Kan BankID rekvireres i krig?

At BankID risikerer å miste høyeste sikkerhetsnivå er alvorlig nok. Den virkelige krisen er at Norges viktigste digitale identitet over tid har blitt samfunnskritisk infrastruktur kontrollert av private aktører.

Vi bruker den til nettbank, skatt, helse, offentlige tjenester, signering og autentisering på tvers av nesten hele det digitale Norge. For mange er BankID i praksis selve nøkkelen til samfunnsdeltakelse.

Likevel er det ikke staten som eier eller kontrollerer denne infrastrukturen.

Det burde vekke langt større debatt enn det gjør.

Den pågående BankID-saken hos Nkom handler formelt om krav til sikkerhetsnivå og identitetskontroll ved utsendelse av kodebrikker. Men under overflaten peker saken mot noe langt større: Norge har over tid outsourcet nasjonal digital identitet til en privat markedsaktør.

Det skjedde ikke gjennom én stor politisk beslutning. Det skjedde gradvis.

Bankene bygget tidlig en løsning som fungerte. Den var enkel å bruke, hadde høy tillit og ble raskt standard i markedet. Offentlig sektor valgte pragmatisk å koble seg på. Etter hvert ble BankID så dominerende at den nærmest ble uunnværlig.

Men det som fremstår som effektiv digitalisering, kan også være et strategisk feilgrep.

For identitet er ikke bare teknologi. Det er en vesentlig større del makt, kontroll og samfunnsinfrastruktur.

Det er vanskelig å se for seg at Norge ville akseptert at folkeregisteret, passystemet eller nødkommunikasjonen var eid og styrt av en privat kommersiell aktør. Likevel har vi i praksis akseptert nettopp dette for digital identitet.

Argumentet har ofte vært at staten allerede har alternativer gjennom MinID og ID-porten. Men det understreker egentlig bare paradokset: Offentlig sektor bygget egne løsninger, men lot samtidig en privat løsning bli den reelle nasjonale standarden. 

MinID nådde aldri sikkerhetsnivå 4 (Høyt), og ble tenkt som et godt alternativ på nivå 3 (Betydelig) til å logge inn hos Altinn eller NAV, så kunne BankID brukes hos helsenorge. Full forståelse for at det der og da virket som en elegant løsning. Bankene hadde fra før tung kompetanse på KYC, AML og svindel.

Resultatet er at staten i stor grad har gjort seg avhengig av en aktør den ikke fullt ut kontrollerer.

I en tid der digital suverenitet diskuteres rundt skytjenester, AI, datasentre og utenlandske plattformer, fremstår dette stadig mer underlig. Norge diskuterer eierskap til fiberkabler og datasentre, samtidig som den digitale identiteten til millioner av innbyggere i praksis forvaltes utenfor offentlig eierskap.

Det betyr ikke at BankID har gjort en dårlig jobb. Tvert imot er løsningen blitt en suksess nettopp fordi den har fungert svært godt.

Når en løsning blir så sentral at hele samfunnet stopper uten den, er det legitimt å spørre om eierskapet fortsatt er riktig organisert.

Det handler ikke om å nasjonalisere banker eller avvikle BankID.

Det handler om hvor Norge mener den strategiske kontrollen over digital identitet bør ligge. Akkurat nå ligger den ikke hos staten. Kanskje burde den det.