– På något sätt måste den som utfärdar e-leget veta att Alice är den hon säger att hon är, vilket kan göras genom att kolla hennes pass eller att anhöriga intygar att det är rätt person.

Den här gången duger det dock med ett påhittat personnummer. Ett knapptryck senare dyker en vit text upp på Elias svarta datorskärm, ”E-ID”, som han kopierar till Alice hårdvarunyckel. Han rycker ut usb-stickan och håller upp den framför sig:

– Varsågod Alice, nu har vi utfärdat din e-legitimation.

Elias Rudberg är tidigare forskare i beräkningsvetenskap på Uppsala universitet och sitter i styrelsen på Föreningen för digitala fri- och rättigheter (DFRI). De arbetar med att främja frågor om informationsfrihet och människors rätt till kontroll över sin personliga data.

Under ett par år har han tillsammans med en handfull kodknackande eldsjälar utvecklat en ännu ej namngiven tjänst, som i stora drag liknar Bankid.

En av de viktiga skillnaderna är att den byggts på öppen källkod: tekniska standarder som är utvecklade och publicerade på ett öppet och transparent sätt, där källkoden till programmen är fritt tillgänglig för alla att använda eller ändra i.

– Det är liksom mer robust och demokratiskt än ett slutet system för alla utifrån får möjlighet att se vad som gjorts i koden och kan själva bidra.

För den som vill delta i det svenska samhället är det i dag i princip obligatoriskt att använda sig av elektronisk identifiering. I nästan samtliga fall utförs den genom jätten Bankid, som används av 93 procent av Sveriges befolkning.

Den ständiga frågan som återkommer i vår svenska digitala verklighet är om man verkligen klarar sig i samhället utan Bankid. På femte våningen i en byggnad med glasklädd fasad vid Hammarbykajen i södra Stockholm, sitter Jannike Tillå (bilden), chef för kommunikation och samhällsnytta på Internetstiftelsen, och ger sin bild av dilemmat.

– Ja, det är ju framför allt svårt om man ska använda olika samhällstjänster som att deklarera eller utföra olika bankärenden. Eller bara för att kunna ta del av hur det gick på barnens prov i skolan, säger hon, och fortsätter:

Det här är ett försök till att göra samhället fritt från techjättar.

– Enligt våra undersökningar genom Svenskarna och Internet, kan man se rätt tydligt att nästan alla använder någon form av e-legitimering. Bankid är klart överlägset.

Det finns andra men få alternativ, som Freja e-id. Det är den enda e-legitimationen i Sverige som även kan utfärdas till de som inte har ett svenskt personnummer eller bankkonto. De kan istället använda ett samordningsnummer eller ett utländskt pass. Däremot är Freja e-ids räckvidd inte på samma nivå som Bankid, och de som använder den är en liten minoritet.

– Vår senaste undersökning visar att det är ungefär fyra procent som använder Freja. Det är så litet att de knappt har något avtryck i vår statistik.

Jannike förklarar hur det finns stora samhällsgrupper som inte alls har Bankid eller ens kan hantera det rent tekniskt; allt ifrån papperslösa personer och äldre till dem med funktionsnedsättningar.

– Det kan även vara personer som har bekymmer med banken och blivit uteslutna ur systemet. Du måste ju ha ett bankkonto för att kunna använda Bankid. Där har bankerna en kritisk beslutsmakt mot individen, säger Jannike Tillå.

Vad händer om Bankid ligger nere, vart vänder man sig då?

– Tjänsten är en ”single point of failure”, på så sätt att om man slår ut Bankid så är det mycket annat som slutar fungera.

Hennes beskrivning av Bankid beror på dess centrala men utsatta roll som identifierings- och auktoriseringsmetod för många digitala tjänster och samhällsfunktioner.

Jannike Tillå poängterar att fler alternativ till att e-legitimera sig behövs för att stärka redundansen, alltså möjligheten till andra fungerande system om Bankid fallerar. Hon exemplifierar med en statlig e-legitimation.

Senast i slutet av april låg Bankid nere på grund av en överbelastningsattack. Användare fick problem med att logga in på 1177 eller använda Swish, rapporterade TV4, med flera.

Bankid ägs av sju storbanker, som inkluderar Svenska Handelsbanken, Swedbank och SEB – en bankkartell som har nära monopol på svenskars digitala existens. Men det vill Elias Rudberg ändra på.

