🏠 Forside § Lover 📜 Forskrifter 💼 Bransjeforskrifter 📰 Lovtidend 🏛 Stortingsvoteringer Domstoler 🇪🇺 EU/EØS 📄 Siste endringer 📚 Rettsomrader 📊 Statistikk 🔍 Avansert sok Hjelp
Hjem / Horinger / Horing / Horingssvar
Regjeringen Med merknad
Til horingen: Høring - finansforetaks informasjonsdeling for å bekjempe økonomisk kriminalitet

Stø AS

Departement: Familiedepartementet
Dato: 04.11.2025 Svartype: Med merknad Høringsuttalelse fra Stø AS – finansforetaks informasjonsdeling for å bekjempe økonomisk kriminalitet – forslag til endringer i finansforetaksloven og -forskriften om taushetsplikt og informasjonsdeling Stø AS viser til Finansdepartementets høring 17. september 2025 av Finanstilsynets notat av 29. august 2025 «Nærmere regler om informasjonsdeling for finansforetak» med bl.a. forslag til endringer i finansforetaksloven § 16-2 og i finansforetaksforskriften ny § 16-17. 1. Hovedsynspunkter Finansdepartementet har i høringsnotatet foreslått en regulering av finansforetaksloven og finansforetaksforskriften med formål om å åpne for mer utstrakt deling av informasjon mellom finansforetak, politi og tilbydere av elektroniske kommunikasjonstjenester. Stø AS støtter endringsforslagene med utvidede hjemler for datadeling, ikke bare begrenset til mellom finansforetak og telekomtilbydere, men også til virksomheter som er omfattet av lov om elektroniske tillitstjenester. Digitaliseringen av tjenester fra privat og offentlig sektor forutsetter at befolkningen har tilgang til elektroniske identiteter (eID) fra tilbydere av eID-ordninger. Samtidig innebærer den vidtrekkende digitaliseringen og tilsvarende behov for tilgang til eID et betydelig potensial for misbruk av elektroniske identiteter. Det er et uomtvistelig faktum at antallet identitetstyverier, bedragerier og svindel knyttet til digitale tjenester øker. Dette utfordrende bakteppet understreker behovet for styrkede hjemler for kriminalitetsforebygging, samt bedre samarbeid og informasjonsdeling mellom aktører som utvikler og tilbyr digitale IKT-tjenester – innenfor rammene av taushetsplikt og personvern. 2. Innledning Stø AS (tidligere BankID BankAxept AS) eies av bankene i Norge og leverer, på vegne av bankene, elektroniske ID- og betalingsløsninger. Selskapets hovedprodukter er BankID og det nasjonale betalingssystemet BankAxept, samt kundesjekk-løsninger (KYC) for rapporteringspliktige foretak etter hvitvaskingsregelverket. BankID er en elektronisk autentisering- og signeringsløsning som brukes av 4,7 millioner personkunder for sikker innlogging og autentisering på om lag 12.000 offentlige tjenester gjennom ID-porten og 4.000 private brukersteder som nettbanker og kommersielle tjenestetilbydere. BankID benyttes også for å signere avtaler og andre rettsdisposisjoner digitalt. BankID-tjenesten er regulert av lov elektroniske tillitstjenester (eIDAS) og er notifisert på høyeste sikkerhetsnivå i Europa. Signeringstjenesten står på EUs tillitsliste. Digitalsikkerhetsloven § 2 (NIS1) unntar eksplisitt virksomheter som er omfattet av lov om elektroniske tillitstjenester. Det skyldes at kravene til informasjonssikkerhet for tilbydere av elektroniske tillitstjenester (dvs. eksisterende regler i eIDAS) allerede klart nok stiller nødvendige sikkerhetskrav som er minst like strenge til sikkerhet og varsling som i NIS-direktivet, ref. NIS-direktivets artikkel 1 nr. 7. Det innebærer at tilbydere av elektroniske tillitstjenester har tilsvarende rammeverk i eIDAS for å operere med et tilstrekkelig sikkerhetsnivå og har hjemler til nødvendig behandling av personopplysninger. I henhold til NIS2-direktivet skal sikkerhetskravene harmoniseres med den reviderte eIDAS-forordningen (eIDAS 2.0). Dette innebærer at kravene til elektroniske tillitstjenester under eIDAS 2.0 skal være i samsvar med de sikkerhets- og varslingsforpliktelsene som følger av NIS2. Lov om elektroniske tillitstjenester vil fortsatt regulere elektronisk identitet og tillitstjenester i Norge, men tilpasses de nye kravene i eIDAS 2.0. 3. Ny utstedermodell for BankID Rammebetingelsene for elektronisk ID er i endring, blant annet gjennom rask teknologisk utvikling, revidert eIDAS-regelverk fra EU og nasjonal eID-strategi. For å møte fremtidige forventninger og krav jobber bankene og Stø AS med å forenkle og modernisere utstedermodell og styringsstruktur for BankID. Partene tar sikte på å være i mål med nødvendige endringer i BankID-avtaler og BankID-regelverket i løpet av 2026. Når endringene er gjennomført vil Stø AS bli eneste formelle og juridiske utsteder av BankID person- og brukerstedssertifikater, hvilket betyr etablering av en bankuavhengig modell for utstedelse av BankID. En slik modell legger igjen til rette for at flere kan få BankID. 