bankid-kvantdator-hot
Kvantdatorer hotar BankID och Swish – Sverige måste byta kryptering
Den kryptering som skyddar BankID, Swish och svenska banktransaktioner bygger på en enkla premiss: dagens datorer hinner inte räkna sig igenom tillräckligt stora tal. Den premissen höller på att falla.
Forskningen kring kvantdatorer tar just nu stora kliv framåt. Enligt studier som Dagens PS rapporterat om är den beräkningskapacitet som krävs för att knäcka dagens kryptering betydligt lägre än man tidigare trott. För BankID — som används av över åtta miljoner svenskar för allt från Swish-betalningar till Skatteverkets inloggning — innebär det ett hot mot hela den digitala betalningsinfrastrukturen.
"Harvest now, decrypt later"
Hotet handlar inte om en avlägsen framtid. Statliga underrättelsetjänster och kriminella nätverk samlar redan in krypterad data — banktransaktioner, mejl, myndighetskommunikation — i förväg. Strategin kallas "harvest now, decrypt later": lagra allt idag och knäck det när tekniken tillåter.
Problemets allvar är uppenbart för finanssektorn. Banktransaktioner, identitetskontroller via BankID och bankernas interna kommunikation är hårt krypterad — men det är också precis den typ av data som utgör huvudmålet för både statliga aktörer och organiserad brottslighet. C:a 90 procent av dagens krypteringssystem saknar kvantsäkert skydd enligt branschuppskattningar.
Kvantsäker kryptering finns — men används nästan inte
Lösningen finns redan. Kvantsäker kryptering — algoritmer designade för att inte kunna knäckas ens av framtidens kvantdatorer — är framtagen och standardiserad av bland annat amerikanska NIST. Problemet är att nästan ingen har infört dem.
För den svenska betalningsmarknaden är migrationen särskilt komplex. BankID är integrerat i tusentals webbplatser, appar och tjänster. Swish hanterar miljontals transaktioner dagligen. En övergång till kvantsäkra algoritmer kräver samordning mellan BankID AB, Swish AB, bankers backend-system och trettusen anslutna handlare.
EU-kontext: DORA och operativ motståndskraft
EU:s DORA-förordning, som trädde i kraft i januari 2025, ställer krav på finansiella aktörer att hantera ICT-risker och säkerställa operativ motståndskraft. Även om DORA inte explicit nämner kvantteknologi bygger kraven på att identifiera och hantera framväxande risker — ett kvantteknologiskt hot mot krypteringsinfrastruktur ryms inom det ramverket.
ESRB, EU:s makrotillsynsorgan, gav i går (7 juli) ut en formell varning om sårbarheter i det finansiella systemet kopplade till avancerade AI-modeller — ett närliggande tema som visar att EU-beslutsfattare är uppmärksamma på teknikdrivna risker mot finanssektorn.
Vad krävs?
Sverige behöver en konkret tidsplan för migration till kvantsäker kryptering i den kritiska betalningsinfrastrukturen. Finansinspektionen bör inkludera kvantberedskap i sitt tillsynsramverk. BankID AB och Swish AB behöver prioritera en teknisk vägkarta för post-kvant-kryptering.
De närmaste åren är avgörande. Om kvantdatorutvecklingen fortsätter i nuvarande takt kan hotet bli akut redan inom ett årtionde. Den svenska betalningsmarknaden — en av världens mest digitaliserade — har minst att vinna på att vänta.