Det är möjligt att klicka hem varor på nätet och skicka räkningen till personer som använder Klarnas tjänster. Dessutom har det varit möjligt att få fram uppgifter om vem som finns i företagets register. Bristerna har lett till att det har varit förhållandevis lätt att begå bedrägerier.
Det framgår när YLE:s granskande program MOT går igenom företagets informationssäkerhet. Klarna är ett av de största företagen i Norden som erbjuder betalningstjänster.
Problemet har varit känt i flera år och det här sättet har återkommande använts för att begå brott.
– Det ser ganska illa ut. Datasekretess är så kritiskt att det inte ska vara möjligt att beställa varor i andras namn. Företaget har någon form av övervakning, men helt klart så läcker det, säger it-experten och författaren Petteri Järvinen.
Du behöver inte ens ha ett användarkonto för att bli offer för bedrägeriet
Klarna kräver stark autentisering första gången en inloggning sker. Det innebär att identiteten stärks med hjälp av bankkoder eller mobil-id.
Efter registreringen är det möjligt att använda Klarnas tjänster utan att logga in. Det räcker med e-post och postnummer. De uppgifterna är tillräckliga för att göra beställningar från flera nätbutiker.
Personer som inte har skapat ett användarkonto hos Klarna kan ändå bli ett offer för bedrägeriet. Det räcker att man någon gång har betalat ett nätköp via Klarnas betalningstjänst, då är det möjligt att finnas med i Klarnas databas utan att vara medveten om det själv.
Då finns personuppgifterna med i företagets databas. Eftersom många nätbutiker använder Klarnas tjänster kan det vara svårt att komma ihåg om man betalat via Klarna eller på ett annat sätt.
Säkerhetsbristerna har gjort det möjligt att ta reda på information om företagets kunder. Till exempel går det att ta reda på adress och telefonnummer. I vissa fall har det varit möjligt att få veta var personer med hemlig adress bor.
I maj 2021 kom det uppgifter om att en del av företagets kunder hade haft tillgång till andra kunders personuppgifter. Då kommenterade Klarna att det var frågan om ett mänskligt misstag.
Klarna: vi satsar på säkerhet
Enligt Klarna har företaget satsat extra mycket på säkerhet de senaste åren.
– Klarna följer kontinuerligt med, utvärderar och testar nya sätt att förhindra bedrägerier. De senaste åren har vi förbättrat kundernas säkerhet och fått ner mängden bedrägerier.
– Vi samarbetar fortlöpande med myndigheter, nätbutiker och med samarbetsparterna inom logistikbranschen för att förhindra kriminella från att använda våra tjänster.
Företaget gick inte med på en intervju. I stället gav de svaren per e-post. Klarnas svaga informationssäkerhet har tidigare fått kritik. Företaget förnekar ändå att de inte skulle ha vidtagit åtgärder.
Hundratals klagomål hos dataombudsmannen
Dataombudsmannens byrå övervakar att personuppgifter behandlas lagenligt. De har tagit emot över 150 klagomål om Klarna.
– Det kan anses vara en mycket stor mängd, säger dataombudsman Anu Talus.
Men Dataombudsmannens byrå kan inte komma åt Klarna.
Företaget är svenskt och det är i första hand svenska myndigheter som ansvarar för övervakningen av Klarna. Integritetskyddsmyndigheten har ansvaret för övervakningen i Sverige.
Sedan maj 2018 har integritetsskyddsmyndigheten tagit emot 330 klagomål angående Klarna. I fem av fallen har myndigheten inlett en granskning av Klarnas verksamhet.
Under granskningarna har det framkommit att det finns problem med följandet av EU:s dataskyddsförordning, allmänt känd som GDPR. Det berättar integritetsskyddsmyndigheten åt MOT.
Klarna säger att de inte har information om klagomålen som lämnats in till de finländska myndigheterna.
Artikeln är översatt och bearbetad av Axel Ridberg och baserar sig på YLE:s artikel Maksufirma Klarnan kautta pystyy tilaamaan tavaraa toisen nimiin – MOT:n testi osoittaa, kuinka pahasti ruotsalaisyhtiön tietoturva vuotaa.