Justis- og politidepartementet
Postboks 8005 Dep
0030 OSLO
Deres ref: 200700972 ES AIK/mk
Vår ref: 200700185 (FNH)
200700057 (Spafo)
Dato: Oslo, 25. mai 2007
Det vises til Justisdepartementets høringsbrev 23. februar 2007, der Datakrimutvalgets delutredning II – NOU 2007: 2 Lovtiltak mot datakriminalitet, sendes på høring. Finansnæringens Hovedorganisasjon og Sparebankforeningen avgir med dette felles høringsuttalelse
1. Hovedsynspunkter
- Vi kan i det alt vesentlige gi vår tilslutning til utredningen og utkastet til nye straffebestemmelser mot datakriminalitet.
- Vi ser på utkastet til straffebestemmelser som et egnet bidrag i kampen mot denne type kriminalitet i tillegg til de tiltak næringen selv allerede har iverksatt og vil fortsette å jobbe med i tiden fremover.
- Vi slutter oss til utvalgets vurdering om at også datakrimhandlinger av mer forberedende karakter representerer en slik form for krenkelse som er egnet til å begrunne kriminalisering.
- Vi ber departementet vurdere om virkeområdet til bestemmelsene om identitetstyveri og kontomisbruk bør utvides i forhold til utvalgets utkast.
2. Generelle merknader
2.1 Datakriminalitet er en reell trussel mot finansnæringen og dens brukere
Utredningen beskriver ulike former for datakriminalitet som også vil kunne utgjøre en trussel mot finansnæringen og dens brukere av bank- og forsikringsprodukter mv. Utkastet rammer ulike handlinger som for eksempel phishing, tekniske innretninger, programmer, kildekoder mv. som for eksempel exploits, trojanere, rootkit, scannere, sniffere og passordknekkere.
Utvalget har videre lagt frem et utkast til lovtekst som skal være egnet til å kriminalisere denne type virksomhet på et relativt sett tidlig og til dels forberedende stadium. I tillegg beskrives ulike trusler mot bankenes kort og betalingssystemer som for eksempel skimming, falske fronter på passordtastaturer, libanesisk slynge, venezuelansk skrutrekker og andre forberedende handlinger med sikte på senere misbruk av betalingskort mv. Endelig foreslås det at bruk av uriktig identitet og misbruk av konto gjøres straffbart.
Betalingskort- og nettbanksikkerhet er avgjørende, ikke bare for næringen og dens brukere, men for viktige samfunnsfunksjoner. Kriminell aktivitet som har til hensikt å true sikkerheten i disses systemene representerer således en alvorlig trussel. Nettbanken har på kort tid blitt den sentrale betalingskanalen i Norge. Nettbanken benyttes også til å utføre en rekke andre finansielle tjenester.
Godt over 2 millioner personer og en rekke bedrifter benytter seg av nettbanktjenester. Bankene er svært opptatt av ethvert tiltak som kan bidra til å styrke sikkerheten og den alminnelige tilliten til nettbankene. Næringen har selv iverksatt en rekke tiltak for å øke kundenes nettbanktrygghet og for å bedre nettbanksikkerheten. Kredittilsynet og Finansdepartementet følger dette arbeidet nøye.
Kredittilsynet utarbeider årlig risiko- og sårbarhetsanalyser der sikkerhet ved bruk av nettbank omtales særskilt. Det fokuseres her blant annet på at det er utviklet programmer (virus/trojanere) som har til hensikt å etablere seg i bankkundens pc for deretter å angripe kundens nettbank i forbindelse med pålogging. Når dette programmet, eller koden, først har fått tilgang til nettbanken risikerer kunden at penger overføres til feil konto og uten at kunden selv blir oppmerksom på dette.
Kredittilsynet beskriver det kriminelle miljøet som står bak slike koder slik: ”Den ondsinnede koden er av relativt avansert karakter, og det er grunn til å tro at det er aktører utenfor Norge som står bak slike angrep. At det skjedde angrep i flere banker omtrent på samme tidspunkt (i 2006), tyder på at dette er velregissert og at det er organiserte kriminelle miljøer som står bak.”
