Psykoterapiakeskus Vastaamon tietomurto, jossa satojen ja ehkä jopa kymmenientuhansien terapia-asiakkaiden potilas- ja henkilötiedot on vuodettu verkkoon, on järkyttänyt etenkin tietovuodon uhriksi joutuneita. Hoitosuhteen yksityisyys ja luottamuksellisuus on yksi suurimmista luottamuksen alaisista asioista, ja se on nyt monen ihmisen osalta rikkoutunut.
Tapaus osoittaa, että emme ole yhteiskuntana riittävästi varautuneet kyberrikollisuuteen, kun näin suuri määrä ihmisiä joutuu tietovuodon seurauksena alttiiksi identiteettivarkauksille. Tämä poikkeuksellinen tietovuoto herättää monia kysymyksiä ja lainsäädännön muutostarpeita erityisesti henkilötunnusten tunnistekäyttöön liittyen.
Tällä hetkellä henkilötunnus eli yksilön identiteettinumero riittää monissa yhteyksissä mm. verkkokaupassa, Postissa, Patentti- ja rekisterihallituksessa sekä Digi- ja väestötietovirastossa riittäväksi tunnistautumisen välineeksi. Satojen ja jopa tuhansien ihmisten henkilötunnusten paljastuminen verkossa pakottaa meidät pohtimaan pelkän henkilötunnuksen käytön kieltämistä tunnisteena ilman vahvaa tunnistamista.
Tällä hetkellä on mahdollista tehdä ostoksia netissä, hakea lainaa tai pikavippejä ja tilata erilaisia palveluita ilman vahvaa sähköistä tunnistamista. Kaikenlainen luotollinen myynti, tilaaminen ja lainan sekä pikavippien ottaminen niin verkossa kuin muuallakin, jossa käytetään pelkkää nimeä ja henkilötunnusta identifiointiin, tulee kieltää kokonaan. Sen sijaan tulee aina edellyttää vahvaa tunnistamista (mobiilivarmenne, pankin tunnukset tms.).
Tällä hetkellä pelkän henkilötunnuksen varkaudella voidaan aiheuttaa ja on aiheutettu valtavia vahinkoja syyttömille ihmisille. Identiteettivarkaus tulee usein ilmi vasta siinä vaiheessa, kun uhri saa perintäkirjeitä liittyen ostoksiin, joita hän ei tiedä tehneensä, tai lainoihin, joita hän ei tiedä ottaneensa. Tämän jälkeen rikoksen uhri joutuu ottamaan yhteyttä laskuttajiin, tekemään rikosilmoituksen ja maksamaan omaehtoisen luottokiellon hankinnasta, joka sekään ei silti täysin suojaa tietojen väärinkäytökseltä.
Ostoksen tekeminen esimerkiksi verkkokaupassa saattaa siis onnistua tietämällä ainoastaan ihmisen nimi ja henkilötunnus. Myös osoitetieto vaaditaan, mutta toimituksen voi valita muuhunkin osoitteeseen. Joissain tapauksissa tilauksen tekeminen onnistuu pelkkään pakettiautomaattiin ilman kotiosoitetta. Tekijä käyttää tilatessaan usein omaa tai keksittyä sähköpostiosoitetta ja puhelinnumeroaan saaden tällöin noutoilmoituksen ja ensimmäisen laskun itselleen. Uhri yleensä saa tietoonsa tilauksen vasta, kun kotiin tulee luottosopimus, maksumuistutus tai perintäkirje. Tilaus on uhrin nimissä, joten maksuvastuu on lähtökohtaisesti uhrilla ja uhri joutuu selvittämään asiaa, että saa maksuvastuun pois itseltään. Kun henkilötunnus on ammattirikollisen tiedossa, sitä usein käytetään monen eri maksunvälittäjän ostoksissa, pikavipeissä ja lainoissa, jotka kaikki kasaantuvat uhrin nimiin.