Man använder sig av mobilt bank-id för att logga in på internetbank.
Man använder sig av mobilt bank-id för att logga in på internetbank. Foto: Isabell Höjman/TT.

Bankerna kan känna igen dig på hur du skriver och klickar

2:32 min

Med ny svensk teknik, som analyserar dina rörelser vid tangentbordet, höjs säkerheten mot onlinebedragare hos svenska banker. Men hur insamlingen av den här typen av personuppgifter fungerar med GDPR är än så länge oprövat.

– Det är företaget som samlar in data som ska förklara varför de gör det, säger Magnus Bergström på Datainspektionen.

Med ny teknik, som registrerar och analyserar data om bland annat tiden mellan nedslagen du gör på ett tangentbord eller en pekskärm, går det att identifiera dig genom din skrivrytm och ditt rörelsemönster.

Personuppgifterna som genereras på det här sättet kallas för beteendebiometrisk data. Och till skillnad från insamlingen av annan biometrisk data, som ditt fingeravtryck, så krävs ingen speciell hårdvara. Det gör att tekniken billigare och att den går att använda obemärkt.

– Fördelen med en touch-baserad device är att man får veta hur hårt du trycker och var du trycker. Du får också andra mätpunkter som gyroskopet och accelerometern, alltså hur du håller telefonen när du använder den, säger Olov Renberg.

Olov Renberg är en av grundarna till BehaviorSec – ett av de ledande företagen i världen på beteendebiometrik.

BehavioSec startades i Luleå och är numera amerikanskt, även om de fortfarande har sin forskningsavdelning i universitetsstaden i norr. Ekot träffar Olov Renberg på företagets kontor i Stockholm.  

Idén har funnits sedan telegrafen började spela roll för krigföringen – att det skulle gå att identifiera en telegrafist genom att känna igen karaktären i hens anslag.

I dag vill man veta vem som sitter vid tangentbordet och gör olika transaktioner online.

– Vi skyddar omkring 50 miljoner användare i dag som använder vår teknik i sin dagliga vardag, säger han. 

Under 2018 investerade flera stora it-bolag tillsammans nästan 140 miljoner kronor i företaget som också dubblade sin personalstyrka till 40.

Olov Renberg berättar att tekniken använder sig av maskinlärning och artificiell intelligens och att det brukar ta mellan fem och tio inloggningar för att kunna bygga en användbar profil av någon.

Enligt Olov Renberg klarar mjukvaran av att identifiera en person trots variationer i en persons beteende, som när någon är trött, glad, ledsen eller berusad.

Den är också bra på att upptäcka automatiserade inloggningsförsök, det vill säga av program byggda av bedragare.

Biometrisk data, och då även beteendebiometrisk data, tas upp i den nya lagstiftningen om personuppgifter – GDPR, som trädde i kraft tidigare i år. Och ansvariga för insamlad data blir bankerna, eller det företag, som använder BehaviorSecs, eller någon annan utvecklares motsvarande säkerhetslösning.

– Det är den som vi kallar den personuppgiftsansvarig, den som bestämmer att man ska använda den här tekniken, säger Magnus Bergström, IT-säkerhetsspecialist på Datainspektionen.

Magnus Bergström säger att nytt med GDPR är att det i grunden är förbjudet att samla in och behandla biometrisk data, men att det finns undantag. Han säger att tekniken och framför allt lagstiftningen är så pass ny att gränserna för undantagen ännu aldrig prövats av myndigheten.

– Det är företaget som samlar in data som ska förklara varför de gör det och på vilket sätt det är förenligt med GDPR. Dels för kunderna och dels för oss i samband med en eventuell tillsyn. 

Den brittiska banken Bank of Scotland har talat öppet om hur de använder beteendebiometrik och då har det gällt säkerheten för konton med stora summor pengar.

När Ekot frågar fyra svenska storbanker så säger Swedbank och Nordea att de använder tekniken, men inte i vilken utsträckning. SEB har avstått från att alls svara på Ekots frågor och Handelsbanken säger att de inte vill svara på frågor om deras säkerhetssystem.

– För det första så måste man hitta ett undantag från det här förbudet och det som ligger närmast till hands är att man inhämtar ett samtycke, säger Magnus Bergström och fortsätter:

– Oavsett vilket undantag man använder sig av i lagstiftningen så måste man informera användarna om behandlingen, eller de registrerade, som det heter i vårt språk. 

Ekot frågade också de fyra storbankerna vilka åtgärder de vidtagit för att följa kraven i den nya lagstiftningen. Swedbank och Nordea försäkrar att de följer GDPR men vill inte säga hur. Handelsbanken och SEB svarar inte på frågan alls.  

Ekot får också veta genom källor att BankID använder tekniken, som levereras av ett företag som ägs gemensamt av tio banker och bland dessa de banker vi pratat med.

Malin Wemnell Gunnarsson är administrativ chef på BankID. Hon vill varken bekräfta eller dementera uppgiften.

– Biometriska metoder är något vi använder i BankID, något som vi har använt under många års tid och något som vi ser kommer växa starkt, men exakt vilka detaljer och grupperingar av biometriska metoder vi använder vill jag inte gå in på, säger hon. 

Vem är ansvarig för den biometrisk data som ni samlar in?

– Det är någon av de tio banker som utfärdar BankID till dig och mig som privatperson.

Men oavsett bankernas vilja att berätta om hur tekniken går ihop med GDPR, så verkar det som att den är här för att stanna. Och Olov Renberg på BehavioSec tycker i alla falla att framtiden ser ljus ut.

– Det blir bara mer och mer. Vi vill ju att det ska in i alla devicer och vi vill att det ska finnas med i operativsystemet så man inte behöver installera det i varje applikation, säger Olov Renberg. 

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade ljud i menyn under Min lista