Marknaden för e-legitimationer i Sverige domineras fullständigt av Bank-id från Finansiell ID-Teknik, som i sin tur ägs av ett antal av de stora svenska bankerna. Detta privata de facto-monopol tycks bland annat medfört att Bank-id saknat incitament att utveckla produkten med fler funktioner. Inte minst blir detta tydligt när vi får tillfälle att testa en av de konkurrenter som trots allt finns.

Bank-id fyller en enda funktion – den identifierar dig, det vill säga den kopplar en unik digital identitet till en fysiskt person, vilket sedan kan användas för autentisering mot de tjänster som valt att implementera autentisering med Bank-id. Det är den aktuella banken som garanterar kopplingen mellan den digitala identiteten och den fysiska personen, det vill säga det är banken som vet att du är du.

freja e-id
Startskärmen i Freja-appen med eid-objektet högst upp.

Och där någonstans tar det roliga slut. Den senaste ”feature” Bank-id infört är qr-koden som infördes efter en tid med eskalerande problem med bedrägerier kopplade till autentisering. Det är dock långt ifrån alla banker, ens bland de stora, som implementerat qr-koden.

Hur hade Bank-id kunnat se ut om utvecklarna varit tvungna att hålla jämna steg med konkurrenter, om de varit tvungna att presentera nya tekniska lösningar och funktioner för att behålla sin attraktion på marknaden? Ett svar på den frågan kan man få om man testar en konkurrent. Vi har tittat Freja e-id+ från svenska Verisec.

freja e-id
Inloggningsskärmen när vi loggar in till Pensionsmyndigheten. Observera att Freja talar om för användaren vilka data som delas med tjänsten.

Plusset i e-id+ indikerar att e-legitimationen har den högsta tillitsnivån på en skala ett till tre. Det finns en fjärde nivå i Sverige, men EU har med Eidas-förordningen bestämt sig för tre nivåer. Freja är också godkänt för identifiering inom hela EU på nivå tre. Det kräver ett fysiskt besök hos ett ATG-ombud innan tillitsnivån börjar gälla. Innan dess ligger tillitsnivån på ”två och en halv”, vilket är fullt tillräckligt för att ge en legal identifiering hos de flesta normala tjänster, inom e-handel till exempel. Dock inte hos banker och de flesta myndigheter. Att kunna välja tillitsnivå är en funktion i sig; alla tjänster behöver ju inte den högsta nivån.

Freja e-id laddas ned till din mobil från Apples eller Googles app-butik. För att sedan aktivera sin digitala identitet går användaren igenom ett antal mått och steg som bland annat involverar att fotografera en godkänd fysiskt legitimation, till exempel körkort, sitt eget ansikte samt att ange en e-postadress. En verifieringslänk skickas sedan per mejl och det hela är därefter klart för användarens del. Det hela går smidigt givet omständigheterna.

freja e-id
Ett eid kan delas över alla de kanaler mobilens operativsystem tillåter.

Det som sedan återstår är att Verisec måste verifiera legitimationens giltigheten och säkerställa identiteten hos användaren, det senare sker genom att jämföra bilden på legitimationen med bilden av användaren. I vårt fall, med ett SIS-leg, tog det några sekunder. Med körkort kan det ta längre tid eftersom Trafikverket fortfarande har manuella processer för att verifiera att ett körkort är giltigt. Freja använder inte ansiktsigenkänning idag, men enligt Verisec ligger det i utvecklingsplanen.

När detta är gjort måste användaren vända sig till ett ATG-ombud för att aktivera plusnivån. Hos ombudet ska butikspersonalen läsa av en qr-kod som genereras i appen, och kontrollera den fysiska legitimationen. Vi testade hos ett ATG-ombud i Norrtälje, vilket fungerade bra efter lite förklarande och efter att den första personalen fick fråga chefen om hjälp.

freja e-id
Här har vi testat att dela eid:t per sms.

Det är på sin plats att notera att för att skaffa Bank-id, för någon som inte har ett e-legg alls krävs det ett fysiskt besök hos banken eller en liknande procedur som med Freja. De som inte har en bank, vilket förvisso är få, eller som av olika anledningar inte är betrodda av banker, kan få problem att skaffa ett Bank-id.

freja e-id
Detta är vad mottagaren får fram efter att avsändaren delat sitt eid.

Detta är ett reellt problem, som blir allt större ju mer samhället digitaliseras, för fler människor än vad de flesta antagligen tror. Det är inte ”bara” att skaffa Bank-id heller; det är inte en rättighet för alla. Ur den synvinkeln är det enklare att skaffa Freja e-id+. Det som behövs är en smart mobil, en giltigt fysisk legitimation, ett e-postkonto och ett ATG-ombud. Om man är bankdirektör eller bankrånare spelar ingen roll.

