Skip to main content

Vahva tunnistautuminen estää henkilötunnuksen väärinkäytön

Moni verkkopalvelun tarjoaja pelkää kaiken ylimääräisen kliksuttelun laskevan optimoituja konversioprosentteja (prosenttiosuus verkkosivuilla kävijöistä, joista tulee asiakkaita) ja on siitä syystä halunnut säilyttää kevyemmän tunnistuksen kirjautumisessa ja rekisteröitymisessä, sekä luottaa asiakkaan itse ilmoittamaan henkilötunnukseen.

Digi- ja väestötietovirasto tiedotti sunnuntaina, että ”Henkilötunnusta tulisi erilaisissa asiointipalveluissa käyttää ainoastaan asiakkaiden yksilöintiin. Sen sijaan henkilötunnusta ei tulisi käyttää asiakkaan tunnistamiseen. Asiakas tulisi aina tunnistaa käyntipisteasioinnissa poliisin myöntämästä henkilökortista tai passista sekä sähköisissä palveluissa vahvalla sähköisellä tunnistusvälineellä kuten pankkitunnuksilla, mobiilivarmenteella tai henkilökortin kansalaisvarmenteella.”

Signicatin Suomen maajohtaja Antti Harsunen korostaa, että ylipäätään henkilötunnuksen antamisessa kannattaa olla kriittinen. Turvallisin tapa henkilötunnuksen luovuttamiselle on verkkopankkitunnistuksen ja mobiilivarmenteen käyttö niin, että sanoma on salattu. Monivaiheinen tunnistus (MFA) eli tunnuksen, salasanan ja esimerkiksi tekstiviestinä tulevan kertakäyttösalasanan käyttö ei ole Suomen lain mukaan vahvaa tunnistusta, eikä estä henkilötunnuksen väärinkäytöksiä. Vahvan tunnistautumisen käyttäminen jatkuvaan kirjautumiseen on loppukäyttäjälle helppoa ja estää täysin salasanojen hakkeroinnin ja tilin kaappaamisen.

Valitettavasti jotkut palveluntarjoajat kuitenkin mahdollistavat asioinnin pelkkien asiakkaan itse ilmoittamien henkilötietojen pohjalta, mikä mahdollistaa väärien henkilötietojen käyttämisen, jatkaa Digi- ja väestötietovirasto. Väärinkäytösten estämisestä on myös välitöntä taloudellista hyötyä yrityksille. ”Esimerkiksi Norjassa Telia vähensi pelkällä vahvan tunnistautumisen käyttöönotolla asiakkaan rekisteröitymisessä väärinkäytön kustannuksia yli 400 000 eurolla yhdeksässä kuukaudessa”, toteaa Antti Harsunen.

Noin vuosi sitten Suomessa verkkopankkitunnistuksen ja mobiilivarmenteen käyttöönotosta tuli asiointipalveluille huomattavasti helpompaa, kun siirryttiin TUPAS-tunnistautumisesta uuteen luottamusverkosto-malliin. Erillisiä pankkisopimuksia ei enää tarvita, sillä palveluntarjoajat saavat käyttöön kaikki luottamusverkoston tunnistusvälineet yhdellä sopimuksella tunnistusvälityspalvelun kanssa. Säännelty hinta takaa myös tunnistuksen kustannustehokkuuden. Nopeimmillaan vahvan tunnistuksen saa verkkopalveluun käyttöön muutamassa päivässä.

Vahvan tunnistautumisen käyttöönotto ei heikennä asiakaskokemusta

Yleinen vasta-argumentti vahvan tunnistamisen jättämiselle pois on konversioprosenttien heikentyminen. Verkkopankkitunnistaminen on nykyään arkipäivää ja monet yritykset ovat ottaneet sen käyttöön, vaikka laki tai alan säännökset eivät sitä vaadi. Tämä on trendi myös jatkossa, sillä kasvavassa määrin uusia verkkopalveluita luodaan ilman heikon tunnistamisen mahdollisuutta usealla toimialalla.

Lainavertailun pioneeri Zmarta on edelläkävijä tällä saralla ja onkin suojannut palvelujaan sensitiivisen datan osalta vahvalla tunnistautumisella jo vuosia, vaikka laki ei sitä velvoita. "Haluamme palvella asiakkaitamme turvallisesti ja estää väärinkäytöksiä. Vahvan tunnistautumisen käyttöönotto ei ole laskenut konversioprosentteja." kertoo Zmarta Suomen Toimitusjohtaja Tuomas Riski.