I september 2012 riktade Datainspektionen kritik mot tre bankers mobilappar. Kritiken rörde framför allt hur bankerna säkerställde användarens identitet. Datainspektionen ansåg att metoden som användes (personnummer och pinkod) inte gav tillräcklig säkerhet.

– Via bankernas appar går det att se lån men också betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, sade myndighetens IT-säkerhetsspecialist Adolf Slama i samband med den granskningen.

Bankerna har nu haft möjlighet att redovisa hur de avser att åtgärda bristerna och införa så kallad stark autentisering av användarna, vilket ger högre säkerhet.

En av de granskade bankerna har valt en inloggningsmetod som bygger på hur snabbt och hårt användaren matar in sin pin-kod vid inloggningen. Användarens beteende ska alltså ligga till grund för att säkerställa att det är rätt person som loggar in.

– Målet med så kallad stark autentisering är att man, i det här fallet banken, ska vara säker på att det verkligen är rätt person som loggar in. Men med den här metoden är osäkerheten fortfarande för stor, säger Adolf Slama.

Datainspektionen förelägger därför banken att ta fram en ny säkerhetslösning som bygger på någon beprövad metod som exempelvis engångslösenord.

De två andra bankerna har valt en lösning som kräver att bankkunden knyter bankens app till en specifik smartphone. Det, i kombination med en pinkod, medför en avsevärt högre säkerhet vilket gör att Datainspektionen godkänner dessa bankers planerade åtgärder.