Trygghet ved bruk av nettbank – næringens anbefalinger

Kredittilsynet
Postboks 100 Bryn
0611 Oslo
 

Deres ref:                Vår ref:                   Dato:
06/9297                  2006/00535 (FNH)     18.10.2006
                             200600104  (SPBF)
                             ER023001   (BSK)
 
Det vises til brev av 12.09.2006 fra FNH og Sparebankforeningen der det ble opplyst at de to foreninger, i samråd med Bankenes Standardiseringskontor (BSK), hadde nedsatt en arbeidsgruppe med representanter fra banker med mandat til å se på mulige tiltak i nettbankene som kan bidra til å øke kundens trygghet ytterligere for å unngå å sende utilsiktede transaksjoner. Arbeidet skulle munne ut i forslag til konkrete anbefalinger til den enkelte bank. 
 
Konkrete anbefalinger
Etter at Fellesutvalget for Betalingsformidling 13.10.2006 behandlet arbeidsgruppens forslag, anbefaler BSK at nettbankene inneholder følgende kontrollfunksjoner for å øke kundenes trygghet i bruk av sine nettbanker:


  1. Feltet for tasting av kontonummer bygges opp med plass til minimum 13 karakterer og det kontrolleres at det tastes inn eksakt 11 siffer. I motsatt fall gis feilmelding.

  2. Nettbanken skal ha et kontrollbilde der kunden ser kontonummer, beløp, dato og eventuell KID eller melding til mottaker i en oversiktlig form. 

  3. Beløp skal i kontrollbildet fremstå med et klart skille mellom kroner og øre og med bruk av tusenskilletegn. 

  4. Kunden må aktivt ta stilling til informasjonen i kontrollbildet før vedkommende kan gå videre og betalingen blir iverksatt. 

  5. Banken kan legge til rette for at kontrollbildet ved et aktivt valg fra kunden ikke framkommer for transaksjoner under en beløpsgrense fastsatt av kunden.

  6. I de nettbanker der kunden selv kan styre når kontrollbildet er påkrevd, begrenses dette til beløp under en grense satt av banken. 

  7. I de nettbanker der det er separate felt for kroner og øre kontrolleres at det kun er tastet inn siffer. Feilmelding fremkommer dersom det er tastet inn noe som helst annet enn siffer i disse feltene. 

  8. Dersom nettbanker opererer med ett felt med ”kroner, øre” skal kunden fylle inn komma selv om ørebeløpet er 00. 

  9. Nettbanken har som standard en beløpsgrense pr. transaksjon og/eller for transaksjonsbeløp innen en periode.

  10. Grunnet ulik bruk av nettbanken hos kundene bør banken vurdere å la den enkelte kunde selv endre denne beløpsgrensen. 

  11. I de tilfeller det registreres en transaksjon der mottakers kontonummer ikke finnes i OCR-registeret (KID) og heller ikke er registrert i kundens mottakerregister bes kunden kontrollere at kontonummeret er riktig. 

  12. Hvis banken gir kunden muligheter til å velge for eksempel beløpsgrense og grense for vising av kontrollbilde, gis kunden en periodisk oversikt av disse valgene. 

  13. Bankene bør legge til rette for at kunden kan gjennomføre periodisk oppdatering av mottakerregisteret.
Mange av bankene har allerede slike kontrollfunksjoner i sine nettbanker. Banker som ikke har slike bør innføre dette så snart det er praktisk mulig.

Navn mot kontonummer
 
Sammenligning av navn angitt av betaler og navn registrert på inntastet kredit kontonummer
Finansdepartementet (brev 19.09.2006) ba Kredittilsynet vurdere en løsning som innebærer sammenligning av det navn kunden taster inn og det navn som er registrert på mottagers konto. Tiltaket forutsetter at det må være et krav at betaler fyller inn navn. Noe som også fremgår av departementets brev.
 
Vi vil fraråde en slik løsning. Den skrivemåten avsender legger inn vil i mange tilfeller vil kunne være en annen enn den som ligger på mottakers konto. Skriver avsender ”Hansen”, men mottakers navn er ”Hanssen”, vil det måtte komme en feilmelding. Videre vil bedrifter ofte opererer med andre navn som mottagere på fakturaer enn det som faktisk er registrert på den kredit konto som er angitt på samme faktura. Resultatet av en slik løsning vil derfor måtte bli svært mange feilmeldinger tilbake til betaler uten at dette betyr at betaler har tastet feil kredit kontonummer.
 
