Sparebankforeningen
Finansnæringens Hovedorganisasjon
Saksbehandler: Stig Ulstein
Dir.linje: 22 93 99 66
Vår ref.: 20026584
Arkivnr.: 507.2
Deres ref.:
Dato: 20.08.2002
Den 21.11.2000 mottok Kredittilsynet en henvendelse fra Bankklagenemnda, hvor det ble bedt om en vurdering av Norges Banks uttalelse fra 1993 vedrørende sikkerheten i betalingskortsystemene og om denne fortsatt var gyldig. Uttalelsen lød som følger fra Norges Bank:
”På bakgrunn av den informasjonen vi har fått er det Norges Banks vurdering at det ikke vil være mulig å beregne (knekke) PIN-koden ved hjelp av opplysninger som ligger lagret i de norske bank- og postbankkort”
Bankenes Standardiseringskontor (BSK) ferdigstilte 17.03.1997 en rapport til Kredittilsynet om svakheter i kortsystemer generelt og vurdering i relasjon til bankenes samordnede kortsystemer.
Med bakgrunn i rapporten fra BSK, foretok Kredittilsynet en ny vurdering av Norges Banks uttalelse. Kredittilsynet svarte Bankklagenemnda i brev av 28.11.2000 slik:
”Kredittilsynet finner ikke at det er fremkommet nye forhold som trekker i tvil Norges Banks uttalelse fra 1993.”
Kredittilsynet mottok i brev fra Forbrukerrådet den 22.12.2000 en henvendelse hvor Forbrukerrådet bl.a. gir uttrykk for å være :
”---av den klare oppfatning at det må finnes måter å knekke PIN-koder på som ikke er offentlig kjent.”
Kredittilsynet innbød Forbrukerrådet og berørte organer til møte for å diskutere problemstillinger knyttet til sikkerhet i betalingskort. Møtet ble avholdt hos Kredittilsynet den 05.04.2001 med representanter fra Forbrukerrådet, Bankklagenemnda, Bankenes Standardiseringskontor, BBS og Kredittilsynet.
I etterkant av møtet ba Kredittilsynet BSK i brev av 23.04.2001 om en ajourføring av rapporten fra 1997.
Kredittilsynet har mottatt ajourført rapport og denne er gjennomgått av Kredittilsynet sammen med representanter fra BSK. Konklusjonen er at Kredittilsynet opprettholder sin vurdering av det ikke er fremkommet nye forhold som trekker i tvil Norges Banks uttalelse fra 1993”, når det gjelder muligheten til å gjenskape PIN-koden basert på den informasjon som ligger i magnetstripen. Hovedårsaken til dette er at PIN informasjonen ikke ligger lagret i magnetstripen.
Når det gjelder sannsynligheten for å treffe tilfeldig PIN-kode basert på fire siffer, hvor tre forsøk er tillatt i betalingssystemene før kortet blir inndratt, vurderes dette ikke som en trussel av betydning.
Derimot er det en klart økende tendens til at PIN-kode tilegnes på andre måter. De vanligste måtene er:
- titte over skulderen
- ta videoopptak av inntastingen av PIN-kode, samtidig som informasjonen på magnetstripen kopieres elektronisk
- Såkalt ”Lebanese walls”, dvs utstyr som påmonteres minibanken og skjuler betalingskortet for kunden når dette settes inn, samtidig som det tilbys hjelp til å løse problemet for å avlure PIN-koden. Deretter fjernes påmontert utstyr og betalingskortet kan så misbrukes.
Ved å ha tilgang til betalingskort eller elektronisk ha kopi av informasjonen fra magnetstripen av betalingskort, i kombinasjon med tilhørende PIN-kode, er mulighetene til misbruk av betalingskortet tilstede.
Kredittilsynet har i brev til BSK, oppfordret til å påvirke leverandørene, som leverer løsninger som benytter kort med PIN-koder, til å forbedre utforming av løsningene slik at sårbarheten i løsningene minskes. Kredittilsynet ber Sparebankforeningen og Finansnæringens Hovedorganisasjon, gjennom sin representasjon i BSK, følge opp dette arbeidet.
Kredittilsynet vil videre be Sparebankforeningen og Finansnæringens Hovedorganisasjon å ta opp med medlemmene behovet for å iverksette tiltak for å bedre sikkerhet i bruken av betalingskort.
Med hilsen
Bjørn Skogstad Aamo
Anne Merethe Bellamy
Likelydende brev er sendt til Finansnæringens Hovedorganisasjon.
Kopi: Norges Bank, Forbrukerrådet, Bankklagenemda, BBS og Bankenes Standardiseringskontor
