Tveksamma digitala underskrifter i offentlig sektor (in Swedish)
Att skriva under olika typer av dokument med sitt BankID är vardagsmat för svenskar. Det finns andra leverantörer av smarta kort, men BankID dominerar i Sverige. Det är ofta en stor fördel för alla parter att exempelvis kunna deklarera på nätet, helt utan papper. Vi har sedan många år en signaturlag som säger att digitala signaturer är juridiskt bindande om de använder tillräckligt bra teknik. BankID använder sådan teknik.
Så vad kan gå fel när både teknik och juridik är på plats? Låt oss titta närmare på Skatteverket och Försäkringskassan. Frågan är om underskrifter som görs där håller för en närmare granskning.
Skatteverket har sedan länge en välvillig serviceanda mot medborgarna. Skillnaden är enorm jämfört med “förr i tiden”, det vill säga några tiotal år bakåt. Myndighetens verksamhet har likheter med bankernas och för båda gäller att it är en hörnpelare. Liksom bankerna har Skatteverket tagit vara på teknikens möjligheter. För många medborgare är den årliga inkomstdeklarationen bokstavligen ordnad på en kafferast.
Något liknande gäller för Försäkringskassan, som kanske har haft en knaggligare väg att gå.
BankID, egentligen Finansiell ID-Teknik BID AB, är den ledande leverantören av e-legitimation i Sverige. Deras prognos är ca en miljard transaktioner med BankID under 2015, varav ca en tiondel mot myndigheter. De flesta av dessa är autentisering (inloggning). Säg att en tiondel är underskrifter. Det kan ändå röra sig om miljontals per år. Skatteverket och Försäkringskassan står för en stor del.
De följande beskrivningarna är verklighet omkring år 2015.
Momsdeklaration på Skatteverkets webb är något som företagare är väl bekanta med. Deklarationen på skärmen är en variant av pappersblanketten. Det är inte svårt att jämföra innehållet på skärmen med en pappersblankett, om man så skulle behöva.
Efter att ha fyllt i de siffror som behövs klickar vår fingerade företagare Rut Jansson på knappen Jag har granskat och vill skriva under. En ny skärmbild visas. Det står Jag skriver under hos följt av ett servernamn hos Skatteverket. Detta är en teknikalitet, man ska veta exakt vilken dator hos Skatteverket som tar hand om signaturen. Strax nedanför finns en ruta med ledtexten Text att skriva under. I rutan står följande:
Du undertecknar dina uppgifter som du tidigare granskat och valt att skriva under och skicka in till Skatteverket.
Rut Jansson klickar på knappen Jag skriver under. Hon får mata in sin PIN-kod och så är momsdeklarationen inlämnad och klar, snabbt och behändigt.
Rut Jansson tror självklart att hon har skrivit under en digital blankett, momsdeklarationen. Men det har hon inte. Det hon skrev under var inget annat än texten som visades i BankID-dialogen. Om vi översätter till den icke-digitala pappersvärlden har nu Skatteverket ett dokument som ser ut precis så här.
2015-08-10 10:11:12
Du undertecknar dina uppgifter som du tidigare granskat och valt att skriva under och skicka in till Skatteverket.
Rut Jansson
Vem talar i denna text och vem riktar den sig till? Underskriften är äkta, inte tu tal om det. Men formuleringen Du undertecknar… verkar rikta sig till läsaren, en tredje part. Eftersom Rut skrivit under skulle den normala tolkningen vara att det är hon som har ordet. Förvirrande.
Siffrorna från Ruts momsdeklaration finns självklart i Skatteverkets system. Även den mest välvilliga tolkning av det undertecknade dokumentet finner ingen koppling till dessa siffror. Jämför med en pappersblankett där underskriften rent fysiskt hänger ihop med siffrorna och inte kan skiljas från dem.
Frågan är om momsdeklarationen är undertecknad över huvud taget. Precis samma sak gäller många andra ärenden på Skatteverket.
Situationen hos Försäkringskassan påminner om Skatteverket. Antag att Rut får barn och digitalt signerar Begäran vid barns födelse/adoption. För att göra en lång historia kort resulterar det i ett dokument som ser ut så här:
2015-03-01 20:21:22
Signera din begäran!
Rut Jansson
Eftersom texten praktiskt taget saknar innehåll är dokumentet meningslöst, trots att underskriften är äkta. Vi ser åter en uppmaning som verkar rikta sig till tredje person, inte en förbindelse för den som undertecknat. Här finns inte heller så mycket som en antydan till samband med den ifyllda begäran.
Rut Jansson har alltså inte skrivit under något annat än exakt den enda mening som de två ovanstående dokumenten innehåller. Hur skulle sådana dokument kunna ha juridisk signifikans? Skattemyndigheten och Försäkringskassan har säkerligen flera miljoner av dem.
Jämför detta med åtskilliga banker. Texten man skriver under innehåller en sammanfattning av en eller flera transaktioner, exempelvis totalsumma och dessutom ett referensnummer. Med sinnesnärvaro går det att ta en skärmdump och att leta reda på transaktionen i efterhand. Transaktionen är klart och tydligt spårbar. Men det finns ytterligare ett aber…
Digitala signaturer har standardiserats internationellt. Utan sådan standardisering skulle tekniken vara ogenomförbar i praktiken. En signatur är en liten datamängd, säg en eller två textsidor lång, men inte lätt läsbar för en människa. Det krävs ett program för att tyda den. Eftersom formatet är standardiserat finns många sådana program.
Det är absolut inte så att en digital signatur är något “hokus pokus i molnet”. Det är en lika konkret och påtaglig företeelse som en Word-fil. Liksom en Word-fil kräver ett program för att en människa ska kunna läsa innehållet så kräver en digital signatur ett program på samma sätt.
Problemet är bara att signaturerna är oåtkomliga. Jag känner inte till någon aktör vare sig i privat eller offentlig sektor som lämnar ut signaturer. De betraktas som den aktörens ensak. Skulle man i pappersvärlden rycka till sig pappret som kunden just skrivit på och vägra att ge kunden en kopia? Så gör man bara inte.
Är det inte märkligt att stora myndigheter som Skatteverket och Försäkringskassan visar sina webbanvändare en sak och sedan låter dem skriva under något annat? Och att det verkar helt omöjligt att få del av sin egen underskrift? Jag har försökt hos Skatteverket, men får ingen reaktion över huvud taget, vilket inte alls är likt Skatteverket.
Jag ser allt detta som omognad. Digitala signaturer har fortfarande ett visst nyhetsvärde. Vi har inte lärt oss hantera den relativt nya tekniken. Det går fortfarande att sätta system i drift som avsiktligt döljer väsentliga delar av digital signering för användarna.
Om jag har fel är jag mottaglig för korrigering.
Det är dock inte slut här. Det får bli ytterligare ett inlägg.