Også Kredittilsynet er skeptisk til departementets forslag om sammenligning av navn. Kredittilsynet anviser i stedet (i brev 29.09.06 til departementet) en løsning der nettbanken (betalers bank) henter mottagers navn fra betalingsmottagers bank og presenterer dette i nettbanken.
 
Betalingsmottagers navn presenteres i nettbanken
 
Banknæringen kan ikke anbefale løsninger der kunder oppgir kontonumre og så får opp kontoeiers navn i nettbanken. Nedenfor vil vi gjøre rede for våre vurderinger knyttet til en slik løsning.
 
- Brukervennlighet

Selv om ikke nødvendigvis responstidene vil være dramatiske vil det oppstå tilfeller der mottagerbankens datasentral ikke vil være tilgjengelig.
 
En av Kredittilsynets betenkeligheter med en løsning som Finansdepartementet tok til orde for å få vurdert (sammenligning av navn tastet inn av nettbankkunden og navn registrert på kredit kontonummer) er at navnet på kontohaver ofte vil være et annet enn betalingsmottaker. Etter vårt syn vil dette også være en betenkelighet i forhold til en løsning der navn registrert på kredit kontonummer presenteres i nettbanken. Kunder vil naturligvis kunne bli usikre når det mottagernavn som presenteres i nettbanken ikke er det samme som kunden forventer. Selve hensikten med tiltaket er jo at kunden skal gjøres oppmerksom på at angitt kredit kontonummer kan være feil når mottagers navn ikke ”stemmer”. Trolig vil frekvensen av ”mismatch” i navn (men riktig kontonummer) overstige antall feiltastinger av kontonumre (men likevel CDV-gyldige). Når kundene etter hvert blir vant til at mottagernavnet ikke stemmer vil kundene også miste fokus på opplysningen om navn på kredit kontonummer.
 

- Bankenes taushetsplikt (fbl § 18 og spbl § 21)

Taushetspliktsbestemmelsen i banklovene er i utgangspunktet til hinder for at en kunde, ved å opplyse om et kontonummer, kan få tilgang til innehaver av kontoen. Denne vurderingen ble noe nyansert som følge av en uttalelse fra Kredittilsynet i 2001 til Bankklagenemnda i forbindelse med en konkret sak som nemnda hadde til behandling. Kredittilsynets uttalelse førte til at følgende bestemmelse i 2003 ble tatt inn i ”Alminnelig regelverk om interbanktransaksjoner ved innenlands betalingsformidling”:
Dersom uriktig konto er godskrevet som følge av feil i betalers krediteringsoppdrag, skal betalingsmottakers bank etter anmodning fra betalers bank oppgi betalingsmottakers navn og adresse, jf reglene om bistandsplikt i § 7. Tilsvarende gjelder dersom uriktig konto er belastet som følge av feil i betalingsmottakers debiteringsoppdrag. Formålet med slik opplysningsplikt er at betaler skal kunne ivareta sine interesser overfor betalingsmottaker, for eksempel i form av et tilbakesøkningskrav.
 
Betalingsmottakers bank kan av hensyn til sin taushetsplikt stille som vilkår for utlevering av navn og adresse etter foregående ledd, at betalers bank fremlegger eller videresender en skriftlig bekreftelse fra betaler om at det har skjedd en feiloverføring eller feilbelastning. Den bank som har generert interbanktransaksjonen skal uten ugrunnet opphold varsle betalingsmottaker om at betalers bank har gitt slike opplysninger til betaler.
 
Den begrunnelse som Kredittilsynet i 2001 anførte for å åpne for at banker kunne oppgi navn på mottagers konto i de tilfeller det har funnet sted feiloverførsler, kan for så vidt sies å være relevant også for å forhindre feiloverførsler før transaksjoner utføres. De forutsetninger som Kredittilsynet, i sin uttalelse fra 2001, pekte på skal oppfylles for å kunne gi betaler opplysninger om navn på mottagere, kan imidlertid ikke inngå i en løsning der kunder gjennom nettbanken får opplyst mottakers navn.

- Personvernet


Betalingsmottagere vil ha oppgitt både sitt navn og kredittkontonummer til betaler. Det vil derfor etter vårt syn ikke være i strid med personopplysningsloven at betaler i nettbanken får opplyst betalingsmottagers navn når kunden taster inn det kontonummer betalingsmottager har oppgitt.
 
Den situasjon vi står overfor er imidlertid at betaler (ved en feil) taster inn et annet kontonummer enn det betalingsmottager har oppgitt. Dermed vil betaler få tilgang til navn på konto som det ikke skal betales til (og til en kunde som verken har oppgitt sitt kontonummer eller navn til betaler).