Etter de to foreningenes syn har samfunnet et sterkt behov for å beskytte seg mot denne typen trusler mot sentral infrastruktur. Handlingene som beskrevet ovenfor er ikke beskyttelsesverdige, og representerer en betydelig trussel mot tilliten til nettbasert kommunikasjon og betalingssystemer som er helt grunnleggende elementer i et moderne samfunn.
Som en illustrasjon på at truslene er reelle, kan det vises til at Estland, som er et at de samfunn i Europa som har kommet lengst i utviklingen mot et databasert samfunn, opplevde massive webangrep i april og mai i år som forstyrret epost-systemer og lammet bl.a. nettbanker. Angrepene toppet seg den 9. mai da nettsteder som tilhører den estiske regjering, banker, nyhetsorganer mv. ble bombardert med fire millioner datapakker hvert sekund i 24 timer. (Kilde: The Washington Post).
2.2 Vurdering av behovet for nykriminalisering
Nykriminalisering krever gode begrunnelser, bl.a. ut i fra en vurdering av trusselbildet, og må ses i sammenheng med andre mulige tiltak.
Dataangrep mot bank- og pengevesenet anses som en trussel mot en vital samfunnsfunksjon. Som illustrasjon kan det vises til at bank- og pengevesenet er omtalt som én av fire sektorer i samfunnet som er av slik grunnleggende betydning av de er viet et særskilt vern i straffelovens kapittel om allmennfarlige forbrytelser, § 147 bokstav a, ved siden av forbrytelser mot de tre statsmaktene. De tre andre grunnleggende samfunnsfunksjoner som her gis et spesielt strafferettslig vern er energiforsyning, forsyning av mat og vann, samt helseberedskap og smittevern. Justisdepartementet fant nylig grunn til å foreslå en strafferamme på 30 års fengsel for grove terroranslag mot ovenfor nevnte samfunnsstrukturer.
Foreningene understreker at de handlinger som nå foreslås kriminalisert representerer en krenkelse av enkeltindivider, selv om den økonomiske svindel med dette ikke er fullbyrdet, og selv om handlingene kan sies å være av mer forberedende karakter. Det vises til at fare for tap kan oppstå når svakheter i et datasystem er kartlagt, en adgangskode for eksempel blir avslørt eller når informasjon fra et betalingskort blir tappet. Det oppstår fare for tap som den enkelte blir nødt til å forsøke å verge seg mot i den grad vedkommende er klar over den nye trusselen, og det er vel tilstrekkelig ”skade” til å begrunne kriminalisering i disse tilfellene. Til dette kommer at vedkommende påføres til dels store ulemper i forbindelse med arbeidskrevende operasjoner for å beskytte seg ved å sperre kort mv. og opprette helt nye fasiliteter for betalingstransaksjoner.
Videre kan det oppleves som en krenkelse at opplysninger urettmessig kommer på avveie, uavhengig av om opplysningene anses som personopplysninger i henhold til personopplysningslovens bestemmelser eller ikke. Straks et betalingskort eller et kredittkort eller en nettbankside blir tappet for informasjon, vil innehaveren bli sårbar og oppleve seg krenket. I tillegg til at det oppstår fare for tap, blir vedkommende utsatt for usikkerhet og frykt ved ikke å vite hva andre kan finne på å gjøre med opplysningene og hvilke konsekvenser en mulig blottleggelse av slik informasjon vil kunne resultere i.
De to foreninger støtter også utvalgets resonnementer når det gjelder behovet for å ivareta politiets mulighet til å forfølge denne type atferd strafferettslig allerede på et tidlig stadium. FNH og Sparebankforeningen slutter seg til utvalgets vurdering om at veien fra forberedende handling til gjennomføring generelt sett er kortere når elektroniske virkemidler står til disposisjon. Dette må være en tilstrekkelig begrunnelse for kriminalisering selv om enkelte av de handlinger som foreslås kriminalisert ikke i seg selv representer et direkte tap for andre.
