1. yle.fi
  2. Uutiset
  3. tietoturva

Maksufirma Klarnan kautta pystyy tilaamaan tavaraa toisen nimiin – MOT:n testi osoittaa, kuinka pahasti ruotsalaisyhtiön tietoturva vuotaa

Huippusuositun maksunvälitysyhtiö Klarnan tietoturvassa on vakava aukko, joka mahdollistaa petosten tehtailun. Ruotsalaisyhtiö kertoo panostavansa petosten kitkemiseen.

Ruotsalaisen Klarnan maksunvälityspalveluita käyttävät monet suositut verkkokaupat. Kuva: Riikka Kurki / Yle

Pohjoismaiden suurimpiin kuuluvan maksunvälitysyhtiö Klarnan järjestelmässä on vakava tietoturvaongelma, joka mahdollistaa yhtiön asiakkaiden tilien käyttämisen petoksiin, identiteettivarkauksiin ja kiusantekoon.

Ongelma on ollut tiedossa useiden vuosien ajan. Heikon tietoturvan takia Klarnan palvelua on myös hyödynnetty toistuvasti rikosten tekemiseen.

– Näyttää aika pahalta. Tietosuoja on niin kriittinen asia, että ei pitäisi olla mahdollista tilata tavaroita toisen nimiin. Vaikka yrityksellä on jonkinlaista valvontaa, niin selvästikin se vuotaa, sanoo tietotekniikan asiantuntija ja tietokirjailija Petteri Järvinen.

Klarna: Panostamme turvallisuuteen

Klarnan mukaan yhtiö on panostanut viime vuosina erityisellä tavalla verkkokaupan turvallisuuteen.

– Klarna seuraa, arvioi ja testaa jatkuvasti uusia tapoja estää petoksia. Olemme viime vuosina lisänneet ja parantaneet asiakkaiden turvallisuutta sekä vähentäneet [Klarnan palveluiden avulla tehtyjä] petoksia.

– Työskentelemme jatkuvasti myös viranomaisten, verkkokauppojen ja logistiikka-alan yhteistyökumppaneiden kanssa estääksemme rikollisia käyttämästä palveluitamme, Klarnan edustaja kirjoitti MOT:lle lähettämässään sähköpostissa.

Yhtiö ei antanut haastattelua vaan halusi vastata MOT-toimituksen kysymyksiin sähköpostitse. Klarna kiistää, ettei yhtiö olisi reagoinut aiemmin julkisuudessa esitettyihin huoliin heikosta tietoturvan tasosta.

Klarnasta on tehty yli 150 kantelua tietosuojavaltuutetun toimistolle. Tietosuojavaltuutettu Anu Talus pitää määrää suurena. Kuva: Silja Viitala / Yle

Satoja kanteluita Klarnasta

Henkilötietojen lainmukaista käsittelyä valvovalle tietosuojavaltuutetulle on tehty yli 150 kantelua Klarnasta.

– Tätä voi pitää todella suurena määränä, sanoo tietosuojavaltuutettu Anu Talus.

Tietosuojavaltuutetun toimisto ei ole voinut puuttua suoraan Klarnan toimintaan.

Yhtiö on ruotsalainen ja sen valvonnasta vastaa ensisijaisesti Ruotsin tietosuojavaltuutettu myös niissä tapauksissa, joissa kantelut on tehty Suomessa.

Ruotsin tietosuojavaltuutetun toimisto kertoo MOT:lle, että toukokuun 2018 jälkeen se on saanut 330 kantelua Klarnaan liittyen. Viidessä tapauksessa viranomainen on aloittanut tutkinnan yhtiön toiminnasta. Niissä on ilmennyt huolia koskien muun muassa EU:n tietosuoja-asetuksen vaatimusten noudattamista, Ruotsin tietosuojavaltuutetun toimiston sähköpostivastauksessa todetaan.

Klarnan edustajan mukaan yhtiö seuraa jatkuvasti siitä tehtyjä kanteluita ja on “läheisesti yhteydessä” Ruotsin tietosuojavaltuutetun kanssa. Klarna kertoo, ettei sillä ole tarkempia tietoja Suomen viranomaisille tehdyistä kanteluista.

Verkkopetoksen kohteeksi voi joutua, vaikka ei ole luonut Klarnan asiakastiliä

Klarna edellyttää vain ensimmäisen kirjautumisen yhteydessä niin sanottua vahvaa tunnistautumista. Tällä tarkoitetaan henkilöllisyyden varmistamista esimerkiksi pankkitunnusten tai mobiilivarmenteen avulla.

Rekisteröitymisen jälkeen Klarnan palvelua voi käyttää ilmoittamalla vain asiakkaan sähköpostiosoitteen ja postinumeron. Näiden kahden tiedon avulla voi tehdä tilauksia useista verkkokaupoista ilman, että asiakkaan henkilöllisyyttä varmennetaan muilla keinoin.

