Bank-id för alla i Sverige

Fru talman! Denis Begic har ställt frågan hur regeringen ska säkerställa att användningen av Bank-id och andra e-legitimationer uppfyller högsta säkerhetsstandarder samtidigt som användarnas integritet skyddas. Han har även ställt frågan hur statsrådet och Sverige förbereder sig på att möta de kommande teknologiska utmaningarna och innovationerna på området för elektronisk identifiering och digitala tjänster.

Utredningen Säker och tillgänglig digital identitet (I 2022:04) ska utreda och lämna förslag på hur e-legitimationer kan utformas och tillhandahållas på högsta tillitsnivå samt föreslå ändringar som följer av den reviderade e-IDAS-förordningen.

Den 16 oktober lämnade utredningen delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61). I delbetänkandet presenteras ett förslag på hur en statlig e-legitimation på högsta tillitsnivån kan utformas och tillhandahållas av en statlig myndighet. Syftet med den statliga e-legitimationen är att bidra till samhällets säkerhet och robusthet, motverka bedrägerier och underlätta digital inkludering. Delbetänkandet har varit ute på remiss till cirka 150 remissinstanser med sista svarsdag den 31 januari 2023. Nu bereds delbetänkandet vidare inom Regeringskansliet.

Den reviderade e-IDAS-förordningen som väntas antas i början av 2024 ställer krav på medlemsstaterna att tillhandahålla en digital identitetsplånbok. Med den digitala identitetsplånboken ska fysiska och juridiska personer på ett säkert sätt kunna begära, erhålla, lagra, välja, kombinera och använda personidentifieringsuppgifter och digitala bevis som körkort, utbildningsbevis och e-recept. Den digitala identitetsplånboken kommer att kunna användas i alla offentliga aktörers e-tjänster och i vissa privata e-tjänster. Den digitala identitetsplånboken kommer också att gå att använda i andra EU-länder och precis som den statliga e-legitimationen tillhandahållas på högsta tillitsnivå.

Fru talman! Jag tackar statsrådet för svaret.

Anledningen till att jag ställde interpellationen var att jag för ett tag sedan motionerade om statlig kontroll över Bank-id. Jag har fått en del reaktioner från personer som inte beviljats Bank-id och därför inte kan legitimera sig. I dagens Sverige är Bank-id ett otroligt viktigt redskap för att kunna uträtta bankärenden och mycket annat. Då är det förstås allvarligt att en privat aktör bestämmer vem som får och inte får Bank-id. Det borde vara staten som tillhandahåller detta.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

I en alltmer digitaliserad värld där vi inte bara loggar in på sociala medier utan betalar våra räkningar online är det viktigt att hitta en balans mellan säkerhet, effektivitet och integritet för medborgarna. Det är avgörande för att skydda dem. Den nuvarande situationen, där tillgång till e-legitimation i stor utsträckning bestäms av privata aktörer, skapar ojämlikhet och utesluter många, speciellt äldre och personer med funktionshinder. Därför stöder jag kraftigt det statsrådet har redogjort för här, alltså den statliga e-legitimationen.

En annan aspekt är integritetsrisken. Bank-id, som är centralt i vår digitala värld, ägs av bankerna, som kan bestämma vem som ska få bank-id och inte. Risken för dataintrång och för missbruk av den information som de tar del av när du loggar in och ut och gör allt annat är förstås överhängande.

Finansinspektionen har helt riktigt påpekat att den dominerande ställning som Bank-id har, liksom dess centrala roll i många av våra samhällsfunktioner, utgör en säkerhetsrisk. Detta understryker behovet av att vi tar ett större ansvar för säkerheten i våra digitala system, speciellt i ljuset av den hotbild som ändå finns mot Sverige och svenska medborgare.

Jag har inte tittat på alla 150 remissvar men på en hel del av dem. En del säger ingenting, och sedan finns det en del som tycker saker. Jag tycker därför att det är viktigt att regeringen och statsrådet tar detta på största allvar när man nu ska gå in i det här arbetet.

Jag ställde därför dessa frågor om hur vi skyddar oss mot attacker och om hur vi gör för att Bank-id inte ska vara den enda möjligheten att logga in på banken eller på Skatteverket, spelsajter eller vad det nu kan vara. Det är otroligt viktigt att vi har system som är robusta.

