INRIKES I mars 2026 inträffade en betydande säkerhetsincident som rörde Sveriges primära elektroniska identitetssystem, Bank-ID. En hackargrupp med namnet ByteToBreach påstod sig ha kommit över system hos CGI Sweden, det företag som driver BankID-plattformen. Incidenten innebar att källkod, autentiseringsuppgifter och annan data som kan avslöja hur svenska medborgare loggar in på statliga tjänster, banker, betalningssystem och digitalt signerar dokument läckte ut.
Detta är särskilt kritiskt eftersom BankID används dagligen av miljontals svenskar för att få tillgång till myndighetsportaler, banktjänster, betalningar och digitala signaturer. CGI Sweden har bekräftat en cybersäkerhetsincident som påverkade interna system i deras svenska division, även om de hävdar att endast interna testdata var involverade.
Exponeringen av företaget Risikas data
Samtidigt med Bank-ID-incidenten har ytterligare en massiv dataläcka exponerat över 100 miljoner individuella register från det svenska företaget Risika. Dessa data täcker perioden 2019–2024 och inkluderade högst känsliga personuppgifter om svenska medborgare samt data om företag.
Orsaken till läckan var en felkonfigurerad Elasticsearch-server som lämnade datan oskyddad och offentligt tillgänglig. Det läckta innehållet spreds i mycket hög utsträckning . Denna exponering visar på en systematisk brist i hur privatpersoners data hanteras av kommersiella aktörer som arbetar med kreditupplysningar och riskbedömningar.
Sverige-ID och den kommande e-ID-lanseringen
Den svenska regeringen förbereder lanseringen av Sverige-ID, en officiell alternativ e-ID-tjänst, med lanseringsdatum satt till 1 december 2026. Detta system ska ge både medborgare och utländska invånare ett officiellt alternativ till Bank-ID, som ursprungligen utvecklades av svenska banker som en digital identitetstjänst.
Med Sveriges expansion av digital offentlig infrastruktur och digital autentisering för offentliga och finansiella tjänster är motståndskraften hos dess digitala ID-ekosystem nära kopplad till nationell säkerhet. Samtidigt ökar diskussionerna kring digital suveränitet.
Datamängd och övervakning
De två incidenterna – Bank-ID-överträdelsen och Risika-dataexponeringen – illustrerar en djupare strukturell problematik i hur Sverige hanterar digital identitet och privatliv: Mer än 100 miljoner personakter har läckt, vilket visar på omfattningen av data som samlas in om privatpersoners vanor och identitetsmarkörer. Varje dag, varje timme, varje minut sker registrering av beteendemönster som normalt borde vara skyddade. Statliga aktörer försöker normalisera denna övervakning genom att kräva att verifieringssystem används på fler och fler plattformar. Syftet är att lägga ditt digitala liv i linje med din legala identitet, vilket skapar en permanent koppling mellan alla aspekter av ditt liv.
Motiverande narrativ
Staten och kapitalet argumenterar för dessa system under skenet av att skydda familjer från bedrägerier och barn från olämpligt innehåll. Men denna retorik fungerar ofta som en legitimering för att få individer att frivilligt överge möjligheten att hålla saker hemliga från statliga och kommersiella aktörer.
Säkerhetsimplikationer
Bank-ID-incidenten kastar ljus på sårbarheten i nationell digital infrastruktur. När en hackargrupp kan få tillgång till källkod och autentiseringsuppgifter för ett system som används av hela befolkningen, uppstår frågor som:
- Hur robust är säkerhetsarkitekturen för kritisk infrastruktur?
- Vilken kontroll har medborgare över sin egen digitala identitet?
- Är centraliserade lösningar verkligen säkrare än decentraliserade alternativ?
Dessa händelser markerar en kritisk punkt i Sveriges digitala utveckling. Medan regeringen förbereder Sverige-ID som en ”säkrare” lösning, visar de senaste incidenterna att problemet inte nödvändigtvis ligger i tekniken utan i själva paradigmet med centraliserad, statligt kontrollerad digital identitet.
För medborgare innebär detta att valet mellan olika e-ID-system kanske inte är så enkelt som det presenteras. Frågan om digital autonomi och privatlivsförsvar måste vägas mot bekvämlighet och säkerhetsargument.
S. Pyrphoros
