135 961 läst ·
3 524 svar
136k läst
3,5k svar
Bank-ID till allt möjligt - ogillar!
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 904 inlägg
Ja det skulle fungera, att man hade en lista av "vitala tjänster" som BankID sedan fungerar trots "spärr".Fairlane skrev:
Det går alldeles utmärkt, om man vill alltså.
Man spärrar inte BankID utan respektive bank säger att vilken/vilka tjänster man får använda med BankID och vilka man inte får använda. Det är inget problem alls för en bank att förhindra att en användare från att nyttja en, flera eller alla tjänster om de identifierar sig eller försöker signera med BankID. Det går alldeles utmärkt att göra utan att blockera så att användaren inte kan logga in på apoteket och beställa medicin eller rapportera VAB hos Försäkringskassan.
Att göra tvärtom, att man har en "förbjuden"-lista fungerar inte eftersom det tillkommer nya tjänster till BankID som kan vara känsliga i penningtvätt-hänseende.
Det skulle då behövas någon form av RP-kod i BankID, likt hur Merchant Code fungerar för kortbetalningar.
Dvs att man anger "företagstyp" - om det är casino, brick and mortar store, gas station, currency exchange, atm, food store, etc
Titta på denna lista så ser du:
https://www.citibank.com/tts/solutions/commercial-cards/assets/docs/govt/Merchant-Category-Codes.pdf
Något liknande skulle då behövas för BankID.
Och så kan banken sedan spärra de "RP-koder" som är känsliga i penningtvättshänseende.
Ungefär. Man diskuterar nu i det statliga utredningen att kunna dela ut olika former av begränsade ID-kort till de som fått vissa restriktioner, t.ex. de med förvaltarskap ska bara kunna ha ett särskilt ID-kort som enbart kan användas för t.ex. hämta ut paket på posten och sådant.Fairlane skrev:
Det berodde på att penningtvättlagen inte fanns. Banken fick visserligen spärra ditt bankkonto, men de gjorde aldrig det utan åklagarbeslut för att det fanns inte anledning att göra det. En åklagare kunde då bara spärra bankkontot för det belopp som var "ifrågasatt" och det heter då kvarstad. Man kunde inte spärra det helt.hsd skrev:
Numera är standard praxis att man spärrar det helt och t.om. informerar utbetalare (t.ex. arbetsgivare) att de inte får byta konto.
Skillnaden ligger i att i det första, så är det hindrande av konkurrens, eftersom Bank A då hindrar konkurrensen för Bank B. Typ som att ICA inte gillar dig som kund, och spärrar dig även från Coop fastän de vill ha dig som kund.Alfredo skrev:
I det andra fallet så handlar det om ett öppet samarbete, där bankerna samarbetar, där typ ICA ber Coop porta dig. Och det är en väldigt skillnad. Då har Bank B gått MED på att du spärras av Bank A, dvs det är inte ett hinder för Bank Bs verksamhetsutövare.
Om banken via UC lägger en sk ID-spärr på dig kommer alla ID-kort som utfärdats före ID-spärrens datum att vara ogiltiga. För de som iofs kollar via UC.D djac skrev:
Är inte kopplat till betalningsanmärkningar öht.
Du själv kan lägga en sådan spärr på dig själv om du vill genom att ringa
0900-101 20 30
(Betalsamtal, 95 kr per samtal)Är det inte bättre att alla över 65 får sina BankID indragna, då slipper ju åldringarna bli bedragna 🤔S sebastiannielsen skrev:Hellre att bedragarna kan stoppas direkt än att det ska behöva dras i långbänk i domstol. domstolsprocesser och rättsprocesser tar tid, och under tiden hinner bedragarna lura andra.
Bättre då att handläggaren kan trycka på en knapp och vips så får inte personen ha BankID på 1 år. Sedan 1 år senare kan personen få en ny chans och visa att han kan sköta sig.
Det är ju så "brottsbekämpning" bedrivs i Sverige nuförtiden, genom kollektiva frihetsbegränsningar, så det ligger nog i korten ska du se, övervakning, avlyssning och begränsning "för ditt eget bästa".D Dilato skrev:
Ironiskt nog är det inte tillåtet att föra privata "brottsregister". Även om man själv är brottsoffer. Finns faktiskt exempel på att en bank fällts för att de spärrat en person som tidigare rånat banken från att öppna ett konto.D djac skrev:
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 904 inlägg
Det var med gamla PUL. Att registrera att någon begått ett brott krävde tillstånd från datainspektionen (innan de bytte namn till IMY).C cpalm skrev:
Det saknade betydelse hur registreringen utformades, även om det var en "true/false" flagga för om personen var opålitlig räckte. Även t.om. att spara en tidningsartikel eller favorit i webbläsaren där personen omnämns vid brottet var brottsligt.
Nu har reglerna luckrats upp något, så att det är tillåtet att registrera brott, men bara det görs på ett begränsat vis, och det kräver en förhandsprövning av IMY.
