Jan 25 2009

Dags för krav på förändrad lagstiftning

Publicerad av under Integritet,Säkerhet

Kortbedrägeri och skimming av kort är inget nytt och Malmö regionen är sedan tidigare utsago av Polisen hårdare drabbad än övriga. Men frågan är om det inte är dags att åberopa förändring och hårdare krav kring hanteringen av kortdata och kortterminaler? Branschen i sig har sedan tidigare infört branschstandarden PCI-DSS (Payment Card Industry Data Security Standard) för att ställa högre krav kring hanteringen av terminaler och kortdata. Detta verkar inte vara tillräckligt med tanke på senaste tillslaget mot Plantagen Svågertorp, Malmö vilket Sydsvenskan, SvD och DN skriver om. Något som konsumenter bör vara tacksam över.

Polisen har denna gång valt att agera snabbt genom att gå ut och varna direkt via media till skillnad från tidigare incident med Toys R Us, Malmö, där det tog bortåt 10 dagar innan media skrev om detta. Om detta berodde på att tidningarna själva nosat upp incidenten eller om Polisen valde att gå ut med information är oklart.

Då som nu kvarstår problemet med att man som konsument själv måste agera och kontakta sin bank för att spärra kortet. Här bör svensk lagstiftning ändras så att det drabbade företaget eller kortutgivare har skyldighet att agera genom att kontakta och informera kunder om incidenter när kortinformation har kommit i felaktiga händer. Här kan vi titta på två lagar som instiftades 2003 i Kalifornien, California civil codes 1798.29 och 1798.82, där företag och myndigheter har en skyldighet att informera de drabbade vid dataintrång där personlig information har hamnat i felaktiga händer. Detta saknas idag i Svensk lagstiftning.

Då kortinformation är personlig data bör detta även likställas med identitetsstöld något som idag inte speglas i svensk lagstiftningen. Detta skulle troligen även resultera i högre straffskala.

Även butikerna bör se över sina rutiner som att till exempel låsa in kortterminalerna över natten samt dagliga kontroller av terminalerna. Detta hade troligen förhindrat incidenten hos Plantagen då terminalerna troligen vid ett tidigare inbrott nyårsafton har manipulerats och utan att något övrigt stals. Inbrotten skrevs av som skadegörelse utan att någon reflektion gjordes över att inbrotten i sig eventuellt var en avledande manöver för att manipulera terminalerna. Liknande omständigheter skrevs det om i början av 2008 kring ett bedrägeriförsök i mångmiljonklassen mot ett av Swedbanks bankkontor i Uppsala. Även här rapporterades det om inbrott utan att något saknades; brottet skrevs av som misslyckat inbrott. I Swedbanks fall upptäcktes utrustning för att fjärrstyra en dator i ett försök att utföra transaktioner av större belopp. I båda fallen får man utgå ifrån att det har funnits bristande rutiner kring uppföljningen av inbrotten.

I samband med att media skrev om skimmingutrustningen som upptäckts vid Toys R Us i Malmö gick ett pressat bolag ut med en press release där man informerade om att man ändrat sina rutiner för hantering av terminalerna direkt efter att den tidigare skimmingutrustningen upptäcktes tio dagar tidigare. Likväl kunde vi veckan efter läsa i tidningarna att identisk skimming utrustning hittas hos Toys R Us vid Kungens Kurva.

Kim Haverblad

Inga kommentarer ännu

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.