Skyddade uppgifter

Nätbankens säkerhetsmiss – gick att identifiera kunder

2:15 min
  • Hos nätbanken Avanza har vem som helst kunnat söka upp användarnamn som tillhör bankens kunder.
  • Ekot har i sin granskning lyckats koppla flera högt uppsatta personer i offentlig sektor till konton i banken.
  • En av landets främsta experter på banksekretess säger att Avanza därmed kan ha röjt sekretessbelagd information om sina kunder.

Med några få undantag ska utomstående inte kunna ta reda på om en viss person är kund i en bank.

– Det kan jag inte bara ge ut hur som helst, enligt banksekretess, säger personen som jobbar i Avanzas kundtjänst.

Banksekretess, vad går den ut på?

– Att vi vill skydda våra kunder så klart.

Hos kundtjänst tar det stopp, men på nätet är det betydligt lättare. Där har Avanza haft en dörr till sitt kundregister vidöppen.

Den som vet var den ska leta har enkelt kunnat kontrollera vilka användarnamn som är registrerade – och sen, med lite ansträngning, kunnat verifiera att kontot tillhör en viss person direkt på Avanzas webbplats.

Det kan innebära att banken har brutit mot banksekretessen, enligt Per-Ola Jansson, en av Sveriges främsta experter på området.

– Uppgiften om att man är kund i en bank omfattas av banksekretessen. Kan man på något mer eller mindre enkelt sätt bryta sig igenom den, så bryter man sig igenom banksekretessen.

I Avanzas databas har Ekot sökt efter namnen på högt uppsatta tjänstemän i offentlig sektor, och i flera fall lyckats koppla dem till konton i banken.

Vi lyckades även hitta ett konto som tillhör Hans Schedin, tidigare chefsjurist på Finansinspektionen.

– Det stämmer, säger Hans Schedin.

Idag är han ordförande i branschorganisationen Swedsecs disciplinutskott, där han bland annat granskar om anställda i banker följer de lagar och regler som finns.

Hans Schedin ser brister i hur Avanza hanterat kundernas användarnamn.

– Då kan väl utomstående ta reda på om jag har ett konto i en bank. Då funkar ju inte banksekretessen som den ska.

Rikard Josefson, Avanzas vd, säger att banken inte har tänkt på risken att någon skulle utnyttja systemet för att identifiera kunder.

– Att den här möjligheten har funnits är något vi kommer adressera omedelbart, för att se om vi kan göra på ett bättre sätt. Men det här bekräftar inte om någon har några pengar hos oss, eller tillgångar. Det finns ju konton som inte har några innehav.

Några timmar efter intervjun tog Avanza bort möjligheten att söka upp registrerade användarnamn.

– Har vi en svaghet i vår säkerhet som vi inte tycker är tillfyllest för våra kunders förväntningar, då kommer vi rätta till den.