Säkerhetsrisk med statens bankkort

Närmare 40 000 statligt anställda har kort som de använder för inköp i tjänsten. Nu varnar Riksgälden för att obehöriga kan kartlägga personal inom exempelvis polisen och försvaret.

Vi vill inte att vilket företag som helst ska kunna se vilka inköp en försvarsanställd gör i utlandet, till exempel, säger Jan Maarten Dijkgraaf, ramavtalsansvarig på Riksgälden.

Det handlar om nya EU-regler och om det som kallas open banking. Den som är kund i flera banker kan spara, betala och investera hos vilken bank som helst med hjälp av en enda tjänst.

Hamna i fel händer

En bank där man är kund är dessutom skyldig att ge andra banker och finansiella företag tillgång till kundens konto. Men då måste kunden uttryckligen ha gett sitt medgivande.

Staten har för närvarande ett ramavtal för kort- och resekontotjänster med SEB Kort med privat betalningsansvar. Enligt avtalet förses en del av de statligt anställda med kort för inköp.

Enligt EU:s regler måste SEB Kort dela med sig av en kortanvändares information om användaren går med på det.

Problemet är att många statligt anställda kan använda tjänstekortet också för privata inköp, så länge som de skiljer på privata utgifter och utgifter i tjänsten. Det gör att känslig information kan hamna på fel ställe, säger Jan Maarten Dijkgraaf.

Med open banking kan man till exempel ha en app i sin telefon för att sköta hela sin privatekonomi. Men där kan också information om inköp i tjänsten samlas.

Via en sådan app kan ett företag ha koll på en kortanvändares ekonomi flera gånger per dag, säger Dijkgraaf.

Nu föreslår Riksgälden att myndigheter inte ska tillåta användning av tredjepartsleverantörer, alltså att den bank där man har ett konto och ett kort får dela med sig av information till andra banker och finansiella företag.

Ser över rutiner

Det finns en risk att känslig information, till exempel om försvaret eller polisen, skickas till en tredje part och att det sker utanför myndighetens kontroll. Det kan handla om köpbeteenden och resvanor. Det är en risk som vi vill undvika, säger Jan Maarten Dijkgraaf.

Riksgälden kommer ta hänsyn till de här riskerna i sin nya upphandling av korttjänster. Dijkgraaf säger att så vitt han vet har ingenting allvarligt hänt ännu.

Men vi vill peka på det här problemet innan någonting händer, säger han.

Både polisen och Försvarsmakten ser nu över sina rutiner.

"På kort där den anställde är ansvarig beslutar individen själv om informationen får delas med tredjepart. Med anledning av Riksgäldens rekommendation ser nu Försvarsmakten över rutinerna på den typen av kort. Inga kort där Försvarsmakten har betalningsansvaret delar information till tredjepart", skriver Försvarsmakten i ett mejl till TT.

Fakta: EU:s betaltjänstedirektiv

EU:s andra betaltjänstedirektiv, PSD 2, är en riktlinje inom EU för betaltjänster. PSD 2 står för Payment Service Directive 2 och direktivet infördes i Sverige i september 2019. Syftet med det nya regelverket är att utveckla marknaden för elektroniska betalningar genom bland annat ökad konkurrens. Kunderna ska erbjudas nya smarta lösningar.

Open banking är en del av PSD 2 som innebär att en bank kan genomföra betalningar och dela transaktionsdata till en annan leverantör av finansiella tjänster, om kunden ger klartecken till det.

Källor: Finansinspektionen och Swedbank

Så jobbar vi med nyheter
 Läs mer här!

Ämnen du kan följa