Det understrekes også at kriminalisering av slike innledende handlinger trolig har en viss symbolverdi og antagelig også vil kunne ha en viss allmennpreventiv effekt. I tillegg kommer at påtalemyndighetens bevistema kan bli noe enklere og derved bidra til en mer effektiv etterforskning og påtale som et resultat av at det ikke er nødvendig å bevise skyld/hensikt i forhold til en videre gjerningsbeskrivelse med gjennomført svindel og økonomisk tap som resultat. Kanskje kan forslaget til slike bestemmelser faktisk bidra til å forhindre nettsvindel med påfølgende økonomisk tap ettersom det nå åpnes for å gripe inn på et tidlig stadium og før svindelen fullbyrdes.
FNH og Sparebankforeningen vil på dette grunnlag slutte seg til utvalgets vurdering av at slike handlinger representerer en slik form for krenkelse som nødvendiggjør kriminalisering. FNH og Sparebankforeningen er på denne bakgrunn meget tilfredse med at Justisdepartementet i takt med teknologiutviklingen vil vurdere å kriminalisere denne type atferd.
2.3 Rettslig plassering og teknologinøytralitet
Foreningene har ikke sterke synspunkter verken når det gjelder den rettslig plasseringen, eller forslaget om å samle alle datakrimrelaterte bestemmelser i et eget kapittel. Argumentene for samling tas til etterretning. Det pekes likevel på at det som et utgangspunkt hadde vært å foretrekke å beholde ambisjonen om et mest mulig teknologinøytralt regelverk (jf. for eksempel e-regelprosjektet), og at det i den forbindelse kan synes noe unaturlig å forsøke å samle enkelte typiske datarelaterte straffebud i et eget kapittel. Det antas at det vil oppstå grensetilfeller der ulovlige handlinger kan gjennomføres så vel ved elektronisk kommunikasjon som på mer konvensjonelt vis.
Selv om det kanskje kan være gode grunner til å gi enkelte former for elektronisk kommunikasjon en egen strafferettslig status som en variant av særlig farlig redskap, bør en trolig være varsom med å forsøke å presse alle gjerningsbeskrivelser som kan utføres elektronisk inn i et eget kapittel i straffeloven. Det bør derfor vurderes om et slikt datakrimkapittel bør begrenses til å omfatte trusler mot datasystemer og ikke ha som ambisjon å omfatte alle handlinger som utføres ved hjelp av elektronisk kommunikasjon.
2.4 Rettsstridsreservasjonen
I forslag til gjerningsbeskrivelse i de aller fleste paragrafutkastene har man tatt med en såkalt rettsstridsreservasjon, jf vilkåret ”uberettiget”. Om noe er uberettiget må ofte avgjøres på grunnlag av normer utenfor strafferetten, for eksempel avtale, kutyme, retningslinjer og så videre. Som et eksempel på situasjoner der det har oppstått spørsmål om hvor grensen for det rettmessige går, kan det vises til ulike former for forskningsinnsats på datasikkerhet. I den grad slike forskningsmiljøer publiserer eller på annen måte bekjentgjør svakheter, antyder mulige sikkerhetshull og gir andre tips om nettbanksikkerhet mv for omverdenen, så vil det snarere undergrave enn styrke det sikkerhetsarbeid som kontinuerlig drives av bankene.
Vi har allerede opplevd at miljøer ved universitets- og høyskoler hevder å ha funnet måter å beregne pinkodene i bankkortene på og bekjentgjort dette som nyheter. Slik forskning har banknæringen selvsagt aldri gitt tillatelse til. Bekjentgjøringsmåten skaper videre unødig frykt blant nettbankbrukere, samtidig som det kan forlede andre til å gjøre forsøk på datakriminalitet.
Det er først og fremst behov for å hindre at resultatet av slik forskning bekjentgjøres i den grad den er egnet til å utløse slike uheldige virkninger. Spredning av slik kunnskap har en tendens til å gå raskt.
Vi mener videre det hadde vært en fordel om den form for ”forskning” som er beskrevet foran og som kan være direkte skadelig, anses som uberettiget med mindre rettighetshaveren til dataprogrammet/sikkerhetsløsningen har gitt sitt uttrykkelige samtykke. På denne bakgrunn bes departementet vurdere behovet for å presisere det nærmere innholdet av rettstridsreservasjonen i forhold til (1) slik forskning og (2) publisering av slike forskningsresultater.
