Højesteretsdom: Hæftelse for lån optaget ved misbrug af NemID

Du kan optage et lån, som underskrives med dit NemID. Det er smart. Men hæfter du for et lån, som en anden har optaget i dit navn med brug af dine tvangsudleverede NemID-oplysninger?

Den 8. januar 2019 afgjorde Højesteret to sager om hæftelse for lån optaget ved misbrug af to personers NemID’er, hvor begge følte sig tvunget til at udlevere deres NemID-oplysninger - uden at vide, at der skulle optages lån.

Tilfældet A

I det ene tilfælde om den unge mand kaldt A er oplyst dette sagsforløb ved Fogedretten i Horsens:

Ved lånedokument af 3. oktober 2016 blev der optaget et lån hos Basisbank A/S på 49.680 kr. Lånedokumentet blev underskrevet ved brug af As NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med As navn, CPR-nr. og adresse. Basisbank havde med ansøgningen tillige modtaget lønsedler og en årsopgørelse, som senere viste sig at være forfalskede, samt oplysning om en mailadresse, hvortil lånedokumentet kunne sendes.

Provenuet blev udbetalt til As konto i en anden bank.

A har selv afgivet følgende forklaring om hændelsesforløbet ved Fogedretten:

A oplyste, at han har haft en narkogæld på 15.000 kr. Af sælgeren, hvis navn han ikke kender, blev han presset til at udlevere kreditkortoplysninger. Skyldneren skulle udlevere kopi af sit pas, MasterCard til Sparekassen Kronjylland, en kopi af nøglekortet med NemID og koden. A tænkte ikke nærmere over, hvad der ville ske. Han var bare glad for, at gælden på den måde kunne komme ud af verden. Han blev senere klar over, at disse oplysninger er blevet misbrugt bl.a. til at optage et lån i Basisbank A/S. Ved at misbruge hans kreditkortoplysninger er der opstået en gæld på i alt ca. 400.000 kr.

Sagen er under efterforskning hos Sydøstjyllands Politi. Han har supplerende oplyst, at låneprovenuet fra Basisbank blev sat ind på den konto, der var oplyst i låneansøgningen.

Da han udleverede en kopi af sit MasterCard i Sparekassen Kronjylland, var der ingen penge på kontoen. Han har ikke brugt nogen af pengene fra lånet i Basisbank. Pengene må være hævet af sælgeren eller narkobagmændene. Skyldneren bor på et værelse hos sin mor. Han har ikke haft arbejde i 2016 og er på kontanthjælp.

A sørgede ikke for at spærre sit NemID før længe efter. A, der har diagnosen ADD (Attention Deficit Disorder - ADHD uden H for hyperaktivitet - den stille ADHD), har ikke over for Fogedretten afgivet en sammenhængende forklaring, men svaret på spørgsmål med korte sætninger – i flere tilfælde enstavelsesord.

Basisbank havde via Fogedretten og Landsretten krævet lånet indfriet hos A pga. misbrug af hans NemID-oplysninger, der var givet til en anden, hvilke udtrykkeligt skal holdes fortrolige sådan som betingelserne for NemID foreskriver. Basisbank mente sig i god tro, selvom der tidligere havde været eksempler på tvungen misbrug af NemID ved lånoptagelse, og at banken ikke ved optagelsen undersøgte, om det kunne være tilfældet her.

Højesterets dom for A og Basisbank

Højesteret lagde til grund for afgørelsen, at loven sidestiller underskrift med NemID med en fysisk underskrift. Selvom det har vist sig, at en NemID-underskrift kan misbruges til dokumentfalsk - endda uden at skyldneren har givet fuldmagt til det og uden dennes viden om formålet - på en let måde sammenlignet med en skrevet underskrift, har lovgiverne ikke fundet, at der skal skelnes mellem de to former for underskrift. En digital NemID-underskrift er gyldig på lige fod med en skriftlig. Derfor har Højesteret ikke kunnet gøre andet end at give Basisbank medhold i, at lånet skal indfries hos A som følge af grov uagtsomhed. Og det selvom den unge mand har vanskeligt ved at tage initiativ pga. ADD til f.eks. at spærre sit NemID og kontakte banken om sagen - og havde følt sig truet i nogen tid efter.

