Lainalupauksen saanti on tänä päivänä helppoa, mutta en olisi ikinä
uskonut sen olevan näin helppoa ja vielä toisen henkilön
identiteetillä.

Eräs ystäväni kilpailutti vaimonsa kanssa asuntolainoja pankkien
www-sivujen kautta. Nimeltä mainitsemattoman pankin kanssa neuvottelut
etenivät mallikkaasti sähköpostin välityksellä, pankki halusi
lisätietoina palkkakuitteja ja isännöitsijän todistuksen. Muutamassa
päivässä hoitui lainalupaus vielä erittäin kilpailukykyisellä
marginaalilla. Pankin mukaan laina oli nostettavissa, mutta ehtojen
neuvottelun vuoksi ystäväni päätti mennä tapaamaan lainaneuvojaa
henkilökohtaisesti.

Neuvottelut etenivät hyvin ja asioista päästiin yhteisymmärrykseen
alle puolessa tunnissa. Ystäväni ei ollut pankin asiakas, hänellä oli
ainoastaan yhteinen tili vaimonsa kanssa kyseisessä pankissa.
Pankkivirkailijan mukaan ystäväni pitäisi luonnollisesti siirtää
palkkatilinsä uuteen pankkiin.

Pankkivirkailija alkoi neuvotteluiden päätteeksi tarkistamaan ystäväni
tilejä. Virkailijan mukaan ystävälläni oli pankissa osakesijoituksia
ja muutama tili. Tämä ei kuitenkaan pitänyt paikkaansa.

Lähemmin lainahakemusta tarkasteltaessa selvisi, että lainahakemus oli
tehty toisen samannimisen henkilön identiteetillä. Lainahakemuksessa
oli väärä sosiaaliturvatunnus, ammatti, tulot, osoite jne. Ainoastaan
hakijan nimi oli oikein ja kaikki muut tiedot olivat vääriä.
Todennäköisesti www-pohjainen lainahakemus- järjestelmä oli mäpännyt
käyttäjän väärälle identiteetille ja ylikirjoittanut kaikki oikeaan
hakemuksessa syötetyt tiedot. Pankki oli kuitenkin antanut
lainalupauksen henkilölle, arvioinut hänen luottokelpoisuutensa ja
maksukykynsä tarkistamatta hakijan oikeaa identiteettiä.

Tapahtumasta herää kysymys erilaisten sovellusten tietoturvasta ja
identiteetin hallinnan tasosta. Pitäisiköhän pankkien järjestelmissä
tunnistaa käyttäjät sosiaaliturvatunnuksen perusteella? Miten huonosti
käyttäjien identiteettiä käsitellään sovelluksissa, jotka ovat
vähemmän kriittisiä?