Bland annat får inte detaljer om brottet sparas, och tillståndet för t.ex. BankID är begränsat till 1 år, dvs uppgifterna får bara sparas i 1 år och sedan gallras.
Tillståndet säger också att de inte heller får medge en kortare lagringstid, eftersom det skulle kunna avslöja vilket "brott" som den spärrade personen är misstänkt för eller har begått.
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Klart att det fungerar. När man inför en ny tjänst så tittar man givetvis på vilka krav som ställs. Klassisk Identity and Access Management (IAM).S sebastiannielsen skrev:
Behörighetshanteringen sker vid systemen, auktorisation, inte autentiseringen av användaren. Det är så basalt det kan bli.
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 904 inlägg
Skillnaden är att tjänster kan ansluta sig efter att en spärr lagts. Ska då tjänsten ingå i spärren eller ej. Det är inget som tjänstetillhandahållaren ska kunna välja, för de väljer givetvis att inte ha spärr för att få så många kunder som möjligt. Utan måste bedömas "opartiskt" utifrån penningtvättrisken.Fairlane skrev:
Det är därför jag menar, att då behöver man "Merchant Codes" fast för BankID. Så att man lätt kan säga att "alla tjänster med merchant code från X till Y omfattas av spärren för de som spärrats från BankID pga bedrägeri/penningtvätt".
Det handlar inte om att "införa" en ny tjänst, utan det handlar om att en ny tjänst "ansluter sig". Behörighetshanteringen styrs av tjänsteutfärdaren (t.ex. Telenor), men vilka BankID som ska få använda Telenors tjänst med hänsyn till penningtvättrisk är något som bankerna får stå för. Så det blir så att säga 2 behörigheter som styr, bankens behörighet, och tjänsteutfärdarens behörighet, och båda behörigheter måste säga att du har tillträde för att du ska få åtkomst.
Skulle man införa merchant codes, så skulle jag säga att följande koder ska ha BankID tillåtet:
0742, 4111, 4112, 4119, 4131, 4784, 4900.
SAMT:
5000-7299 (förutom - dessa till höger ska vara spärrade- : 5045, 5046, 5732, 5815-5818, 5935, 5944, 5960-5971, 6000-6760)
SAMT:
8011-8099, 8211-8351
SAMT:
9000-9999
Resten kan vara spärrat.
Redigerat:
Helt bakvänt resonemang. BankID är till för att verifiera vem man är, autentisera, inte sätta behörighetsnivå och åtkomst, auktorisation.S sebastiannielsen skrev:Skillnaden är att tjänster kan ansluta sig efter att en spärr lagts. Ska då tjänsten ingå i spärren eller ej. Det är inget som tjänstetillhandahållaren ska kunna välja, för de väljer givetvis att inte ha spärr för att få så många kunder som möjligt. Utan måste bedömas "opartiskt" utifrån penningtvättrisken.
Det är därför jag menar, att då behöver man "Merchant Codes" fast för BankID. Så att man lätt kan säga att "alla tjänster med merchant code från X till Y omfattas av spärren för de som spärrats från BankID pga bedrägeri/penningtvätt".
Det handlar inte om att "införa" en ny tjänst, utan det handlar om att en ny tjänst "ansluter sig". Behörighetshanteringen styrs av tjänsteutfärdaren (t.ex. Telenor), men vilka BankID som ska få använda Telenors tjänst med hänsyn till penningtvättrisk är något som bankerna får stå för. Så det blir så att säga 2 behörigheter som styr, bankens behörighet, och tjänsteutfärdarens behörighet, och båda behörigheter måste säga att du har tillträde för att du ska få åtkomst.
Jämför med ID-kort eller pass. Det enda rimliga är att banker antingen har egna spärrlistor eller använder en central tjänst för personer som ska spärras från banktjänster, på samma sätt som man exempelvis måste kontrollera om en person är en politiskt exponerad person, PEP, något som man inte ser från BankID.
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Som tidigare nämnt så är det skillnad på autentisering (bevisa vem man är) och auktorisering (vad får man göra). BankID är bra på det första och tänkt för det första, inte det andra.S sebastiannielsen skrev:Skillnaden är att tjänster kan ansluta sig efter att en spärr lagts. Ska då tjänsten ingå i spärren eller ej. Det är inget som tjänstetillhandahållaren ska kunna välja, för de väljer givetvis att inte ha spärr för att få så många kunder som möjligt. Utan måste bedömas "opartiskt" utifrån penningtvättrisken.
Det är därför jag menar, att då behöver man "Merchant Codes" fast för BankID. Så att man lätt kan säga att "alla tjänster med merchant code från X till Y omfattas av spärren för de som spärrats från BankID pga bedrägeri/penningtvätt".
