Hægt að misnota rafræn skilríki með „einbeittum brotavilja“

Áfrýjunarnefnd neytendamála hefur úrskurðað að Neytendastofu beri að kanna á ný ábendingu um alvarlegan öryggisgalla í rafrænni skilríkjalausn Auðkennis ehf.

Tölvunarfræðingurinn Friðjón Guðjohnsen kvartaði til Neytendastofu yfir því að mögulegt er fyrir óviðkomandi aðila að misnota rafræn skilríki frá Auðkenni ehf. í síma hans. Til þess þurfti viðkomandi að komast í síma notandans og koma þar fyrir njósnahugbúnaði sem hver sem er getur orðið sér úti um.

Í samtali við Vísi segir Friðjón að það sé nánast á allra færi að koma búnaðinum fyrir. Hann sé hannaður fyrir foreldra sem vilja fylgjast með símanotkun barnanna sinna og sendir hann allt það sem fram fer í símanum til þess sem kemur honum fyrir – þar með talið allt sem slegið er á lyklaborð símans, svo sem lykilorð og PIN.

Friðjón segist enn fremur hafa bent á að skilríkjalausn Auðkennis ehf. uppfylli ekki skilyrði laga um fullgildar rafrænar undirskriftir. Þannig hafi hann bent Neytendastofu á, lið fyrir lið, hvernig slík misnotkun væri möguleg.

Neytendastofa svaraði erindi Friðjóns á þann veg að stofnunin sæi ekki ástæðu til að grípa til aðgerða í málinu. Þetta rökstuddi stofnunin  meðal annars með því að til að misnota skilríkin þyrfti „einbeittan brotavilja" af hálfu slíks óviðkomandi aðila. Jafnframt taldi stofnunin að undir öllum kringumstæðum bæru notendur sjálfir ábyrgð á að vernda þau tæki sem notuð eru með rafrænum skilríkjum.

Málinu var vísað til Áfrýjunarnefndar neytendamála sem úrskurðaði nýlega að málsmeðferð Neytendastofu hafi verið áfátt. Nefndin felldi úr gildi þá ákvörðun stofnunarinnar að hafast ekkert frekar að í málinu. Er stofnuninni því gert að taka málið til meðferðar að nýju og kanna hvort umræddur öryggisgalli kalli á aðgerðir af hálfu stofnunarinnar.

Þótt úrskurðarnefndin hafi ekki tekið efnislega afstöðu í málinu sá hún ástæðu til að gera athugasemd við ákveðna afstöðu stofnunarinnar. Stofnunin hélt því fram að erindið hafi ekki lotið að „kerfi, búnaði eða starfsskipulagi" Auðkennis ehf. og varðaði í reynd „meðferð almennings á eigin símtækjum". 

Nefndin telur hins vegar að erindið „varðar sýnilega hvort sá undirskriftarbúnaður sem Auðkenni ehf. bjóði upp á fullnægi kröfum 1. mgr. 8. gr. laga nr. 28/2001 en Neytendastofu er falið að hafa eftirlit með starfssemi fyrirtækisins þar að lútandi“.