Tilfældet B

I det andet tilfælde foreligger denne sag fra Fogedretten i Holbæk mod den unge mand kaldt B:

Ved lånedokument af 7. februar 2017 blev der optaget et lån hos Basisbank A/S på 43.200 kr. Lånedokumentet blev underskrevet ved brug af Bs NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med Bs navn, CPR-nr. og adresse og oplysning om en mailadresse, hvortil lånedokumentet kunne fremsendes. Provenuet blev udbetalt til Bs konto i en anden bank.

Basisbank søgte efterfølgende det digitale lånedokument tvangsfuldbyrdet hos B ved Fogedretten i Holbæk.

B afgav denne forklaring til Fogedretten:

Han forklarede …, at han d. 7. februar 2017 blev kontaktet af sine venner på Facebook, C og D (ikke kendt efternavn). De kender en person ved navn ”E”, og denne havde brug for hjælp til at få hævet 40.000 kr. B blev hentet i Kalundborg fra skole og kørt til Holbæk, hvor han mødte ”E” på havnen.

C og D sagde, at han skulle udlevere sit CPR, sit NemID og kontooplysninger. Han fik at vide, at det skulle bruges for, at pengene kunne hæves til E, der skal have dem i kontanter.

Han fik flere gange at vide, at han skulle gøre, som de (D og C) sagde, ”fordi hvis E ikke fik det, som han ville have det, kunne han godt finde på at gøre noget, der ikke er så godt”, eller noget i den retning.

B følte sig truet/presset til at udlevere sine personlige oplysninger, herunder brugernavn og password til NemID. Han hævede 40.000 kr. fra sin konto i Sparekassen Sjælland senere samme dag og gav de 40.000 kr. i kontanter til E. Han fik 3.000 kr. i kontanter for at gøre det, men blev først om aftenen klar over, at det var penge, der var udbetalt via et gældsbrev, der var oprettet i hans navn via internettet. Dette var han ikke klar over, da han gav oplysningerne til D og C. Men om aftenen undrede han sig over, hvor pengene var kommet fra. Det er ikke hans mobil nr., der er anført på gældsbrevet. Han ved ikke, hvem der har det anførte nr. ….

Han havde fået at vide, at det handlede om at ”at få penge ud fra en konto”, og at de skulle bruge hans NemID, for at det kunne lade sig gøre.

Han anmeldte forholdet til politiet næste dag og fremlagde under fogedmødet diverse dokumenter til dokumentation herfor. Han har først modtaget kvittering for anmeldelsen den 6. september 2017, efter at han har rykket politiet for den.

Han har fået oplyst, at sagen er overgivet til efterforskning i Roskilde politis afdeling for økonomisk kriminalitet. Men han har ikke kunnet få kontakt til denne afdeling den seneste uge, hvor han har forsøgt at få at vide, hvor langt sagen er nået.

B kender andre, der har været udsat for samme hændelsesforløb. Det er ….

Fogedretten i Holbæk traf afgørelse den 22. september 2017. Fogedretten nægtede at fremme begæringen om udlæg, og i afgørelsen anføres det bl.a.:

B har i fogedretten under strafansvar afgivet en detaljeret forklaring om forløbet d. 7. februar 2017, og at han ikke var vidende om, at hans personlige oplysninger i relation til NemID blev anvendt til at oprette et gældsbrev i hans navn. Hans forklaring i retten støttes af de oplysninger, han har givet over for politiet, da han anmeldte forholdet dagen efter hændelsen, dvs. d. 8. februar 2017, hvilket er dokumenteret ved fremlæggelse af mail.

På baggrund heraf finder fogedretten det betænkeligt at fremme sagen på baggrund af det fremlagte digitale gældsbrev, jf. Rpl. § 501, stk. 1.

