Fast Nordnet-incidenten bevisar väl snarare min poäng? Trots att folk kom in på andras konton kunde de inte tömma dem. Just för att spärrar som BankID-krav vid uttag till föranmälda konton och externa avstämningsregister (VPC) ligger kvar som ett skyddsnät bakom ytan. Det är en enorm skillnad på ett trasigt UI och att faktiskt förlora sina tillgångar.
Det är ett starkt ordval att säga att de ”förnekade” det. Att förneka innebär ju att man vet sanningen men aktivt väljer att ljuga. Vi vet ju inte om Nordnet satt på fullständiga loggar men valde att mörka dem. Det är betydligt mer troligt att de, som vid nästan alla IT-incidenter, kommunicerade utifrån den (bristfälliga) information de hade i stunden medan de febrilt försökte släcka branden.
Nej det visar min poäng att det innebär risker att ha stora belopp där. Kunderna blev inte trodda och det är inte kul att vara i den sitsen och försöka bevisa sin oskuld när banken förnekar att någon annan än du gjort affärerna.
Under tiden man kämpar mot dem har man inte tillgång till sina innehav och kan inte göra affärer och man vet inte om man någonsin kommer vinna caset.
Man utsätts också för risk om obehöriga får se att man har mycket stora belopp.
Vi lever inte i en “ord mot ord” värld när det gäller IT-incidenter. Varje klick, varje session-id och varje IP-adress loggas i flera led. Om en order läggs via en felaktig session (som vid Nordnet-incidenten) lämnar det tydliga digitala spår som gör det tekniskt omöjligt för banken att hävda att det var kunden som agerade. Bevisbördan vid obehöriga transaktioner ligger dessutom i extremt hög grad på banken, inte på kunden
Sen är det väl att ta i att kalla det för att man ”kämpar” mot banken? Nordnet-incidenten var ett enstaka tillfälle som påverkade en försvinnande liten del av kundbasen under några få timmar. Att bygga en hel investeringsstrategi på en statistisk anomali som varade kortare tid än en genomsnittlig lunchrast känns… ja, minst sagt dramatiskt
Man får såklart ha hur många appar man vill i telefonen, men att motivera det med ”riskhantering” i det här fallet är nog snarare ett sätt att dämpa sin egen oro än att faktiskt skydda sina pengar
Det är intressant att du drar erfarenhetskortet, men oavsett yrkesbakgrund kan vi inte bortse från att finansiella institut lever under extremt strikta regelverk (som MiFID II och PSD2). Dessa är inte frivilliga rekommendationer, utan krav på loggning och spårbarhet som gör scenariot med “obevisbara affärer” till mer av en roman
Den här incidenten hände en dag i november, och sidan låg nere i 4h. Redan dagen efter kunde Nordnet bekräfta: ”Vi har sett att det har inträffat i ett dokumenterat fall, där en aktieorder initierades av en obehörig person. Den transaktionen har återställts, så vi har inget rapporterat fall av direkt ekonomisk påverkan från våra kunder”. Dvs inget tog lång tid, och inget var osäkert.
Vi landar nog helt enkelt i att vi ser på risk med olika glasögon. Du prioriterar att skydda dig mot den mänskliga och tekniska faktorn i gränssnittet genom redundans, medan jag förlitar mig på att den underliggande infrastrukturen och lagstiftningen gör jobbet. Vi får nog helt enkelt konstatera att vi har olika risktolerans här och gå vidare
Jag har sett koden, och skrivit mycket av den. Jag sitter inte bara och gissar och tror saker.
Nja det är inte en korrekt beskrivning av verkligheten. Först gick de ut och sa att en del kunder fått se fel kunddata men inte haft access till andras konton. Jag som förstår hur det fungerar sa redan då att detta är fel, kunder har med största säkerhet haft access till andras konton sa jag.
Senare kom nyheter om kunder som hade felanmält felaktiga transaktioner men mötts av svaret att det inte har skett.
Ja hur varje enskild person prioriterar beror förstås på en rad personliga faktorer, inte minst storlek på kapital och om man någon gång tidigare saknat access till sitt kapital pga det som skett på banken. Det har jag varit med om också längre tillbaka i tiden och då berodde det på kriminella handlingar hos en mäklare. Jag vet hur det kändes under de veckor detta pågick för mig.
Det följer av Betaltjänstlagen (2010:751), som bygger på EU:s PSD2-direktiv. Det är banken som måste kunna visa att en transaktion har autentiserats och inte påverkats av ett tekniskt fel. Det är alltså inte alls ett civilmål i tingsrätten där du som privatperson ska stå och “bevisa din oskuld” mot en storbank. Lagstiftningen är utformad specifikt för att skydda den svagare parten vid just sådana här incidenter.
Det är en ganska stor skillnad på vad en stressad kundtjänstmedarbetare säger i telefon under de första timmarna av en IT-kris, och vad bankens officiella utredning och juridiska ansvar faktiskt landar i. Nordnet bekräftade dagen efter att felaktiga transaktioner var återställda. Att tro att en bank i en hårt reglerad miljö bara kan skaka på huvudet och vägra fixa dokumenterade systemfel är inte realistiskt alls.