Det handlar inte om att "införa" en ny tjänst, utan det handlar om att en ny tjänst "ansluter sig". Behörighetshanteringen styrs av tjänsteutfärdaren (t.ex. Telenor), men vilka BankID som ska få använda Telenors tjänst med hänsyn till penningtvättrisk är något som bankerna får stå för. Så det blir så att säga 2 behörigheter som styr, bankens behörighet, och tjänsteutfärdarens behörighet, och båda behörigheter måste säga att du har tillträde för att du ska få åtkomst.
Skulle man införa merchant codes, så skulle jag säga att följande koder ska ha BankID tillåtet:
0742, 4111, 4112, 4119, 4131, 4784, 4900.
SAMT:
5000-7299 (förutom - dessa till höger ska vara spärrade- : 5045, 5046, 5732, 5815-5818, 5935, 5944, 5960-5971, 6000-6760)
SAMT:
8011-8099, 8211-8351
SAMT:
9000-9999
Resten kan vara spärrat.
Auktorisation hanteras av tjänsteägaren i ett vettigt uppbyggt system.
Om banken misstänker penningtvätt eller annan olaglig verksamhet så kan de spärra konton och meddela polis. Banken ska inte avgöra om personen ska få logga in mot Försäkringskassan och begära VAB, det är Försäkringskassans sak att hantera.
Jag anser att det är skillnad på att vara misstänkt för ett brott och att bedömas som skyldig till brott. Likaså anser jag att man inte ska straffa misstänkta. Skuldfrågan ska prövas i domstol eller av åklagare med möjlighet till överklagan. Eventuellt straff som döms ut ska vara rimligt.
Du verkar istället ha tanken att misstänkt ska räknas som skyldig, misstänkt ska inte ha rätt att försvara sig och skyldig (och då givetvis misstänkt) ska straffas så hårt som möjligt, rakt av. Det är inte en syn jag delar.
Ja, det blir knepigt, och detta trots att BankID menar att de tar ut ett avstånd till bankerna och är helt fristående. Det enda som borde kunna spärra en identitet är om rättssystemet beordrar det, mest uppenbart skulle väl vara om den är komprometterad.Fairlane skrev:
Som tidigare nämnt så är det skillnad på autentisering (bevisa vem man är) och auktorisering (vad får man göra). BankID är bra på det första och tänkt för det första, inte det andra.
Auktorisation hanteras av tjänsteägaren i ett vettigt uppbyggt system.
Om banken misstänker penningtvätt eller annan olaglig verksamhet så kan de spärra konton och meddela polis. Banken ska inte avgöra om personen ska få logga in mot Försäkringskassan och begära VAB, det är Försäkringskassans sak att hantera.
Jag anser att det är skillnad på att vara misstänkt för ett brott och att bedömas som skyldig till brott. Likaså anser jag att man inte ska straffa misstänkta. Skuldfrågan ska prövas i domstol eller av åklagare med möjlighet till överklagan. Eventuellt straff som döms ut ska vara rimligt.
Du verkar istället ha tanken att misstänkt ska räknas som skyldig, misstänkt ska inte ha rätt att försvara sig och skyldig (och då givetvis misstänkt) ska straffas så hårt som möjligt, rakt av. Det är inte en syn jag delar.
Vi kan självklart inte ha en rättsordning där företag bestämmer vem som är brottsmisstänkt och utan att blanda in rättsapparaten lägger frihetsbegränsningar på individen. Det blir faktiskt bara värre ju mer man tänker på det.
Det enklaste vore om det offentliga bara slutar att acceptera BankID omedelbart, det öppnar för renodlade e-leg-företag att växa och vi bör gå efter ett EIDAS alternativ då, en viktig aspekt är att alla ska kunna få ett e-ID.
En fundering, har ni sett någon statistik hur ofta BankID spärras? Hur stort är problemet för det finns problem i alla system/verksamheter.
Sedan är även jag av den åsikten att det inte ska kunna spärras helt godtyckligt av utfärdande bank, där spärr endast kan göras utifrån vad ev. brottslig handling avser. Som enbart legitimation ska inget kunna spärras för legal användare.
Sedan är även jag av den åsikten att det inte ska kunna spärras helt godtyckligt av utfärdande bank, där spärr endast kan göras utifrån vad ev. brottslig handling avser. Som enbart legitimation ska inget kunna spärras för legal användare.
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 904 inlägg
Korrekt. Problemet som uppkommer är att banken visst ska kunna avgöra om du ska kunna logga in på Svenska Spel, eftersom Svenska Spel innebär en penningtvättrisk (förhöjd sådan t.om.).Fairlane skrev:
Se det som såhär, istället för att banken ska behöva informera alla som tillhandahåller en tjänst som innebär risk för penningtvätt, så spärrar man istället BankIDt på ett sådant sätt att tjänster med risk för penningtvätt spärras.
Dock tycker jag inte FK inloggningen borde spärras, därav anser jag att ett system med "Merchant Codes" för förlitande parter behöver införas.
Jag delar inte din syn att BankID spärr är tänkt som ett straff. Det är snarare tänkt för att förhindra fortsatt brott.Fairlane skrev:
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 904 inlägg