– Det här är ett försök till att göra samhället fritt från techjättar, säger Elias Rudberg.

Lösningen ska också kunna fungera mot ”id-växling”, som innebär att en e-legitimation kan användas för att utfärda en annan typ av e-legitimation. Man kan jämföra med hur ett Google-konto kan användas för att logga in på Linkedin eller Youtube.

– En statlig e-legitimation kan i sin tur användas en gång, som den grundidentifiering Alice behöver för att få ett utfärdande. Hon kan därefter fortsätta med att använda vår decentraliserade lösning för att e-legitimera sig mot olika tjänster.

Under 2024 gav regeringen ett uppdrag till Myndigheten för Digital Förvaltning (Digg), som sedan gick över till Polismyndigheten, att utveckla en statlig e-legitimation. Det statliga alternativet är tänkt att öka säkerheten och tillgången på e-leg; för exempelvis personer som saknar konto på en bank, och även underlätta för ökad konkurrens bland liknande tjänster.

På finansdepartementet förklarar en sakkunnig kring varför man väljer att utreda en statlig e-legitimation nu.

– Det finns en säkerhetsstandard inom EU för e-legitimationerna men nuvarande tjänster i Sverige uppnår inte den högsta säkerhetshanteringen, vilken är nivå fyra. Det här blir då en statlig myndighet som säkerställer identiteten och inte baserat på att du har ett bankkonto.

Tror du att folk kommer att gå över till den statliga varianten i och med att så många vant sig vid Bankid?

– Det får vi se. Den statliga tjänsten ska inte tränga undan andra alternativ som en konkurrent.

Polismyndigheten ska ansvara för att utfärda det statliga e-leget, som även kommer att vara tillgängligt på ett fysiskt identitetskort. Att skaffa ett statligt e-leg kan komma att innebära en avgift på 400 kronor. Projektet har en budget på 40 miljoner kronor, och ska vara färdigt den 2 november 2026.

Även Bankid – som dock inte når upp till Sveriges och EU:s högsta tillitsnivå för e-legitimationer – är öppna för idén. Charlotte Pataky (bilden), pressansvarig på Finansiell id-teknik, som tillhandahåller Bankid, framhäver att tjänstens nuvarande säkerhetsnivå är tillräcklig.

– Enligt Diggs ramverk för kvalitetsmärkning av svensk e-legitimation, så räcker det att grundidentifiera användaren på distans för att utfärda ett nytt Bankid, säger Charlotte Pataky, och fortsätter:

Så klart det inte är bra med överbelastningsattacker, det är ett stort hot, men vi har aldrig blivit hackade.

– För att nå högsta tillitsnivå skulle man behöva dela ut det via fysiska kort på bankkontor och få dem förnyade vart femte år. Varje månad förnyas cirka en halv miljon Bankid, vilket skulle bli alldeles för stor logistik.

Det hon syftar på är de svenska säkerhetskraven för tillitsnivå 4, vilket innebär användandet av ett slags fysiskt kort vid varje användningstillfälle. Första gången som användaren hämtar ut kortet behöver hen styrka sin identitet genom ett personligt besök, vilket även görs varje gång kortet förnyas, vart femte år.

Är en högre tillitsnivå lika med ett förstärkt skydd mot exempelvis cyberattacker?

– Det skulle jag inte säga, det ger inget förhöjt skydd eller säkerhet av ett datasystems infrastruktur.

Riskerar inte folk att tappa förtroende för Bankid om det drabbas av överbelastningsattacker?

– Svenskarna har hög tillit för Bankid och vi är extremt tillgängliga, förutom en gång i april i år när vi hade en driftstörning. Men så klart det inte är bra med överbelastningsattacker, det är ett stort hot mot alla.

Ser du någon problematik i att användare måste ha ett bankkonto för att kunna använda Bankid?

– I princip alla personer som är i Sverige har eller kan skaffa sig ett bankkonto. Men visst finns det grupper av användare som inte är kunder hos svenska banker, och kanske inte vill vara det heller.

– Vi är i högsta grad medvetna om utmaningarna och välkomnar att staten tar fram en e-legitimation. De skulle ha möjlighet att utfärda ett elektroniskt id till personer med samordningsnummer, som saknar ett bankkonto.

