1. yle.fi
  2. Uutiset
  3. tietoturva

Maksunvälittäjä Klarnan tietosuoja retuperällä – Suomen viranomaisilla vain vähän mahdollisuuksia puuttua ongelmaan

Suositusta maksunvälittäjästä Klarnasta on tehty useita satoja kanteluita viranomaisille. Verkossa maksamisen turvallisuutta halutaan parantaa.

Klarna on Pohjoismaiden merkittävimpiä maksunvälittäjiä ja sen palveluita käyttävät useat suuret verkkokaupat. Kuva: Rafael Henrique/SOPA

Pohjoismaiden suurimpiin maksunvälittäjiin kuuluvan Klarnan järjestelmässä on vakava tietoturvaongelma, mutta Suomen viranomaisilla on vain rajatut mahdollisuudet puuttua yhtiön toimintaan.

Ylen MOT-toimituksen tekemän selvityksen mukaan Klarnan palvelua on käytetty toistuvasti rikosten, kuten petosten, tekoon. Yhtiöstä on tehty 150 kantelua Suomen tietosuojavaltuutetulle.

Vaikka Klarnan palveluita käyttävät monet suomalaiset, ovat viranomaisten mahdollisuudet puuttua toimintaan kuitenkin rajalliset.

– Ensisijainen valvontavastuu Klarnasta on Ruotsin viranomaisilla, sanoo tietosuojavaltuutettu Anu Talus.

Suomen tietosuojavaltuutettu raportoi saamistaan kanteluista Ruotsin kollegoilleen ja kertoo oman näkemyksensä tarvittavista toimenpiteistä. Päätöksen tekevät eri maiden Tietosuojavaltuutetut yhdessä, mutta Ruotsin viranomaisilla on keskeisin rooli prosessissa.

Viranomainen voi määrätä seuraamusmaksuja tai järeimmillään kieltää yhtiötä käsittelemästä asiakkaiden tietoja, mikä lamaannuttaisi Klarnan tapaisen yhtiön toiminnan.

Toistaiseksi viranomaiset Ruotsissa eivät ole nähneet aiheelliseksi asettaa Klarnalle sanktioita.

Anu Talus ei halua kommentoida Ruotsin tietosuojavaltuutetun toimintaa.

Ruotsin Tietosuojavaltuutetun toimisto on saanut toukokuun 2018 jälkeen 330 Klarnaa koskevaa kantelua.

Klarnan mukaan yhtiö on panostanut viime vuosina erityisellä tavalla verkkokaupan turvallisuuteen.

Klarna kertoo, että sen palveluita käyttää maailmanlaajuisesti yli 250 000 verkkokauppaa tai muuta toimijaa. Kuva: Riikka Kurki / Yle

Suunniteltu lakimuutos ei välttämättä poista ongelmaa

Klarnan ja muiden maksunvälitysyhtiöiden tietoturvaongelmat ovat olleet tiedossa jo pitkään. Ne liittyvät ennen kaikkea siihen, että tilausten teossa ei käytetä niin sanottua vahvaa tunnistautumista.

Klarnan tilille voi kirjautua pelkän sähköpostisoitteen ja postinumeron avulla, eikä siinä tarvita esimerkiksi pankkitunnuksia.

Oikeusministeriö on asettanut työryhmän selvittämään verkko-ostosten tietoturvaa. Oikeusministeri Anna-Maja Henriksson (r.) on kertonut kannattavansa vahvan tunnistautumisen vaatimista verkko-ostoksissa.

Myös tietosuojavaltuutettu Anu Talus ja maksunvälitysyhtiöitä valvova Finanssivalvonta kannattavat lain muuttamista.

Talus pelkää kuitenkin, että lakimuutos ei ratkaise ongelmaa kokonaan.

– Suurin haaste on se, miten kansallinen lainsäädäntö tulee toimimaan, kun toimijat ovat usein globaaleita, Talus sanoo.

Verkkokauppa tai maksunvälittäjä voi olla yritys, jolla ei ole toimipaikkaa Suomessa ja se noudattaa jonkin toisen maan lainsäädäntöä. Suomalaisen lainsäädännön ulottaminen koskemaan tällaisia yrityksiä voi osoittautua vaikeaksi tai lähes mahdottomaksi.

Ongelmaa tosin helpottaa se, että EU-maissa on muun muassa tietosuojaan ja maksunvälitykseen liittyvää yhteistä lainsäädäntöä.

Sanahirviö laissa avaa porsaanreiän

Klarnan maksunvälityspalvelua käyttää maailmanlaajuisesti yli 250 000 yhtiötä verkkokaupoissaan. Yhtiön heikosta tietoturvasta on tiedetty vuosikausien ajan.

Jo vuonna 2015 silloinen tietosuojavaltuutettu Reijo Aarnio vaati (siirryt toiseen palveluun) Klarnaa ottamaan käyttöön vahvan tunnistautumisen palveluissaan. Näin ei kuitenkaan ole tapahtunut.

Ongelma ei kosketa vain Klarnaa, vaan muitakin maksunvälittäjä. Laki on käytännössä antanut yhtiöille mahdollisuuden laiminlyödä tietoturvan.

Mikäli yhtiön tarjoama palvelu on “hyödykesidonnainen luotto”, ei laki edellytä vahvaa tunnistautumista, kertoo Finanssivalvonnan johtava digitaaliasiantuntija Hanna Heiskanen.

Sanahirviöllä tarkoitetaan tilannetta, jossa tuotteita hankitaan myyjän tai esimerkiksi rahoitusyhtiön myöntämän luoton avulla. Klarna tarjoaa juuri tällaista palvelua, jossa tuotteen voi maksaa myöhemmin tai useassa erässä.

– Paras keino olisi muuttaa lainsäädäntöä tältä osin, sanoo Henna Heiskanen.

Toisaalta EU:n maksupalveludirektiivi edellyttää asiakkaan vahvaa tunnistamista maksutapahtumissa. Vaatimus ei kuitenkaan koske luotolla ostettaessa.

Finanssivalvonta ei kommentoi yksittäisiä valvottavia koskevia asioita, eikä Heiskanen myöskään kerro selvittääkö Fiva Klarnan toimintaa. Klarnalla on Ruotsin finanssivalvonnan myöntämä toimilupa rajat ylittävien maksujen välittämiseen.