Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Att fokus i så stor utsträckning ligger på utställandet, och inte användandet, är märkligt.
Det är givetvis jättebra att det säkerställs att e-legitimationen ställs ut till rätt individ och att systemet klarar cyberattacker. Det stora problemet idag är däremot just hur dagens utställda e-legitimationer tillåts att användas.
Vi vet att kriminella använder utsatta människor från utlandet för att få tillgång till BankID. Individerna får hjälp av kriminella med flyttanmälan till Sverige och med att få ut Skatteverkets ID-kort. Det är sedan den faktiska personen som BankID:t ska ställas ut till som identifierar sig på banken. Direkt när BankID:t har ställts ut så tillfaller e-legitimationen däremot den kriminella organisationen.
De kriminella kan sedan använda individens BankID för att etablera andra människor på arbetsmarknaden, starta bolag, hyra bostäder och annat som kräver en identitet.
På arbetsmarknaden har detta bland annat använts för penningtvätt. Individer från tredjeland rekryteras av kriminella, som sedan hjälper individerna att få ett arbete på en helt legal arbetsplats i Sverige med hjälp av en annan individs BankID, inte sällan i kombination med falska uppehållstillstånd från annat EU-land eller med falska EU-pass.
De skattade lönerna hamnar på ett bankkonto som kontrolleras av den kriminella. Individen som utför arbetet får betalt i kontanter som kommer från den kriminella organisationens brottsvinster.
När kriminella etablerar penningmålvakter på vita legala arbetsplatser blir det avsevärt mycket svårare för våra myndigheter att upptäcka dessa. De sprider dessutom risken på flera olika arbetsplatser och minimerar risken för upptäckt. Det innebär även stora risker för den seriösa arbetsgivaren, som riskerar att utsättas för brottslighet då de inte känner till att en möjliggörare har blivit placerad i deras verksamhet.
Detta är möjligt eftersom många delar av samhället litar på BankID, och på att den information som hämtas in från BankID:t stämmer överens med den individ som man vill identifiera. Vilket i ovan exempel alltså inte stämmer. Så fort vi tillåter att den utställda e-legitimationen används för att säkerställa en individs identitet på distans, utan ett fysiskt möte, så faller hela säkerheten.
Det är därför en farlig utveckling att så många förespråkare för e-legitimationer, både myndigheter och andra betrodda partner, ensidigt pratar om fördelarna med förbättrade utställningsprocesser och robusthet i infrastrukturen vid angrepp. Det ger mottagarna, dvs. de parter som vill identifiera individer, intrycket av att de alltid kan lita på den information som inhämtas från individernas e-legitimationer.
BankID togs i begynnelsen fram för att vi på ett enkelt sätt ska få tillgång till våra egna bankuppgifter. Det var aldrig tänkt att tredje part skulle motta information från dessa e-legitimationer för att säkerställa människors identitet på distans, vid till exempel en avtalsignering.
Det blev däremot en naturlig utveckling för det privatägda aktiebolaget bakom BankID, Finansiell ID-teknik BID AB, som ville expandera sin verksamhet. Funktionaliteten har sedan blivit kritisk för hela samhällets digitala utveckling. En utveckling som kriminella idag tjänar stora pengar på.
Digg vill att vi ska lita på den nya statliga e-legitimationen och kommer därför att kräva ett fysiskt möte för ID-kontroll vid utställandet av e-legitimationen. De kommer alltså själva inte att godkänna digital identifiering på distans och måste därför även börja fundera på när den statliga e-legitimationen ska få tillåtas användas, för att säkerheten ska upprätthållas.
Är syftet att medborgare ska få tillgång till sina egna uppgifter på till exempel Skatteverket, eller ska e-legitimationen även kunna användas för att vem som helst ska kunna identifiera vem som helst, utan att träffas, digitalt på distans?
Tillåts det senare, så kommer vi att ha ytterligare en möjliggörare för den organiserade brottsligheten i Sverige. Den här gången med erkänt hög trovärdighet, skapad, förespråkad och insåld av svenska myndigheter.