3. Kommentarer til de enkelte bestemmelsene
Bankene er naturlig nok særlig opptatt av nettbanksikkerhet og sikring av betalingskort mot misbruk. I det følgende vil vi gi noen kommentarer som særlig er knyttet til disse forhold.
Til utkastet § 3 Ulovlig anbringelse av utstyr m.v:
Utplassering av utstyr og/eller programvare for elektronisk overvåking av minibanker med sikte på å tilegne seg data fra betalingskort og pin-koder rammes av utkastet § 3. Å inneha slikt utstyr eller å produsere slikt utstyr kan vi derimot ikke se rammes av bestemmelsen. Også disse siste handlingene mener vi klart bør være straffebelagt. Vi viser i denne sammenheng til våre kommentarer til § 11.
Ellers er de nærmest manuelle metodene fortsatt svært vanlig når det gjelder å få tilgang til noens bank- eller kortkonto. For eksempel ved å legge minimal manipulering av minibanken med tape (libanesisk slynge) slik at ikke kortet kommer ut igjen, får den kriminelle tilgang til kortet. Tilgang til koden kan vedkommende få ved å kikke over skulderen, ekstraordinær ”hjelpsomhet” eller ved pudder på tastaturet. Det står ikke i lovforslaget om det anbrakte ”utstyret” må være elektronisk utstyr. Vi antar ellers at det klart vil være en nedre grense for hva som kan anses som ”utstyr”; om tapebiten og pudderet kan karakterises som ”utstyr” er uklart. Vi mener imidlertid at også denne type manipulering av minibanken (et datasystem) bør være straffbar. Når den kriminelle som har skaffet seg ett eller flere kort med koder regner vi med at anskaffelsen/besittelsen av disse rammes av utkastet § 10.
Til utkastet § 4 Ulovlig tilgang til datasystem og § 5 Informasjonstyveri:
Utkastet vil blant annet kriminalisere allerede det å skaffe seg uberettiget tilgang (innsyn) i nettbank uten at det begås kontomisbruk. Vi støtter en kriminalisering av dette, ikke minst fordi det finnes miljøer som ser på det som ”sport” å knekke sikkerhetssystemer, men som ikke nødvendigvis har til hensikt å begå vinningskriminalitet.
Til utkastet § 11 Skadelige dataprogram og utstyr:
Det har vært dissens i Datakrimutvalget om utkastet § 11. Mindretallet mener at gjerningsbeskrivelsen rammer handlinger på et forberedende stadium og at slike handlinger normalt ikke krenker beskyttelsesverdige interesser. Vi støtter flertallet her og anbefaler at bestemmelsen vedtas som forslått. I våre kommentarer til utkastet § 3 foran antok vi at produsent eller innehaver av for eksempel skimmingutstyr ikke rammes av § 3 og at straffansvar etter denne bestemmelse først synes å inntre når skimmingutstyret faktisk blir plassert på minibanken. For å få et best mulig verktøy i kampen mot de organiserte kriminelle som driver kortfalskneri mener vi det er nødvendig at befatningen med skimminutstyret i seg selv skal kriminaliseres. Vi ser ingen aktverdig grunn til at noen skal reise Norge rundt med slikt skimmingutstyr i bagasjen.
Til utkastet § 13 Driftshindring:
Svært mange tilgangsløsninger er slik utformet at tilgang nektes etter et visst antall mislykkede påloggingsforsøk med galt passord. Vi er svært utsikre på om utkastet til § 13 om driftshindringer rammer den som bedriver den form for ”hærverk” at man ut fra et reelt brukernavn taster inn feil passord slik at rettmessig innehaver av brukernavn stenges ute fra tjenesten. Vi ser at det er mulig at en slik handling kan rammes av § 15 om identitetstyveri da skadeforvolderen ved bruk av en annens brukernavn utgir seg for å være en annen en den han er. Vi mener imidlertid det er viktig at også resultatet, nemlig den skadevoldende handling som er uberettiget å utestenge andre fra tilgang til et datasystem, blir formulert som en straffebelagt handling.