Basisbank kærede fogedrettens afgørelse til Østre Landsret, som den 14. december 2017 ophævede afgørelsen og hjemviste sagen med henblik på fremme af udlægsforretningen. I landsrettens afgørelse anføres det bl.a.:

B har i fogedretten forklaret, at han udleverede sit CPR-nr. og NemID, herunder brugernavn og password, til to venner fra Facebook, og at han fik at vide, at oplysningerne skulle bruges til at hæve 40.000 kr., som en ham ukendt person ved navn E havde brug for hjælp til at få hævet. Han har endvidere forklaret, at han følte sig truet til at udlevere de nævnte oplysninger, og at han senere samme dag fra sin konto hævede 40.000 kr., som han gav til E i kontanter, hvorefter han fik 3.000 kr. Landsretten finder, at B ved at udlevere de nævnte oplysninger og ved – uanset at han efter sin forklaring havde følt sig truet til at udlevere oplysningerne – senere samme dag at hæve 40.000 kr. og udlevere til E uden forinden at foranstalte nærmere undersøgelse af, hvorfra dette beløb, der stod på hans konto, stammede, har udvist en sådan grad af uagtsomhed, at han i forhold til Basisbank A/S hæfter for låneoptagelsen.

B anførte især, at han ikke selv optog lånet eller gav samtykke til det, hvorfor han ikke er skyldner for lånet. Da han hævede pengene, var han ikke klar at det var penge fra et lån, men troede at de var trukket ud af et konkursramt firma. Han tænkte ikke på, at de udleverede NemID-oplysninger kunne benyttes til låntagning i den størrelsesorden. Da han stadig i de første timer efter udleveringen var omgivet af gerningsmanden og dennes tilhængere, følte han sig stadig truet af vold.

Han tilhører en gruppe af ressourcesvage borgere i samfundet, som ikke er i stand til at varetage egne interesser i forbindelse med brugen af digital signatur. Denne gruppes retssikkerhed er truet af NemID-systemet, som har vist sig at være langt lettere at misbruge end det tidligere system med personlig underskrift.

Basisbank var bekendt med, at den form for bedrageri, som han blev udsat for, fandt sted igen og igen. Til trods for, at Basisbank sad inde med denne viden, gjorde banken intet forsøg på at verificere identiteten på låntagerne. Basisbank udviste herved et vist mål af egen skyld. Ved den lemfældige forretningsgang holdt Basisbank sig desuden for egen vindings skyld i bevidst uvidenhed om svig. Da Basisbank burde have indset, at den erklæring, som blev afgivet over for Basisbank i forbindelse med låntagningen, kunne være fremkaldt ved svig fra tredjemands side, og da Basisbank intet gjorde for at afkræfte dette, er erklæringen ikke bindende for afgiveren.

Højesterets dom for B og Basisbank

Ligesom i tilfældet A argumenterede Højesteret for, at Basisbank kan gøre udlæg, idet der er tale om grov uagtsomhed ved udleveringen af NemID-oplysningerne, og at B endda selv havde hævet pengene.

Konsekvenser

Lovgivningen tager ikke hensyn til, at ressourcesvage personer ikke kan modstå tvangsudlevering af NemID-oplysninger og heller ikke sørge for spærring af NemID’et og hurtig underretning af bank og politi.

Som digitaliseringen af samfundet er i dag, skal flest mulige mennesker have en digital signatur for at gennemføre økonomiske og juridiske transaktioner. Ikke alle kan honorere dette til fulde. Det er disse to mennesker kommet til at lide under. De skal betale pengene tilbage. Havde lovgiverne været opmærksom på, at nye former for kriminalitet kan begås ved tvang, som det vil kunne ske ved den omsiggribende digitalisering, kunne de have taget højde for denne situation. Om det vil kunne lade sig gøre uden at svække gyldigheden af NemID er spørgsmålet. Måske handler det for bankerne om at indføre en procedure for bekræftelse af låntagning hos ansøgeren.

Hvordan kan du sikre dig?

Er der nogen måde at sikre sig mod optagelse af lån i ens navn, hvis du bliver tvunget til at give sine NemID-oplysninger fra dig?

Der findes faktisk en sikring mod dette, som du selv skal tilmelde dig. Den kaldes kreditadvarsel. 