4. BankID antisvindel 2.0 – et nødvendig tiltak i dagens trusselbilde Nye BankID antisvindel 2.0 er innført i BankID-tjenesten fra 2025. Dette er en moderne antisvindelløsning som overvåker BankID-transaksjoner, detekterer uvanlige mønstre, varsler om mistenkelig aktivitet og gir risikoscore i sanntid. Løsningen forutsetter økt datadeling fra finansforetak og andre brukersteder, innenfor rammene av taushetsplikt og personvernlovgivningen. Målet er å opprettholde tilliten til BankID og sikre at kravene til sikkerhet, sporbarhet og identitetsbeskyttelse etter lov om elektroniske tillitstjenester er oppfylt. Trusselbildet for digitale identiteter har endret seg. Telenors nylige publiserte rapport «Digital sikkerhet 2025» beskriver et trusselbilde som ikke lenger er begrenset til tekniske svakheter, men som omfatter en helhetlig og sammensatt trusselstruktur. Den peker på at angrepene er både målrettede og masseproduserte, og utnytter alt fra mobiltelefoner og skyplattformer til QR-koder og kunstig intelligens (KI). Trusselaktørene kombinerer teknologier og metoder for å manipulere, lure og skade både enkeltpersoner og samfunnskritisk infrastruktur. Dette viser at det digitale trusselbildet nå er komplekst og dynamisk, og krever en bredere forståelse enn bare teknisk sårbarhet. Den samlede sikkerhetssituasjonen tilsier derfor konkrete tiltak for svindelforebygging, også for elektroniske identiteter. Økende trusler som bedrageri og misbruk, særlig med økt bruk av KI og avanserte phishing-angrep, understreker behovet for bedre sikkerhetstiltak og svindelforebygging. Sikkerhet er også et fundamentalt krav i lov om elektroniske tillitstjenester med tilhørende forskrifter. Avanserte antisvindelløsninger anses av Stø AS som nødvendige for å oppfylle lovpålagte sikkerhetskrav, og hindre misbruk og endring av elektroniske identiteter, ref. eIDAS’ veileder LoA Guidance som understreker viktigheten av løpende risikovurderinger og tilpasning til nye trusler, inkludert utviklingen av KI. Sikkerhetstiltak bør derfor tilpasses risikoen og trusselbildet. Kravene til tiltak er teknologinøytrale og gir rom for ulike løsninger, forutsatt at de oppfyller funksjonelle krav. 5. Hvem finansforetak kan utlevere taushetsbelagte opplysninger til Høringsnotatet fra Finanstilsynet åpner for høringsinnspill i punkt 5.3.3 siste avsnitt, om hvem finansforetak kan utlevere taushetsbelagte opplysninger til. Både finansforetak, ekomtilbydere og eID-tilbydere er gjensidig avhengig av hverandre for å virke etter sin hensikt i den digitale samhandlingen. Finanstilsynet foreslår utlevering til ekomtilbydere med henvisning til foreslått tilsvarende tiltak for informasjonsdeling mellom betalingstjenesteleverandører og ekomtilbydere i den kommende EU-regulering på betalingsområdet (PSR og PSD3). Argumentasjonen som benyttes for utleveringsadgang til ekomtilbydere bør, etter vår oppfatning, kunne anvendes tilsvarende for virksomheter som er omfattet av lov om elektroniske tillitstjenester. Slike virksomheter er underlagt tilsvarende sikkerhetsrammeverk og tilsyn av Nasjonal kommunikasjonsmyndighet (Nkom), ref. også digitalsikkerhetsloven § 2 som eksplisitt unntar virksomheter som er omfattet av lov om elektroniske tillitstjenester. Virksomheter som er omfattet av lov om elektroniske tillitstjenester har en tilsvarende samfunnskritisk rolle som telekomtilbydere, spesielt når det gjelder elektronisk identitetssikring og tilgang til digitale tjenester. Risiko for misbruk eller svikt i eID-tjenester kan også få alvorlige konsekvenser for sluttbruker og brukersteder. Ved å inkludere eID-tilbydere i utleveringsadgangen for finansforetak, sikrer man en helhetlig og harmonisert regulering av aktører som håndterer taushetsbelagt informasjon. Dette vil bidra til nødvendig samhandling og effektiv bekjempelse av økonomisk kriminalitet mellom ulike sektorer og myndigheter for dette formålet. For at en antisvindelløsning for en eID skal fungere etter sin hensikt er det derfor nødvendig med økt datadeling fra brukersteder og at også virksomheter som er omfattet av lov om elektroniske tillitstjenester blir del av utleveringsadgangen i finansforetaksforskriftens § 16-17, dvs. at § 16-17 Utlevering av opplysninger, punkt (2) utvides med nytt punkt b – eID-tilbydere som er registrert i medhold av lov om elektroniske tillitstjenester. Foreslåtte punkt b i høringsnotatet om utenlandske foretak (…) blir nytt punkt c. 6. Oppsummert Stø AS støtter Finansdepartementets forslag om å åpne for mer utstrakt deling av informasjon mellom finansforetak, politiet og tilbydere av elektroniske kommunikasjonstjenester. Imidlertid bør delingsadgangen utvides til også å gjelde virksomheter som er omfattet av lov om elektroniske tillitstjenester. Med vennlig hilsen Stø AS Jan Bjerved leder ID Anders Lande leder politikk og samfunn Dokumentet er elektronisk signert Finansdepartementet Til høringen Til toppen
Med vennlig hilsen

Stø AS