliga som nya utfärdare, för att i sin tur ge ut en e-legitimationer i en annan form. Det kan förväntas leda till större diversitet och fler nischlösningar då hindren med grundidentifieringen övervinns. (23/42)
Vilket leder oss till den viktiga frågan om en statlig e-legitimation kommer kunna bli säkrare än de alternativ vi har idag? Nej, inte på något väsentligt sätt. I vart fall inte utan ytterligare åtgärder. (24/42)
Det har i den offentliga debatten lyfts fram att Sverige idag inte har en e-legitimation på den högsta tillitsnivån. Det är förvisso sant, och i huvudsak beror på det på distansutgivning via internetbank sker i betydande omfattning. (25/42)
Bortsett den högsta tillitsnivån förutsätter grundidentifieringen vid personligt besök innebär den inga omvälvande förändringar. Idag utgör körkortets ställning som giltig id-handling ett betydligt större bekymmer, på grund av dess bristande säkerhet. (26/42)
Kriminella har idag tillgång till produktionsanläggningar där falska körkort kan köpas som varken ens för tränade ögon eller särskilda maskiner kan särskiljas från äkta. Kriminella beställer falska id-handlingar med rätt personuppgifter och fel bild. (27/42)
Att förklara att körkorten inte längre än giltiga id-handlingar skulle ha stor positiv påverkan på den så kallade identitetsrelaterade brottsligheten i stort, och e-legitimationssystemet i synnerhet. (28/42)
För körkorten utgör inte bara problem för bankerna, postutlämningsställena och handlarna. De skulle bli i princip bli lika svåra att hantera för en identitetskontrollerande myndighet i samband med utgivning av en statlig e-legitimation. (29/42)
Men de viktigaste åtgärderna har paradoxalt nog inget att göra med e-legitimationsteknik eller vem som utfärdar dem, då de är blott ett verktyg i digitaliseringen. Och det är inte digitaliseringen som gör oss sårbara. Det är den bristande kontrollen vid användning. (30/42)
E-legitimationer är i grunden endast skuggor av folkbokföringen. Om folkbokföringsuppifterna är felaktiga riskerar detta återspeglas genom e-legitimationer utfärdade till felaktiga identiteter. Det är den första generella sårbarheten. (31/42)
Den andra sårbarheten uppkommer i det led då ett ärende handläggs. T.ex. en överföring från ett bankkonto, en utbetalning av en social förmån, ett bildande av ett bolag eller tillsättande av en styrelse i ett bolag. Allt beror på nödvändiga kontroller. (32/42)
Låt oss se elefanten i rummet. Alla är för dåliga på att göra kontrollerna, och det är minst halva förklaringen till problemen som ofta förknippas med e-legitimationer. Digitaliseringen har gått fort och här har vi inte hängt med. (34/42)
Den tredje sårbarheten är enkelheten i att föra undan brottsvinsterna, ofta genom ett upplägg med nätverk av målvakter. Pengar från brottslig verksamhet sprids över många personer och förs undan blixtsnabbt. Också en form av bristande kontroll kan tyckas. (35/42)
Dessa aspekter ligger helt utanför utgivningen och utformningen av e-legitimationer. Samtidigt är det just här som de viktigaste insatserna kan göras för att stävja bedrägerier och göra användningen säkrare. (36/42)
Vad som också gör Sverige till en udda fågel i sammanhanget, förutom det unika genomslaget och den breda användningen av e-legitimationer, är att vi helt saknar reglering som omgärdar e-legitimationer (det existerar inte ens en legaldefinition av termen e-legitimation). (37/42)
Det får de mest absurda utryck. Till exempel gäller betaltjänstlagens bestämmelser om aktsamhetkrav och ansvarsbegränsningar för BankID, men bara mellan utfärdande bank och användare. Inte i några andra relationer. (38/42)
Därtill gäller helt olika bestämmelser i brottsbalken om en e-legitimation används för identifiering eller för underskrift (som i allt väsentligt är samma typ av åtgärd för innehavaren). (39/42)
För att e-legitimationer ska kunna bli säkrare att använda krävs alltså en väv av åtgärder, där den mest centrala är att införa en reglering av användningen som både skyddar innehavaren genom ansvarsbegränsningar och tydliggör vissa aktsamhetskrav. (40/42)
Därtill bör körkortet avskaffas som giltig id-handling, kontrollerna i utbetalande myndigheters och Skatteverkets folkbokföringsverksamhet bör stärkas och penningtvättproblematiken bör ges särskilt fokus för att direkt slå mot den kriminella ekonomin. (41/42)
Som en följd därav kommer bedrägerier där e-legitimationer använts som ett genomgångsled också att minska. En statlig e-legitimation är också viktig, men främst av de andra orsaker jag räknat upp. Klart slut. (42/42)

Leave a Reply

Your email address will not be published.