Til utkastet § 15 Identitetstyveri:
Utkastet legger opp til å ramme enhver uriktig bruk av identitet på nettet, uavhengig av om identiteten er fiktiv eller tilhører en annen. Det skilles ikke mellom identiteter til fysiske og juridiske personer. Dette innebærer at gjerninger som i dag verken rammes av straffelovens bestemmelser om dokumentfalsk eller bedrageri, kriminaliseres. Dette innebærer en nykriminalisering, for eksempel når det gjelder phishing.
Vi slutter oss i utgangspunktet til forsalget om å kriminalisere ID-tyverier. Vi ber likevel departementet vurdere kriminalisering i lys av det arbeid som for tiden gjøres internasjonalt på dette område. EU Kommisjonen utarbeider for tiden en rådgivende uttalelse (Communication) til Parlamentet og Rådet om datakriminalitet COM (2007), der det redegjøres for gjeldende avtaler og konvensjoner og foreslås nye tiltak på internasjonalt nivå. Det anbefales å iverksette et arbeid som skal analysere behovet for konkret EU lovgivning mot identitetstyveri. Kommisjonens foreløpige vurdering lyder slik:
”Targeted legislation against cyber crime should however also be considered now. A particular issue which may require legislation relates to a situation where cyber crime is committed in conjunction with identity theft. Generally, "identity theft" is understood as the use of personal identifying information, e.g. a credit card number, as an instrument to commit other crimes. In most Member States, a criminal would most likely be prosecuted for the fraud, or another potential crime, rather than for the identity theft; the former being considered a more serious crime. Identity theft as such is not criminalised across all Member States. It is often easier to prove the crime of identity theft than that of fraud, so that EU law enforcement cooperation would be better served were identity theft criminalised in all Member States. The Commission will in 2007 commence consultations to assess if legislation is appropriate.”
Vi tilrår at departementet følger denne utviklingen nøye og vurderer nødvendige tilpasninger i norske definisjoner og straffebud under veis. Vi vil uavhengig av dette arbeidet knytte noen foreløpige merknader til Datakrimutvalgets utkastet til bestemmelse.
Utkastet til § 15 om identitetstyveri og bruk av uriktig identitet rammer som nevnt bare handlinger utført ved hjelp av elektronisk kommunikasjon. Det vil si at utkastet til bestemmelse bare rammer deler av utvalgets egen beskrivelse av fenomenet i punkt 3.5.12. Utvalget viser til at et slikt straffebud antas å kunne fremme tilliten til nettbasert samhandling. Utover dette har vi vanskelig for å se at utvalget har begrunnet nærmere hvorfor identitetstyveri og misbruk av identitet bare bør være straffbart dersom det utføres ved hjelp av elektronisk kommunikasjon. Vi tillater oss å stille spørsmålstegn ved hensiktsmessigheten av et slikt skille. Sett hen til utvalgets mandat er avgrensningen kanskje ikke overraskende, men i forhold til utvalgets egen beskrivelse av ”Det faktiske landskapet” i kapittel 3, kan avgrensningen synes noe tilfeldig.
Identitetstyveri og annen misbruk av identitet er et alvorlig problem ikke bare for tilliten til nettbasert kommunikasjon, men også for kommunikasjon i sin alminnelighet, herunder for tilliten til legitimasjonsdokumenter generelt, etablering av kundeforhold, opprettelse av bankkonti, kredittkjøp osv., og som ikke nødvendigvis fullt ut er nettbasert. Fra et samfunnsperspektiv er det viktig å verne om tilliten til legitimasjonsdokumenter generelt og særlig i forhold til ulike typer kriminalitet som for eksempel hvitvasking, der det nå bl.a. stilles strenge krav til legitimasjonsdokumenter i forbindelse med etablering av kundeforhold og lignende for å motvirke misbruk av identitet.
