Med en falsk legitimation kan bedragare öppna ett konto på en annan bank än din, starta en e-legitimation i ditt namn och sedan komma åt dina riktiga konton. Det drabbade finansmännen Christer Gardell och Mats Arnhög i november förra året, skrev Dagens Industri. Sammanlagt kom bedragarna åt över 5 miljoner kronor.
LÄS OCKSÅ: Det här är Bank-ID – svar på de vanligaste frågorna
Bristen pekades ut
Bristen som då pekades ut var i själva uthämtningen av e-legitimation, i det här fallet Telias, som skedde i en lokal Ica-butik. Sedan dess har Telia ändrat sina rutiner och skickar inte längre e-legitimationer med vanlig post. Men förtroendet för Telias e-legitimationer skadades av bedrägeriet, och den betydligt större konkurrenten Bank-id, som ägs av bankerna, har tagit ännu fler marknadsandelar efter händelsen.
Men Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS, tycker att även Bank-id brister i säkerhet.
- Jag är inte kritisk mot bank-id i sig, bara mot det faktum att någon kan få det utfärdat i mitt namn på falska grunder. Bank-id är en id-handling som ju kan användas på många ställen, säger hon.
En annan svaghet, som öppnar för bedrägerier, är att kunden inte själv kan välja var den digitala legitimationen ska gälla. Anne-Marie Eklund Löwinder skulle vilja se en möjlighet för kunderna att knyta sitt bank-id till den eller de banker man använder.
- I princip vore det bra om man kunde säga ungefär "Jag är inte kund hos X-banken så om någon kommer med ett bank-id som X-banken har ställt ut i mitt namn så är det ogiltigt".
LÄS OCKSÅ: Blondinbella fick sitt id kapat
En spärr har diskuterats
En sådan spärr diskuterades efter bedrägerierna mot Christer Gardell och Mats Arnhög. Men Bank-ID har inte infört det.
- Det är inget som vi har utvecklat gemensamt, säger Johan Eriksson, vd på Finansiell id-teknik som driver Bank-id.
För att hämta ut en ny e-legitimation i dag måste kunderna legitimera sig hos en bank, vilket gör det svårare för bedragare. Finansiell ID-teknik medger att de falska fysiska legitimationerna är ett problem.
- När du visar din id-handling i kassan tittar de på den eller scannar den, men är den skickligt förfalskad så räcker inte det, säger Johan Eriksson.
Också Anders Olofsson, kommissarie på polisens nationella bedrägericenter, menar att de falska legitimationerna är det stora problemet.
- Bank-id och mobilt bank-id är i grunden bra, det är själva insteget som är svagheten. Körkort borde inte vara godkänt som legitimation, det är så lätt att förfalska, säger han.
LÄS OCKSÅ: Lär dig avslöja bedragarnas bluffar
Ingen statistik finns
Finansiell id-teknik har ingen statistik över hur många som utsatts för bedrägerier med bank-id, likt de som drabbade finansmännen Christer Gardell och Mats Arnhög. Men polisen bekräftar att de fått information om flera fall sedan dess.
- Vi har väl haft ett halvdussin fall innan det hände och ett fåtal strax därefter, i början av 2015. Det krävs en hel del av bedragaren och de förbättrade säkerhetsrutinerna har gjort det svårare, säger Olofsson.
LÄS OCKSÅ: Det här är nya dataskyddslagen – så påverkar den dig