Thursday, August 19, 2010

Kredittkort og hotellrom

Bildet er hentet fra denne siden, og er (C) J.R.Mora
Det er merkelig hva man av og til kommer over på Internett.

Bankklagenemndas uttalelse 2010-062 for eksempel. Jeg vil anbefale alle å lese denne - den angår deg også i aller høyeste grad.

Saken ligger som eksempelsak fra hovedsiden til Finansklagenemda, en av fire nemnder som tilsammen dekker Skade, Eierskifte, Person og Bank.

Les gjerne hele teksten i uttalelsen deres før du leser videre i dette blogginnlegget.

Kortet ble altså stjålet fra en lommebok som lå på et hotellrom i København, og misbrukt gjennom minibankuttak og varekjøp. Koden var nedskrevet på en lapp i en mappe, som lå i en koffert på den andre siden av sengen. Nemnda uttale at selv om lappen med koden lå blant mange papirer på et annet sted på hotellrommet enn der kortholder hadde lagt fra seg lommeboken, måtte han sies å ha muliggjort misbruket ved grov uaktsomhet. Kortholder kunne derfor holdes ansvarlig for Kr 8.000,-, jf fil § 35 (2), bokstav a.


Jeg er ingen jurist. Jeg stiller bare med 2 vekttall i sikkerhetslovgivning, så jeg vet at Norges lover vanligvis kommer i rød utgave. Allikevel er det flere ting som skurrer her når jeg leser hele teksten fra Bankklagenemnda, samt paragrafene som det henvises til (§ 35 henviser også tilbake til § 34 pkt 1, som er viktig her).

§ 34 (1) sier blant annet (mine uthevinger) "...skal bruke det i samsvar med vilkårene for utstedelse og bruk, og skal herunder ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet så snart instrumentet er mottatt". For ordens skyld; "instrumentet" her er kredittkortet som er mottatt (Juridisk tekst er alltid festlig å lese).

1. Rimelige forholdsregler
Nuhvel. Avtalevilkårene kan jo muligens variere fra ulike kortutstedere, normalt banker og diverse finansselskaper. Det har jeg aldri funnet på å sjekke for å se etter ulikheter. Rimelige forholdsregler er vel i aller høyeste grad en subjektiv oppfatning som bør - MÅ - endres over tid etterhvert som både sikkerheten og angrepsmetodene mot slike løsninger forbedres. "Alle" vet at man skal bruke chipen på kortet sitt for å få bedre sikkerhet - hvorfor kommer alle kort fortsatt standard med magnetstripe da? Er det å gi kunden god sikkerhet fra starten av? (Jada, jeg tror jeg vet utmerket godt hvilket svar jeg vil få fra bankene på dette..)

I denne saken var angivelig PIN-kode oppbevart skriftlig i samme rom som kortet, og kortet skal ha blitt stjålet fra hotellrommet sammen med PIN koden. Det er ikke angitt i saken hvilket hotell det var snakk om, ei heller hvilke sikkerhetstiltak hotellet hadde i sin helhet eller for rommet spesifikt.

Jeg antar at avtalevilkårene sier at man ikke under noen omstendigheter skal skrive ned PIN koden på noen måte. Kortutsteder (banken) gjør jo det, ved at de sender deg en konvolutt som enhver person med fungerende syn og hender klarer å identifisere som en konvolutt med interessant informasjon. Den sendes med vanlig post, og så må du lære koden utenat og destruere den forsvarlig. Brenn arket, eller kjør det gjennom en makuleringsmaskin som holder sikkerhetsnivå 3 eller høyere (min anbefaling). Ja, for alle har vel en slik hjemme, også medlemmene av bankklagenemnda?

Jeg har mine PIN koder skrevet ned. Alle sammen faktisk. For en hel haug med ulike kort. Jeg klarer ikke å huske dem alle sammen - det er for mange. Ikke får jeg velge min egen PIN kode heller - noe jeg ser både positive og negative sider med forøvrig. Jeg har dem skrevet ned elektronisk i en AES kryptert database, med et passord som jeg husker (ikke skrevet ned). Det skal pr i dag ikke være mulig med noe utstyr tilgjengelig å knekke det passordet. Spørsmålet mitt blir da om jeg har vært grov uaktsom, ref generelle avtalevilkårs åpenbart ufravikelige krav om at man ikke har lov til å skrive ned PIN kodene?

Min bedre halvdel kjenner også til en eller flere av mine PIN koder. Er det også brudd på rimelige forholdsregler, eventuelt avtalevilkår? Koden skal jo som kjent ikke deles med noen andre. Eller finnes det en hemmelig grense for hvor langt ut man kan gi fra seg PIN koden sin? Barn? Foreldre? Elskerinne? Eller foreligger det krav til separat økonomi i ekteskapet ved bruk av kort? ;-)

2. Hotellsikkerhet
I bankklagenemndas begrunnelse skriver de "..og oppbevart på et hotellrom som må anses å være et mindre trygt oppbevaringsted enn et privat hjem." Javel? Er det synsing fra nemndas medlemmer, eller foreligger det noen tilgjengelig statistikk som sier at det stjeles flere kredittkort fra hotellrom enn fra private hjem? De mener jo det ville vært mer fornuftig å ta med kortet da vedkommende skulle til middag. Jeg blir litt usikker her - skal jeg alltid ta med meg alle kortene mine selv om jeg ikke skal bruke dem, eller skal jeg la dem ligge hjemme? Det høres ut som om det er smartere å ta kortene med ut på byen enn å la dem ligge hjemme?

