Påföljdsavgift för S-Banken för sårbarhet i informationssäkerheten i S-mobil

Utgivningsdatum 10.9.2025 14.00 | Publicerad på svenska 16.9.2025 kl. 11.37
Typ:Pressmeddelande

Påföljdskollegiet vid dataombudsmannens byrå har påfört S-Banken en påföljdsavgift på 1,8 miljoner euro för försummelse av informationssäkerheten vid identifiering i nätbanken. På grund av ett programmeringsfel i identifieringstjänsten 2022 var det möjligt att logga in i nätbanken och webbtjänster som använder stark autentisering med en annan kunds koder.

Dataombudsmannens byrå utredde personuppgiftsincidenten utifrån S-Bankens anmälan i augusti 2022. Banken hade i april 2022 tagit i bruk en ny inloggningsfunktion i S-mobil. Programvaran hade visat en sårbarhet i informationssäkerheten som hade kunnat utnyttjas i över tre månaders tid från april till augusti.

På grund av sårbarheten utsattes en del av bankens kunder för en personuppgiftsincident. I praktiken berörde sårbarheten en betydande del av bankens kunder. Missbruk av bankkoder orsakade ekonomisk skada för kunderna. S-Banken har meddelat att de ersatt kunderna för direkta förluster.

Brister i skyddsåtgärderna och utredningen av sårbarheten i informationssäkerheten

I dataombudsmannens byrås utredning observerades att S-Banken inte använde tillräckliga skyddsåtgärder för att trygga personuppgifternas säkerhet. Banken hade inte testat den nya programvaran tillräckligt innan den togs i bruk och den hade inte observerat sårbarheten innan funktionen togs i bruk. Banken reagerade inte heller tillräckligt då kunderna tog kontakt och meddelade om avvikelser i inloggningen i nätbanken.

"Det här fallet visar att organisationerna behöver satsa på tillräcklig informationssäkerhet och testning med beaktande av de risker som är förknippade med behandlingen av deras personuppgifter. Detta framhävs i fråga om banker, eftersom missbruk av bankuppgifter kan orsaka människor stora skador", konstaterar biträdande dataombudsman Annina Hautala.

”I sådana här situationer måste man agera snabbt. Kunderna måste kunna lita på att deras bank- och kontouppgifter är säkra", säger Hautala.

Påföljdsavgift för försummelse av dataskyddskraven

Biträdande dataombudsmannen anser att S-bankens verksamhet bröt mot kraven på säker behandling av personuppgifter i EU:s dataskyddsförordning. Påföljdskollegiet vid dataombudsmannens byrå påförde banken en påföljdsavgift på 1,8 miljoner euro och biträdande dataombudsmannen gav en anmärkning för förfarandet som stred mot dataskyddslagstiftningen. Påföljdskollegiet ansåg det nödvändigt att påföra en påföljdsavgift för dataskyddsförseelse på grund av människors behov av rättsskydd, ärendets allmänna betydelse samt dataombudsmannens tidigare anmärkning till S-Banken.

Finansinspektionen bedömde S-Bankens verksamhet i samma händelsehelhet i fråga om olika förseelser och påförde i maj 2025 en påföljdsavgift på 7 670 000 euro för försummelser i hanteringen av operativa risker. Påföljdskollegiet beaktade också Finansinspektionens beslut när påföljdsavgiften påfördes och jämkade påföljdsavgiften på basis av det. Påföljdsavgiften för dataskyddsförseelserna är cirka en tredjedel av det belopp som den skulle ha varit utan en påföljdsavgift som Finansinspektionen påfört.

Beslutet har ännu inte vunnit laga kraft och kan överklagas hos förvaltningsdomstolen.

Påföljdskollegiets och biträdande dataombudsmannens beslut om S-banken i Finlex-tjänsten på finska

Mer information:

Biträdande dataombudsman Annina Hautala, annina.hautala(at)om.fi, tfn 029 566 6776

Finansinspektionens meddelande 23.5.2025: https://www.finanssivalvonta.fi/sv/press--publicerat/Pressmeddelanden/2025/bilaga-om-beslutet-har-lagts-till-gemensam-pafoljdsavgift-pa-7-670-000-euro-och-offentlig-varning-till-s-banken-abp/

Meddelande från dataombudsmannens byrå 15.9.2022: ​​​​​​​Dataombudsmannen utreder S-Bankens systemstörning – S-Banken har meddelat att kunder som berörts av personuppgiftsincidenten har kontaktats

Uppdaterad 10.9.2025 kl. 17.30:

  • Rättelse: sårbarheten gällde en betydande del av bankens kunder, det vill säga alla personer som använder applikationen S-mobil, inte alla bankens kunder.
  • Preciserats i ingressen att programvarufelet som möjliggjorde inloggning hade funnits i identifieringstjänsten.
  • Preciserats att Finansinspektionens beslut gällde samma händelsehelhet.

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.