Menettelyn takia Klarnan kautta on mahdollista tilata tavaraa toisen ihmisen nimissä varsin helposti eli hankkimalla tiedon vain sähköpostiosoitteesta ja postinumerosta.

Toisten nimissä tuotteiden tilaaminen onnistuu jopa tapauksissa, joissa ihminen ei ole edes luonut Klarnan palveluun omaa tiliä. Riittää, että on joskus maksanut Klarnan palvelun kautta verkko-ostoksensa.

Asiakkaat eivät välttämättä edes huomaa käyttävänsä Klarnan ylläpitämää palvelua ja ovat yhtiön tietokannassa tietämättään.

Tietosuojaan erikoistunut Itä-Suomen yliopiston professori Tomi Voutilainen pitää Klarnan toimintatapoja kyseenalaisina. Ongelmat liittyvät erityisesti EU:n tietosuoja-asetuksen ja maksupalvelulain asettamiin vaatimuksiin.

Voutilaisen mielestä pelkkä sähköpostilla ja postinumerolla kirjautuminen ei ole yhtiölle riittävä tapa varmistaa asiakkaan henkilöllisyys.

Tietoturvassa olevat aukot ovat mahdollistaneet myös Klarnan asiakkaiden tietojen, kuten kotiosoitteen ja puhelinnumeron, urkinnan. Joissain tapauksissa tietoja on saanut hankittua myös sellaisista asiakkaista, joiden osoite on salainen.

Toukokuussa 2021 osa Klarnan asiakkaista oli päässyt näkemään muiden asiakkaiden tietoja. Klarna kertoi tuolloin, että kyse oli inhimillisestä virheestä (siirryt toiseen palveluun).

Valtaosassa tapauksia Klarna on ollut asianomistaja, eikä yhtiötä tai sen edustajia ole epäilty rikoksista.

Klarnan palvelun avulla on tehtailtu petoksia

Yle uutisoi jo tammikuussa 2021 verkkokauppaan liittyvistä petoksista ja identiteettivarkauksista. Ylen selvityksen mukaan tilauspetoksissa käytetään varsin usein juuri Klarnan palvelua, koska yhtiö ei käytä vahvaa tunnistautumista.

Ylen MOT-toimitus kävi läpi käräjäoikeuksissa eri puolilla Suomea käsiteltyjä Klarnaan liittyviä tapauksia, joissa on annettu tuomioita petoksista ja identiteettivarkauksista. Tapauksissa Klarna on asianomistaja eli rikoksen uhri.

Vuosina 2011–2021 Klarna on ollut asiaomistajana tai muussa roolissa yli 1500 rikostapauksessa. Näissä tapauksissa rikosnimikkeenä on ollut petos, törkeä petos tai petoksen yritys yli 900 tapauksessa.

MOT tutustui osaan tuomioista. Niistä välittyy kuva siitä, että Klarnan palvelun avulla on verrattain helppoa tehtailla petoksia.

Esimerkiksi joulukuussa 2020 Helsingin käräjäoikeudessa käsiteltiin tapausta, jossa kahta henkilöä syytettiin neljästä petoksesta, neljästä petoksen yrityksestä ja identiteettivarkaudesta.

Syytetyt olivat tilanneet kolmannen henkilön nimissä useilla tuhansilla euroilla tavaraa, kuten matkapuhelimia ja vaatteita, käyttämällä Klarnan palvelua.

Oikeudenkäynnissä kävi ilmi, että syytetyt olivat tilanneet tuotteet ja hakeneet ne Postin noutopisteestä. Laskut olivat kuitenkin menneet henkilölle, joiden tietoja syytetyt olivat käyttäneet ilman lupaa. Menettely onnistui, koska tilauksia on mahdollista tehdä ilman asiakkaan vahvaa tunnistautumista.

Kaksikko tuomittiin 60 päivän vankeusrangaistukseen. Toinen syytetyistä on valittanut tuomiosta hovioikeuteen. Ylen MOT-toimitus ei kerro tuomittujen nimiä, koska henkilöt eivät ole merkittäviä vallankäyttäjiä.

Klarna myöntää, että “petokset ovat koko alaa ja myös meitä koskeva asia”. Yhtiö kertoo käsittelevänsä yli kaksi miljoonaa maksutapahtumaa joka päivä ja petosten määrä on “erittäin alhainen kaikilla markkinoilla, joissa toimimme”.

Tietotekniikan asiantuntijan Petteri Järvisen mielestä viranomaisten tulisi puuttua Klarnan toimintaan.

– Valituksia ja rikoksiin liittyviä tapauksia tulee ilmi jatkuvasti. On selvää, että viranomaisten pitäisi tehdä asialle jotain. On kummallista, että yhtiö on saanut toimia Suomessa tällä tavalla, vaikka Suomen viranomaiset ovat asiaan kiinnittäneet huomiota, Järvinen sanoo.