Fru talman! Jag tror att denna interpellationsdebatt möjligtvis blir något mer sansad, höll jag på att säga, än den förra. Jag gör ändå, efter att ha hört Begics inlägg, bedömningen att vi är väldigt överens. Jag instämmer helt i att e-legitimationer är otroligt viktiga, och att de är säkra är naturligtvis helt avgörande. Detta skapar väldigt bra förutsättningar att kunna utföra allt fler ärenden på internet på ett säkert och tillförlitligt sätt.

Det är också viktigt att de håller högsta tillitsnivå. Det gör legitimeringen på nätet säkrare. Vi vet att många använder kapning av e-legitimationer som ett sätt att bedra människor, inte minst äldre. Det är, tycker jag, otroligt hjärtskärande att ta del av alla de berättelser vi får höra.

Av denna anledning tillsatte vi den här utredningen väldigt tidigt, nästan på en gång efter att jag blivit civilminister. Jag tror att det var den första utredning jag tillsatte. Den skulle ta fram förslag om hur en statlig e-legitimation på högsta tillitsnivå skulle kunna se ut och utformas. Vi har fått ett delbetänkande med konkreta förslag, men vi inväntar fortfarande slutbetänkandet - jag tror att det ska komma den 31 maj.

Sverige är i dag ett av fyra länder i EU som saknar en e-legitimation på högsta tillitsnivå. De e-legitimationer vi har i dag, Bank-id, som är den dominerande, och Freja, där du inte behöver ha ett bankkonto för att få tillgång till tjänsten, uppfyller inte kraven för högsta tillitsnivå.

Regeringen gör också bedömningen att det är rimligt att det är en statlig myndighet som utfärdar en statlig e-legitimation, precis som det är en statlig myndighet som utfärdar pass och andra nationella identitetshandlingar, exempelvis körkort. De privata aktörer som finns på marknaden har dessutom inte visat intresse av att erbjuda en e-legitimation på högsta tillitsnivå. Jag tycker att det är viktigt att säga att Bank-id och Freja stöder förslaget om en statlig e-legitimation. Den ska alltså inte ses som en konkurrent till de privata alternativ som i dag fungerar väldigt väl utan som en komplettering och ett sätt att göra de privata alternativen ännu säkrare.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag tycker också att det är värt att nämna, som jag gjorde inledningsvis, att denna e-legitimation på högsta tillitsnivå också ska möjliggöra en introducering av den digitala identitetsplånboken inom EU, som ska göra att vi på ett lättare och smidigare sätt kan identifiera oss digitalt i hela unionen. Detta kommer att underlätta resande, boende, uppsökande av sjukvård och vad det nu kan vara i hela unionen.

Jag ska också lägga till att regeringen inte vilar på hanen. Vi avsatte 40 miljoner kronor till Digg, Myndigheten för digital förvaltning, som ska börja utforma och ta fram en sådan här e-legitimation. Vi inväntar alltså inte ens slutbetänkandet innan vi avsätter pengar, utan vi avsätter pengar redan 2024 för att förbereda ett framtagande av en statlig e-legitimation.

Regeringen jobbar alltså på hårt i denna fråga. Det är en prioriterad fråga för regeringen, och jag delar helt bedömningen att Sverige behöver en statlig e-legitimation på högsta tillitsnivå.

Fru talman! Jag vet inte hur den förra debatten gick, men jag har ingen anledning att vara vare sig arg eller fundersam kring vad som händer. För mig är det viktigt vad som nu händer i Sverige; därför ställde jag denna fråga.

Jag får mejl av medborgare där det står: Det är otroligt jobbigt för mig, för jag begick ett brott för nio år sedan och kan inte få bank-id eller göra de samhällstjänster som en god medborgare ska kunna göra. Därför är det viktigt för mig att fråga statsrådet var vi är någonstans i denna diskussion.

Jag ställde två frågor, och jag tycker att jag har fått svar av statsrådet - det tackar jag för. Den andra frågan handlar om tekniken och hur vi ska göra. De tekniska innovationerna går otroligt fort. Vi såg i går hur människor blir bedragna i Sverige; statsrådet kanske följde Uppdrag granskning. Det var skrämmande att se. Den tekniska utvecklingen springer ifrån oss ibland. Varken politiken eller samhället hinner faktiskt med. Därför måste vi vara väldigt innovativa.