När användaren väl kan börja leka runt i appen upptäcks den ena funktionen efter den andra, funktioner som helt enkelt inte existerar i Bank-id. Upplevelsen är på sätt och vis ganska omtumlande eftersom man inser hur en e-legitimation kan vara. Ta bara en sådan enkel sak som att kunna gå in på Mina sidor och se all transaktionshistorik. Alla inloggningar, alla identifieringar och varenda annan typ av transaktion som genomförts, eller nekats, finns i en prydlig lista i tidsordning. Tyvärr finns denna funktion endast över webben, och inte direkt i appen, vilket vore mer naturligt.

freja e-id
Försök inte att ta en skärmdump i känsliga lägen, då stoppas till exempel den inloggning som pågår och ingen skärmdump tas.

Den andra, återigen ganska självklara funktionen, är att kunna slå av eller på vilka tjänster användaren vill att e-legitimationen ska kunna användas tillsammans med. Alla tillgängliga tjänster finns i en lista och det är bara att slå av eller på en tjänst med ett dragreglage. Vi hade gärna sett att det dels gick att söka i listan, som börjar bli ganska lång, dels att inte de allra flesta tjänster är påslagna i grundläget. I vår mening borde tjänsterna vara inaktiverade i grundläget, och aktiveras explicit av användaren.

freja e-id
Är det så här vi kommer visa leg i framtiden? Om man öppnar sitt tid för att visa det på skärmen ser det ut så här.

En tredje funktion är så smart och enkel att den till en början nästan är svårt att förstå. Att visa leg. När du behöver bevisa din ålder eller av andra anledningar legitimera dig, öppnar du din Freja app, öppnar e-id-objektet på startskärmen, gör fingeravtryck och visar ditt legg. Skärmen visar då en bild på dig, ditt namn och ålder, och en qr-kod för verifiering.

Att visa legg görs ju inte bara i den analoga världen, det görs förstås även digitalt. I vart fall borde det vara så ibland. Alltså har Verisec byggt in en finess i Freja som gör att man kan visa legg via alla de kanaler och kommunikationsmedel som operativsystemet i mobilen tillåter.

freja e-id
Transaktionshitoriken visar alla transaktioner, även till exempel nekade inloggningar.

Man kan twittra sitt e-id, till exempel. Eller bifoga det i ett mejl, eller skicka som sms, eller med Airdrop mellan två Apple-enheter. För att bevisa att det verkligen är du som står bakom en Facebookpost, behöver du bara bifoga ditt legg. När mottagaren klickar på det bifogade e-id-objektet, eller läser av qr-koden, länkas den till en sida som verifierar äktheten.

Dessa delade e-legg är giltiga i två minuter, därefter visar länken bara att e-legitimationen löpt ut, allt för att motverka bedrägerier med skärmdumpar och liknande. Om en användare försöker att ta en skärmdump av mobilens skärm i ett känsligt läge, mitt under en inloggning till exempel, så avbryts inloggningen och ingen skärmdump tas. Detta gäller åtminstone på Iphone.

freja e-id
Slå av eller på de tjänster du vill att ditt eid ska kunna användas till.

Ytterligare en smart funktion är att det går att lägga till fler enheter med hjälp av qr-koder. Freja tillåter även federering så att en användare kan skapa fler digitala identiteter med Freja som grund, eller helt enkelt skaffa andra e-legitimationer med hjälp av en tidigare giltig e-legitimation. Detta är inte tillåtet med Bank-id.

Så varför använder inte fler människor Freja e-id? Svaret är dels att det är så få som känner till det förstås, men framför allt att det finns få anslutna tjänster. Eller rättare sagt, få stora välkända tjänster. I skrivande stund är det ett tjugotal kommuner, bland andra flera kranskommuner runt Stockholm, Pensionsmyndigheten och Resurs Bank som hör till de mer namnkunniga.

Sannolikt kommer fler myndigheter att tillkomma, antagligen alla eftersom en myndighet inte får gynna en enda privat aktör, men sannolikheten att de stora bankerna kommer att släppa in Freja får nog anses begränsad. Det som dock gör att Verisec tålmodigt kan ta saken med viss ro är att begreppen bank och betalningssystem är under upplösning och utvecklas och globaliseras snabbt. Freja följer även en annan affärsmodell där Verisec tar betalt per antal användare, jämfört med Bank-id som tar betalt per transaktion – även det kan troligen bidra till att fler tjänster ansluter sig i framtiden.

freja e-id
Denna sida möter användaren vid inloggning till en tjänst.

På sätt och vis är det lite fånigt att ösa beröm över Frejas användarupplevelse och funktioner. Appen fungerar ju som vilken annan app som helst. Det är först i jämförelse med Bank-id som Freja framstår som exceptionell. Bortsett från grundfunktionen, att identifiera och autentisera, som är gemensamma och fungerar på samma sätt, tar Freja funktionaliteten och idén med ett e-legg från noll till någonting mer. Vi rekommenderar att åtminstone testa, om inte annat så bara för att se hur e-legg faktiskt kan fungera.

Uppdatering: Efter påpekande från Bank-id visar det sig att Bank-id-appen har en funktion för transaktionshistorik. I artikeln påstås felaktigt att Bank-id inte har denna funktion. Transaktionshistoriken i Bank-id-appen nås under Inställningar -> [ditt namn och giltighetstid] -> Min BankID-historik.

Läs också:
Vad kan man göra med ett e-id? Mer än du kanske tror
Svenska e-legitimationer står utanför EU:s id-samarbete