Det vises for øvrig til motivene bak hvitvaskingsregelverket. Et offer for identitetstyveri opplever store belastninger selv om det ikke er benyttet elektronisk kommunikasjon. Vedkommende opplever en krenkelse, usikkerhet og frykt, og vil normalt få problemer med å få tilgang til bl.a. finansielle tjenester. Svekket troverdighet generelt og kredittverdighet spesielt, er noe vedkommende må regne med å leve med i lenger tid, og det er en omfattende prosess for å restituere og renvaske seg etter at identiteten er stjålet og misbrukt.
Erfaring viser at det kan ta flere måneder å rette opp igjen ens gode navn og rykte, med betydelig fare for økonomiske tap i mellomtiden. I denne perioden vil offeret ofte i praksis kunne oppleve å måtte ”bevise” sin uskyld etter å ha blitt utsatt for inkassotrusler og lignende. Dette er forhold som kan tilsi at departementet bør vurdere å utvide straffebudets anvendelsesområde i samsvar med utvalgets egen virkelighetsbeskrivelse og uavhengig av utvalgets mandat og planene om å plassere identitetstyveribestemmelsen i et eget kapittel om datakriminalitet.
Det vises i denne forbindelse til Justisministerens utspill om dette i mars i fjor.
Bankenes kunder utsettes stadig oftere for phishing-forsøk for å fralure brukernavn og passord til nettbanken eller kortnummer til betalingskortet. Dette rammes av utkastets bestemmelse om identitetstyveri der noen for eksempel i en epost eller på en nettside uberettiget utgir seg for å være en bank eller kortselskap. Eventuelt kan masseutsendelse av epost som henviser til en phishing-side også rammes av utkastet § 14 om masseutsendelse av elektroniske meldinger.
For så vidt er straffebestemmelsen mot identitetstyveri klar nok og strafferammen står i forhold til de øvrige lovbestemmelsene. Phishing – altså å lage arrangementer med sikte på å fralure andre deres brukernavn og/eller passord – er imidlertid en ”sentral” måte å skaffe seg tilgang til uberettigede goder gjennom datasystemet. Det bør derfor vurderes om metoden hadde ”fortjent” en straffebestemmelse som omtaler selve handlingen phishing (altså pinkodeinnhøsting) fremfor at dette kategoriseres som ”identitetstyveri”. Vi ber at man vurderer å ramme phishing spesielt for eksempel ved utvidelse av beskrivelsen i gjerningsbeskrivelsen i utkastet § 3.
Til utkastet § 16 Kontomisbruk:
Bestemmelsen om kontomisbruk retter seg typisk mot uberettiget belastning av en bankkonto gjennom nettbank eller ved bruk av betalingskort. Vi støtter at man får en slik bestemmelse ved siden av databedrageribestemmelsen (strl § 270 nr 2) som i dag rammer forholdet. Såkalte epenger, det vil si der kjøpekraften lagres i selve kortet eller i annet utstyr som brukeren selv er i besittelse av, faller dog utenfor utkastets definisjon av konto. Begrunnelsen er at det her er selve lagringsmediet for epengene (mest nærliggende; epengekortet) som stjeles og forholdet er tyveri av løsøregjenstand og rammes derved av den ordinære tyveribestemmelsen.
Det er imidlertid grunn til å tro at såkalte kontaktløse epengeløsninger etter hvert vil bli dominerende. Som det ligger i navnet, behøver ikke kontaktløse kort å puttes inn i betalingsterminalen, men kan holdes i en viss avstand fra disse. Det er i så fall mulig – i hvert fall teoretisk –at noen vil kunne utvikle og bruke utstyr som kan holdes i minimumsavstanden til det kontaktløse kortet og derved også stjele den elektronisk lagrede kjøpekraften. Dette vil i så fall ikke rammes av den tradisjonelle tyveribestemmelsen, og i så fall er definisjonen av konto i lovutkastet for snever. Vi er også selv noe tvilende til om en slik metode vil kunne være særlig innbringende for de kriminelle miljøene, og er derfor også usikre hvor mye ressurser man bør legge ned for å kriminalisere metoden. Eksempelet viser imidlertid at nye tider og nye teknikker også skaper nye muligheter for kriminelle anslag og vi ber derfor departementet i hvert fall vurdere om man bør utvide virkeområdet for bestemmelsen.
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Torjus Moe Gunnar Harstad