Jag ställde därför frågan om vad regeringen gör för att den innovativa sektorn i Sverige, som är så pass bra, ska kunna fortsätta vara bäst i världen. Det finns förstås saker som är avgörande. Det handlar om lagstiftningen, och det handlar om hur regeringen hjälper till med de nya innovationscentrum som ska komma. Men det handlar också om hur viktigt det är att vi snabbt anpassar oss till de säkerhetsrisker vi är medvetna om. Vem trodde för bara några år sedan att det skulle se ut som det gör i världen i dag?

Vi är utsatta; det ser vi dagligen. Ibland när man ska logga in med bank-id får man veta att man inte kan det just då för att något har hänt, och oftast vet vi inte vad.

Jag har också, statsrådet, läst att varken Freja eller Bank-id har några invändningar. Problematiken är att det för att logga in på vilken bank som helst bara är Bank-id och inget annat som gäller. Vi måste fundera på om det är rimligt eller orimligt att det krävs en viss sorts tjänst från en privat ägare för att logga in på banken.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag hoppas att det inte är detta de är ute efter. Vi vet att det loggas. Även om de förmodligen har bra kontroll vet vi att det går att se varifrån människor loggat in, vilken apparat som har använts, om man befunnit sig i Sverige eller utomlands, hur det sett ut och så vidare. På det sättet går det att spåra var människor är.

Vad används dessa loggar till? Det kan jag inte svara på, för det är inget man uppger; det är förmodligen affärshemligheter. Det handlar förmodligen om saker för att kunna ge oss ytterligare tjänster som vi skulle kunna behöva. Jag skulle därför vara otroligt tacksam om jag hade ett statligt bank-id som jag kan logga in med på vilken bank jag vill, där man bara har rätt att se min identitetshandling och inte var jag är, hur det ser ut och så vidare. Jag hoppas att statsrådet förstår vad jag menar.

Sveriges framtid i den digitala eran beror på vår förmåga att anpassa oss, lära oss och också samarbeta med andra länder. De tekniska utmaningar vi kommer att ha borde vara högst prioriterade för Sverige - och jag är glad över att statsrådet svarar så. Vi har inget annat att säga än att vi måste skydda våra medborgare, inte bara mot yttre hot utan även mot id-hot, kan man säga.

Fru talman! Jag får nästan gå hem och fira med champagne ikväll! Jag tror att det är första gången en interpellant har sagt att han eller hon är tillfredsställd med det svar jag har gett på interpellationen. Jag tackar så mycket för det erkännandet.

En av flera anledningar till att vi nu inför en statlig e-legitimation är just tillgängligheten: att samtliga medborgare ska kunna få tillgång till en e-legitimation även om man exempelvis saknar bankkontonummer. Man ska inte vara beroende av i princip kanske ett eller två privata alternativ för att kunna få en e-legitimation, utan detta ska staten kunna erbjuda. Tillgänglighetsargumentet är alltså ett av många skäl att införa detta.

Bank-id har ändå fungerat väldigt väl. Det upphandlades under tidigt 2000-tal därför att man såg att banksektorn var mycket lämpad för att utfärda e-legitimationer. Detta har bidragit till Sveriges djupa och väldigt avancerade digitalisering och har gjort att 94 procent av svenska folket - en av de högsta andelarna i världen - använder internet varje vecka och utför många av sina tjänster digitalt. Bank-id har alltså varit otroligt viktigt för digital innovation och digital delaktighet i Sverige. Vi måste ändå ge dem att detta har tjänat Sverige väl.

Man kan alltid tycka att det är ett problem att det finns en dominerande aktör, men som sagt finns också Freja. Sedan kan man inte tvinga privata aktörer att starta e-legitimationer, utan jag tror att den dominerande ställning som Bank-id har beror på att det är en väl fungerande tjänst som har efterfrågats av svenska folket. Dessutom är det samtliga storbanker som driver och står bakom Bank-id. Nu kommer som sagt det statliga komplementet, som jag hoppas ska bli utbrett.

Denis Begic breddar debatten om cybersäkerhet generellt och hur vi ska skydda oss. Jag vill bara säga att cybersäkerhetsfrågorna ligger på civilförsvarsminister Carl-Oskar Bohlins bord och att bankernas e-legitimation ligger på finansmarknadsminister Niklas Wykmans bord. Jag vill bara få detta sagt. Jag kan ändå kommentera en del.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Det pågår en hel del arbete för att stärka Sveriges cybersäkerhet, men vi kommer att behöva göra mycket mer. En sak jag kan nämna är bildandet av ett cybercampus på KTH, Kungliga Tekniska högskolan, som kommer att vara ett viktigt bidrag till detta.