Tjänsten som Elias Rudberg vill dela med det svenska folket är inte tänkt att bli en högt värderad start-up som ska generera en massa pengar. Det blir dessutom svårt med tanke på att källkoden inte är en dyr affärshemlighet, eftersom den finns tillgänglig för allmänheten. Men hur ska den finansieras för att gå runt?

– Ja, det är en bra fråga… Någon sorts formell organisation med resurser. Men det skulle vara betydligt billigare än att drifta Bankid, menar Elias.

På vilket sätt är Bankid dyrare att underhålla än ett decentraliserat system?

– Om deras centrala system ligger nere i tio sekunder så kan ingen använda tjänsten. Så är det inte med ett decentraliserat system. Där kommer kommunikationen att fortsätta mellan personen som identifierar sig och den part hen kommunicerar med. Det finns inget som gör att hela systemet kan slås ut, förklarar Elias Rudberg.

När vi pratar om säkerhet i dag i Sverige så tänker vi inte på att försöka skydda oss från utländska företag och vad de kan göra mot oss.

Det är Digg som kvalitetsgranskar och godkänner externa leverantörer av e-legitimering. Teamet som varit med att ta fram den öppna tjänsten har tidigare försökt ha en dialog med Digg, som enligt Elias Rudberg inte verkade intresserade av att stötta den alternativa e-legitimeringen.

– Deras förklaring då var att de behövde begränsa externa aktiviteter och fokusera mer på arbetet internt. De hänvisade oss till Polismyndigheten.

Idén bakom öppen källkod eller fri programvara bygger på principer om samarbete, delaktighet och öppenhet. Vem som helst ska kunna bidra till utvecklingen av projektet. Det möjliggör för olika system och produkter att fungera tillsammans.

Fördelarna med öppen källkod är transparens, kostnadsbesparingar och anpassning. Men det finns ett gäng nackdelar också; tillgång på officiell support, kontinuerlig driftunderhåll eller vem som ansvarar för vad i projektet. Professor Stefan Axelsson (bilden) vid Institutionen för data- och systemvetenskap, på Stockholms universitet, är själv en stor förespråkare av fri och öppen programvara – men han synar även nackdelarna.

– Det betyder inte att vem som helst som kan bidra till den öppna koden ska göra det – för varför ska vi lita på just den programmeraren?

Han nämner signerad programvara, som en säkrare metod vid hantering av öppen källkod. Det innebär att projektet och projektgruppen för programvaran, genom en digital stämpel, säkerställs vara autentisk. Det ger övriga användare förtroende för att programmet inte manipulerats sedan signeringen, och att programvaran kommer från en pålitlig källa.

– Open source-drivna projekt arbetar upp förtroende, men de har visat sig vara sårbara för infiltration. Någon ”frivillig” kan nästla sig in i projektgruppen och lägga in skadlig kod i programvaran, förklarar Stefan Axelsson.

Hur skyddar man användarnas förtroende?

– Alla med tillgång till kod och signeringsnycklar bör genomgå formell säkerhetsprövning eller motsvarande. Men då lär det behövas en organisation med ekonomiska och säkerhetsmässiga muskler.

Elias Rudberg ser säkerhetsproblemet ur ett annat perspektiv. Faktumet att stora företag stänger in information som många människor inte får tillgång till men som ändå berör dem.

– Mycket som egentligen skulle vara möjligt i samhället hindras i dag av att stora spelare säger nej utifrån sina intressen. Och det är säkert korrekt rent affärsmässigt, eftersom de ju är företag, men det hjälper inte människor i samhället, säger han.

Dagens digitala samhälle är byggt på flera lager av teknologi som är beroende av varandra för att kunna fungera över huvud taget. Det tar inte slut vid Bankid, menar Elias:

– Man kan säga att Bankid ägs av Apple, Google eller Microsoft. De behöver ju deras produkter för att svenskar ska kunna signera sig med Bankid.

Den dominanta högerteknokratin som håller på att ta form i USA, där nämnda företag har sina huvudsäten, visar hur skör världens digitala infrastruktur är och vilka som har makten att påverka andras liv.

– När vi pratar om säkerhet i dag i Sverige så tänker vi inte på att försöka skydda oss från utländska företag och vad de kan göra mot oss.

Vad ska man göra för att motverka problemet då?

– Det här alternativet, en öppen källkodsbaserade e-legitimering, är vårt försök till att faktiskt göra samhället mer fritt från privata teknikjättar. Det är en liten början, men det handlar om att visa att det går att göra på ett annat sätt.