Debatt
Trenger teleoperatørene en KYC reidentifisering av sine kunder?
Kravene til entydig identifisering i den oppdaterte ekomloven kan føre til store endringer for teleoperatørene. Nå mener sikkerhetseksperter at det er på høy tid å reidentifisere mobilkundene for å hindre svindel og sikre riktig registrering av sluttbrukere.
For noen år tilbake måtte banker og finansinstitusjoner relegitimere sine kunder. Det ble et stort prosjekt for flere, med presiseringer fra Finanstilsynet basert i hvitvaskingsregelverket angående krav til gyldig legitimasjon, primært gjennom fysisk oppmøte.
Innføring av GDPR i juli 2018 gjorde at mange måtte gå gjennom kunderegistre for å sjekke om man hadde gyldig samtykke til f.eks. markedsføring, og kunder måtte enten gi nytt samtykke eller slettes fra kunderegistre og epostlister.
Lov om elektronisk kommunikasjon (ekomloven) ble oppdatert med virkning fra 1. januar 2025. Tilhørende forskrift ble publisert og 25 juni 2025 publiserte Nkom en veiledning om entydig verifisering.
Ikke-eksisterende navn
Jeg skal være frekk nok til å si at dette kom i etterkant av en rekke artikler hos Dagens Næringsliv (#mobilkapring) hvor jeg var sterkt delaktig, mitt arbeid & avsløring på Sikkerhetsfestivalen august 2019, hos digi.no (#mobilsvarkapring), samt forslag til oppdatert ekomlov fra daværende digitaliseringsminister Nikolai Astrup høsten 2019 for å forhindre nettopp #mobilkapring.
Et kjapt søk i nummeropplysningstjenester viser raskt at telefonnumre er registrert på personnavn som ikke eksisterer, Donald Duck og Mikke Mus er blant dem. Det er også en godt offentlig kjent "hemmelighet" at offentlig myndighet og andre bruker Vipps for å finne identiteten bak telefonnumre, da de fra start har brukt BankID for å legitimere eier, og som da knyttes mot telefonnummer.
Jeg mener at teleoperatørene bør gjennomføre en reidentifisering av sine kunder, herunder også registrering av sluttbruker, dersom dette er annen person enn juridisk eier/betaler. Dette er relevant i mange tilfeller, f.eks. hvor foreldre eier/betaler abonnement brukt av mindreårige.
Entydig identifisering
Lov om elektronisk kommunikasjon (ekomloven) ble sist oppdatert med virkning fra 1. januar 2025. Paragraf § 2.8 stiller krav om entydig identifisering av sluttbruker:
Tilbyder av offentlig nummerbasert person-til-person-kommunikasjonstjeneste skal ved inngåelse, endring eller opphør av avtalen sikre at sluttbrukeren er entydig identifisert. Tilbyder skal kunne dokumentere identitetskontrollen.
Dette er ytterligere forklart i Forskrift om elektroniske kommunikasjonsnett og elektroniske kommunikasjonstjenester (ekomforskriften) i § 1-7. Skriftlig fullmakt, 1-8. Entydig identifisering av fysiske personer og 1-9. Entydig identifisering når sluttbruker er et foretak mv., samt § 4-13. Hemmelig nummer.
Det er verdt å merke seg § 1-8 som tilrettelegger for både bruk av fysisk identitetsbevis og elektronisk identifikasjon på nivå "betydelig" eller "høyt". Det betyr bruk av ett av de 4 alternativene vi ser i ID-porten: MinID, Commfides, Buypass eller BankID. Det stilles altså ikke krav om fysisk oppmøte, slik det ble gjort for bank/finans basert på hvitvaskingsreglementet.
Reidentifisering er nødvendig
25 juni 2025 utga Nkom en veiledning om entydig identifisering. Veilederen gir ytterligere informasjon og svarer på en rekke spørsmål som teleoperatørene har stilt til Nkom.
I spørsmål/svar seksjonen side 9 finner vi problemstillingen knyttet til mindreåriges bruk av et telefonnummer mens foresatt er eier/betaler, altså kunden, av abonnementet. Her presiseres det at tilbydere har krav om å sperre for enkelte typer innhold iht aldersgrenser, og at dette tilsier at tilbydere bør føre en oversikt over faktiske brukere av abonnement. Dersom tilbyder har et register over faktiske brukere skal dette også registrere brukers alder iht forskriftens §1-10.
Jeg har pågående privat testing for å sjekke ulike operatørers rutiner for opprettelse, endring og avslutning av abonnement, samt rutiner for portering av nummer fra en operatør til en annen. Dette både i privat og firma sammenheng, samt privat<->bedrift, hvor abonnement endres og flyttes teknisk og juridisk.
Fra det jeg har sett så langt så mener jeg å ha hold for at en prosess for reidentifisering er nødvendig, og vil bidra til å øke tilliten til nummeropplysning og operatørenes eksisterende svindeltiltak.