För två veckor sedan tog regeringen beslut om att ge PTS, Post- och telestyrelsen, utökade uppdrag för att stärka vårt försvar gentemot så kallade hybridattacker mot elektronisk kommunikation, med särskilt fokus på undervattenskablar.

Vi har inom EU förhandlat om cyberresiliensakten, som ska certifiera samtliga produkter som kan vara uppkopplade, vilket i dag är betydligt fler än vad vi tänker på i vår vardag. Detta är ett sätt att stärka cyberresiliensen.

Jag är övertygad om att vi med den utveckling som vi i dag ser inom AI, artificiell intelligens, kommer att kunna använda AI-teknik som ett sätt att upptäcka cyberhot. Detta är något som jag verkligen hoppas ska kunna ske, och jag tror också att det kommer att ske. Där jobbar regeringen med ett brett fält av områden för att stärka AI-utvecklingen. Inte minst AI-kommissionen är ett viktigt bidrag i detta arbete, men det kommer som sagt att behövas mer.

Begic nämnde de fasansfulla bedrägerier som sker inte minst mot många av landets äldre. Där har vi gett ytterligare uppdrag till Konsumentverket att återkomma med förslag om hur vi kan stärka skyddet ännu mer. Här spelar också Justitiedepartementets många åtgärder en stor roll.

Fru talman! Jag är glad att statsrådet kan fira med champagne i kväll. Det tänker inte jag göra, för det kommer säkert någon annan interpellationsdebatt där vi blir arga på varandra. Till dess säger jag att vi absolut är överens i denna fråga. Det känns otroligt bra att höra detta.

Jag vet att det är ungefär 8 ½ miljon svenskar som använder Bank-id, men problemet är att Bank-id alltid har varit dominerande. Det kom på plats först, och man ska definitivt ge dem en eloge för den digitalisering som Sverige har fått tack vare deras tjänst. Jag använder den själv när jag ska beställa en sådan PAP-mask som jag har för min sömnapné. Den beställs med hjälp av Bank-id, och sedan kommer den hem.

Det är alltså en fantastiskt bra tjänst som vi har fått, men det var många år sedan. Nu behövs ett språng mot något säkrare. Vi behöver ligga i framkant när det gäller hur vi säkrar våra medborgare, just därför att vi just nu har en hotbild, både mot Sverige som land, från andra aktörer, och mot våra medborgare. Då är det viktigt att vi som land funderar på hur vi ska göra.

Därför har jag en sista fråga till statsrådet, som han kanske inte kan eller vill svara på i detta läge: Kommer vi att behöva lagstifta så att statliga bank-id används även på den privata marknaden? Kommer man att bli tvungen att öppna för att det ska gå att logga in även med en statlig elegitimation?

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Fru talman! När det gäller den sista frågan kommer det inte att bli ett krav. Det beror helt på hur behoven ser ut. Det blir lite tekniskt, men Bank-id talar om att man ska börja med att identifiera sig med den statliga elegitimationen. Sedan, när man ska manövrera sig fram till fler tjänster, kan det räcka att identifiera sig med exempelvis Bank-id eller andra digitala identiteter som kan komma. Där snubblade jag lite på orden, men jag har inte intagit champagnen ännu, om någon undrade.

Något generellt krav kommer det inte att finnas, utan den statliga elegitimationen är ett sätt att nå upp till kravet att ha en e-legitimation på högsta tillitsnivå. Vi tycker att det är rimligt att statliga myndigheter, precis som de utfärdar analoga fysiska identiteter, också har ansvar för att utfärda en elektronisk identifikation. Detta kommer att göra våra digitala tjänster och identiteter säkrare. Det kommer att bli svårare att kapa digitala identiteter som är utfärdade av en myndighet.

Till syvende och sist blir det de olika företagen som själva bestämmer vilken säkerhet som ska krävas. Alla digitala tjänster behöver förmodligen inte den högsta tillitsnivån, medan andra digitala tjänster behöver höja tillitsnivån. Det beror helt på vilka typer av tjänster som ska utföras.

Interpellationsdebatten var härmed avslutad.