Joda, jeg vet at en god del hoteller har safe på rommet. Drar du sydover så har de til og med en mindre forsikring av innholdet i safen mot betaling, mens her hjemme er bruken gratis. Da som oftest uten noen garanti eller ansvar dersom noe blir stjålet derfra. vil du ha en slik garanti som gir deg økonomisk dekning ved tyveri osv, så henvises du gjerne til resepsjonens safe. Det er vel litt mindre mulighet for at hotellets ansatte kan begå tyveri der istedenfor på hotellrommet. Saken nevner ingenting om hvorvidt videoovervåkning fra hotell eller fra minibanker/butikker har dokumentert hvem som fikk tak i koden, ei heller om det var ansatte som direkte eller indirekte har bidratt til, eller utført selve tyveriet samt misbruket. Det fremkommer heller ikke i saken hvorvidt det aktuelle hotellet hadde tilbud om safe på rom eller i resepsjon.

Hotell generelt, ihvertfall over minimumsstandard, har døgnåpen resepsjon. De har kameraovervåkning på hele eller deler av sitt uteområde, alle innganger, ofte i heis, trappeoppganger og korridorer. De har gode nøkkelsystemer, eller bruker også magnetstripekort (!) med tidsbegrensning satt ift ditt avtalte opphold. Jeg håper at de ihvertfall gjør en viss form for bakgrunnssjekk før de ansetter folk hos seg. Det blir stadig mer vanlig at adgang til de ulike etasjer via heis krever at man setter inn sitt dørkort, og får dermed tilgang til et begrenset sett etasjer ift hva man har bestilt på hotellet.

Noen som med hånden på hjertet vil si at de kjører FG godkjente låser for tilgang til rommene i eget hjem, dører, vinduer, og så videre? Døgnåpen betjening i entreen kanskje? Jeg ville personlig ikke akseptert en slik begrunnelse fra bankklagenemnda uten skriftlig dokumentasjon på deres påstander.

3. Grov uaktsomhet
"Stol aldri på Wikipedia" sier mange. Uansett, jeg linker til den norske forklaringen på begrepet uaktsomhet. Les den. Det er en skjønnsvurdering å skille mellom aktsom, uaktsom og grov uaktsomhet, og kan ofte være vanskelig å trekke.

Bankklagenemnda har enstemmig valgt å anse korteierens valg som grovt uaktsomme. De angir ikke at det er et konkret brudd på avtalevilkår som jeg antar eksisterer (aldri skriv ned koden din), de skriver selv "..for eksemple ved å kamuflere koden" (som vel i praksis er å skrive den ned på en måte), og ikke minst; de mener at vedkommende burde tatt med seg kortet ut for å spise, selv om han ikke skulle bruke kortet.


Jeg er uenig i deres avgjørelse. Jeg mener at de har svake påstander som ikke er dokumentert, og bærer preg av mer synsing enn generell sikkerhetskompetanse. Hva mener du?
(Kommentarer mottas med stor takk)

--
Til sist: det finnes mange spinnville saker hvor det er liten tvil om at bruker har utvist uaktsomhet, eller til og med grov uaktsomhet. Med denne spesifikke saken lurer jeg dog på om nemnda har noe feil sammensetning - hvordan er faktisk kompetansen deres på ANGREP mot ulike sikkerhetsløsninger?

2 comments:

  1. Litt på siden av temaet: Flere og flere banker går nå over fra å sende PIN per post til å utlevere PIN i nettbanken. Her kan man definitivt finne positive og negative sider ved begge metoder, men i nettbanken kreves det i det minste autentisering før man kan "åpne konvolutten".

    Men tilbake til saken, uten at jeg skal vurdere hvorvidt dommen er riktig eller feil. Jeg vet at slike saker er vanskelige, og ofte (dessverre) kan ende opp med en vurdering av hvor stor tillit man har til kundens forklaring!

    Ang. oppbevaring av PIN. Det er opp til banken selv å "forklare" finansavtaleloven gjennom kortavtalen med kunden. Dette kan gjøres på mer og mindre dårlige måter. Jeg syns kortavtalen tilknyttet mitt hovedkort er ganske klar ang. nedskriving (og deling) av PIN: "Kontohaver skal ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene (for eksempel pin-kode) knyttet til betalingskortet så snart kortet er mottatt. Den personlige koden er strengt personlig og må ikke under noen omstendigheter røpes for andre, heller ikke overfor politiet eller banken. Kontohaver må ikke bruke koden under slike forhold at andre kan se den. Koden skal huskes. Dersom koden likevel skrives ned, skal det gjøres på en slik måte at andre enn kontohaveren ikke kan forstå hva sifrene gjelder. Slikt notat må ikke oppbevares nært til kortet. Kamuflasje av koden i såkalte 'pinkodehuskere', som telefonnummer, fødselsdato eller lignende er ikke forsvarlig."

    Et tall bestående av fire siffer, notert for seg selv på et ark, er faktisk ikke så vanskelig å gjenkjenne som en PIN.

    Og ja, det er brudd på kortavtalen å dele PIN med sin bedre og/eller verre halvdel! :)

    ReplyDelete
  2. Min bloggpost er jo uenig i det du skriver Randi; jeg synes IKKE det er klart hva som menes med "rimelige forholdsregler", da det er en klar subjektiv oppfatning som endres over tid!

    Koden skal ikke skrives ned, men likevel kan den skrives ned, dog på en måte som er ubegripelig. (Dette er igjen en skjønnsmessig vurdering). Hvor langt vekke fra kortet koden kan oppbevares vil vel også bli en subjektiv oppfatning - hva om man bor i ett-roms med 35kvm? Kan naboen passe på enten kort eller PIN kode nedskrevet i SHA-512 format?

    Sist men ikke minst; dersom det er brudd på avtale å dele PIN med sin bedre/verre halvdel, så er det vel rimelig meningsløst for bra mange par her i landet å klage i slike saker?

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.