Hovedregelen i personopplysningslovens § 8 er at personopplysninger bare kan utleveres om den registrerte har samtykket til det. Personopplysningslovens § 8 angir imidlertid en hel rekke unntak fra hovedregelen, herunder ”at den behandlingsansvarlige (banken) eller tredjeperson (betaler) som opplysningene utleveres til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen, jf personopplysningslovens § 8 f) (våre parenteser).

Det kan ikke utelukkes at personopplysningslovens § 8 f) vil kunne være relevant om en slik utlevering av personopplysning utelukkende og faktisk bidrar til at en kunde unngår (ved en feil) å sende penger til feil konto og dermed unngår tap av oversendt beløp.

Bankene vil imidlertid ikke kunne forsikre seg om at utleveringen av navnet faktisk har sammenheng med (bidrar til) at betaler unngår å sende penger til feil konto. Dette fordi nettbankkunden vil få presentert navn på kredit kontonummer som angis uten at dette trenger å ha sammenheng med at kunden faktisk har til hensikt å utføre en betaling. Løsningen vil mao kunne benyttes for kunder til fritt å tilegne seg opplysninger om navn på eiere av konti som tastes inn i nettbanken. Vi vil anta at det å tilrettelegge for slike løsninger som gir kunder anledning til å søke på navn registret på inntastede kontonumre vil kunne være i strid med personvernlovgivningen (ikke i berettiget interesse til den som opplysningene utleveres til).
 

- ID-tyveri/svindel



Kunder, og da særlig privatkunder, er normalt tilbakeholdne med å oppgi sitt kontonummer til andre, ikke fordi de nødvendigvis betrakter dette som en vital personopplysning, men fordi det gjør seg gjeldene en frykt (usikkerhet) for hva andre (uvedkommende) vil kunne benytte kontonummeret til.
 
Banker har ikke anledning til å utlevere opplysninger om navn på kontonumre til uberettigede personer. Dette skyldes ikke bare taushetsplikten, men også at bankene vurderer opplysninger om navn og kontonummer som et mulig ledd i svindel/kriminalitet/ID-tyveri. I denne sammenheng kan det vises til at bankene for flere år siden sørget for at bare de fem siste sifrene i kontonummeret ble synlige på de kvitteringer som gis fra minibanker og betalingsterminaler. Bakgrunnen for dette tiltaket var nettopp å unngå at det ble svindlet med utgangspunkt i alle de kontonumre/kortnumre som var angitt på kvitteringer som lå strødd rundt minibanker og i tilknytning til betalingsterminaler. Dette selv om kortholders (kontoholders) navn ikke fremgikk på kvitteringene.
En løsning der kunder på grunnlag av å taste inn kontonummer i nettbanken får opplyst kontoeiers navn vil frata kundene kontrollen over hvem de oppgir kombinasjonen av eget kontonummer og navn til. Vi frykter at en slik løsning vil øke muligheten for svindel mot bankkonti og ID-tyverier som kan ramme kunder også gjennom andre kanaler en over bankkonti. Etter vårt syn vil en ordning som innebærer at bankene gjennom nettbanken gir opplysninger om navn tilhørende konti som tastes inn representere økt risiko for alle personer med bankkonto.
 
At bedrifter oppgir sine kontonumre til ”alle” er nødvendig for at kundene skal kunne betale til bedriften. Bedrifter har imidlertid rutiner som løpende avdekker eventuelle unormale belastninger på slike konti. Privatkunder har (normalt) ikke slike rutiner.
 
Det konkrete anbefalte tiltak nummer 11 innebærer at betaler vil bli bedt om å kontrollere mottakers kontonummer dersom det inntastede kontonummer verken finnes i OCR-registeret (KID) eller er registrert i kundens mottakerregister i nettbanken. Kunden vil dermed få en ”advarsel” dersom kunden taster inn et kontonummer som ikke kan kontrolleres mot et OCR register eller som kunden ikke har betalt til tidligere. Etter vårt syn vil dette tiltaket godt på vei imøtekomme det formål som opplysning om navn på inntastet kredit kontonummer er ment å ivareta, uten å gi de uheldige konsekvenser som er knyttet til utlevering av navneopplysninger.
 
FNH, Sparebankforeningen og BSK står til disposisjon dersom Kredittilsynet ønsker nærmere utdyping knyttet til de konkrete anbefalinger.
 
 
Med vennlig hilsen
 
for Finansnæringens Hovedorganisasjon           for Sparebankforeningen i Norge
Tor J. Bjerkedal                                          Jan Digranes
 
 
                          Bankenes Standardiseringskontor
                          Knut Kvalheim