Och igen, vi verkar ha helt olika risktolerans och diskussionen går inte framåt. Vi kan stanna här och låta var och en bygga sin portfölj efter sin egen nattsömn.
Jag är IT-expert inom bank & finans och inte jurist så jag frågade AI som säger att du har fel. Den säger detta:
Betaltjänstlagen har uttryckliga undantag i 1 kap. 7 § punkt 7: Lagen gäller inte för betalningstransaktioner som “avser förvaltning, inlösen eller försäljning av finansiella instrument”. Detta inkluderar handel med aktier, fonder eller andra värdepapper på ett depåkonto – exakt vad som hände i Nordnet-incidenten (bugg i inloggning som ledde till obehörig orderläggning på fel konto).
Ja det är klart vi har olika risktolerans och det är helt okej, alla måste inte känna lika om detta. Jag som varit med om handel på mitt konto för ca 25 år sedan, fått kontot fruset i veckor och tvingats sitta i förhör hos banken och deras jurist har en lägre risktolerans. I detta fall var det kriminella handlingar av en anställd mäklare som låg bakom.
För min del finns heller ingen nackdel att sprida kapitalet, tvärtom är det bara fördelar för mig.
Jag har 80 procent i Avanza och Nordnet samt övriga 20 procent i Lysa, Fondo och SAVR.
För att minimera riskerna har jag funderat på att sälja av allt och köpa en billig indexfond i min traditionella bank.
Jag ligger på nivåer en bra bit över investerarskyddet på Avanza och Nordnet. Traditionell bank, jag är kund i en av de stora där jag också har lönekontot, känns säkrare.
Avanza har bättre ui osv och har bäst ränta på första 10% av portföljbelåningen, nordnet har samma ränta oavsett så kör 50/50 med 10% belåning på avanza och 30% på nordnet.
Kör flera. Det som jag tycker är
Lite obehagligt med nätmäklarna är att det går att logga in fler vägar än via BankID, dvs man kan använda lösenord också. Det gör sårbarheten större. Hade önskat att nätmäklarna ökat säkerheten för inloggning och stt alla kört med riktiga kontonummer.
Beakta detta, @SAVR och andra nätmäklare som läser detta
Kan börja med att säga att du kan stänga av lösenordsinloggning hos Avanza och hos Nordnet kan du inte längre använda det alls.
Men jag som har jobbat med tekniska säkerhetssystem och BankID håller inte helt med om detta. BankID har tvärtom öppnat upp nya attackvägar som inte tidigare har existerat och som du inte kan skydda dig emot genom att själv avstå från att använda det. (Med hög sannolikhet skulle heller inte Nordnets bugg ha inträffat utan BankID).
Vi såg detta när Christer Gardell (och flera andra rika kändisar) utsattes för bedrägeri. Bedragaren skaffade Telias e-leg med hans identitet och kunde sedan logga in och skapa upp bank-konton i vilken bank som helst i hans namn. Telia hade inte lika hög social säkerhet (krävde inget besök hos en bank) men principen var densamma. Bedragaren loggade in på Gardells Avanza-konto och gjorde uttag till ett konto hos SBAB som bedragaren öppnat i Gardells namn. Därefter gick pengarna vidare till bedragaren.
Gardell själv hade ingen medverkan i detta på något sätt. Han blev inte lurad att göra något dumt men den som lyckas skaffa ett e-leg, även BankId, med annan persons identitet kan göra detta utan att du kan stoppa det.
Det drogs förstås lärdomar av detta vilket gjort det säkrare men i princip är det fortfarande möjligt om man lyckas få ut ett BankID med annan persons identitet. Ett skydd som infördes var att vi nu får notifieringar i mobilen när ett nytt BankID skapas, så var vaken om du ser det utan att du har skapat ett nytt BankID.
Personligen anser jag att IBKR har ett säkrare system än de svenska bankerna, de har ett mycket väl utarbetat säkerhetstänk och jag känner mig mer bekväm med att ha stora tillgångar där.
BankIDs fördel ligger snarast i enkelheten för användaren. Ett digitalt ID som du kan logga in med eller skapa upp nya konton lite överallt, men där ligger också en risk med höga potentiella konsekvenser. En annan risk är förstås att du kan bli helt avstängd från alla banker och myndighetstjänster efter att din bank spärrar ditt BankID.
Hej!
Vi har inte inlogg via lösenord, utan endast inloggning via BankID. När man väl är inloggad med BankID kan man dock välja om man vill aktivera biometrisk inloggning.
Vad gäller kontonummer hos oss är det en säkerhetsfråga: För att följa rådande regelverk kring penningtvätt behöver vi veta vem som sätter in pengar på våra kunders konton. Fria banköverföringar via kontonummer innebär manuell kontroll, medan insättningar som görs när du är inloggad hos oss kan verifieras automatiskt. I dagsläget har vi därför inte möjlighet att erbjuda kontonummer.