Man kan blive markeret i CPR-registret med en kreditadvarsel. Alle finansielle institutioner og firmaer, der udbyder lån og kreditter, kan trække på denne oplysning i CPR-registret. Det betyder, at hvis nogen vil købe en mobiltelefon på afbetaling, kan vedkommende blive afvist, hvis CPR-nummeret, kørekortnummeret eller pasnummeret er mærket dér med kreditadvarsel. 

Sådan gør du

Det er ret let at blive markeret med kreditadvarsel i CPR-registret. Du kan selv gøre det enten via www.borger.dk eller ved at møde op i borgerservice hos kommunen. 

På www.borger.dk kan du søge efter kreditadvarsel i søgefeltet i øverste, højre hjørne og vælge det første punkt blandt de fire søgeresultater. Eller du kan klikke på linket herunder, som fører dig direkte dertil: 

https://www.borger.dk/internet-og-sikkerhed/identitetstyveri/kreditadvarsel

Her kan læse mere om, hvad kreditadvarsel medfører, og du kan markere kreditadvarsel for dig selv dér. Du skal være klar over, at er du markeret med kreditadvarsel i CPR-registret, kan du få meget svært ved at optage lån selv. Men du vil altid forud for låntagning selv kunne fjerne markeringen kreditadvarsel igen. Det er lige så let at fjerne den igen som at oprette den. 

Og så må du håbe, at en kriminel, der har dine NemID-oplysninger, ikke kender til denne sikring, så han ikke ophæver den. 

Benyt NemID-nøgleappen

Digitaliseringsstyrelsen gav i 2018 mulighed for at benytte tofaktorautentificering med NemID ved, at der kan logges på websteder, der benytter NemID, med en app på mobiltelefonen eller tabletten. Hvis nogen anden optager et lån i dit navn, og du benytter appen, vil du få det at vide og kun kunne godkende det via appen. Du får endda at vide, på hvilket websted det sker. Læs mere om nøglekort-appen her.

Følger af den omsiggribende digitalisering i samfundet for kriminaliteten

Hvis samfundet inden for nogle få år går helt ind for digitale penge og dermed helt bort fra kontanter, hvilke former for berigelseskriminalitet vil der da kunne finde sted?

Bankerne argumenterer for det kontantløse samfund med, at berigelseskriminalitet vil blive meget vanskelig, at man altid kan følge pengene, hvis der ikke kan finde anonyme pengeoverførsler sted.

Men forsvinder de kriminelle elementer så fra samfundet?

Bliver de tvunget til at benytte lovlige måder at skaffe sig penge på - f.eks. ved traditionelt arbejde, kontanthjælp eller arbejdsløshedsunderstøttelse? Eller vil vi opleve desperate kriminelle, der begår kriminalitet á la hjemmerøverier mod formuende mennesker med trusler om vold og det, der er værre, overfor deres familie til følge?

Dette kan de gøre for at tvinge dem til at købe fysiske ting til dem, f.eks. en bil, dyre ting i butikker, narkotiske stoffer eller anonym kryptovaluta. Ting købt på denne måde vil kunne sælges som hælervarer via eBay, Den Blå Avis og personligt via MobilePay, hvorved den kriminelle alligevel får penge ud af det. Men pengene vil kunne følges. Alle aftagere af hælervarer vil kunne findes. Vi ser allerede i dag udbredt svindel med lækkede kreditkortoplysninger, så der kan købes varer og tjenesteydelser via nettet overalt i verden.

Selv køb af anonym kryptovaluta vil fremover kunne følges, for SKAT ser ud til at få mulighed for at få oplyst navn, adresse og CPR-nr. på dem, der har købt og solgt kryptovalutaer via de danske kryptovalutabørser. Og kan SKAT det, så kan politiet vel også få fat på disse oplysninger. Dermed vil kryptovalutategnebøger ikke længere være anonyme, og den kriminelle aktivitet via disse vil kunne følges af myndighederne. Myndighederne vil sikkert gøre, hvad de kan for at gøre alle pengetransaktioner sporbare og personerne bag kendte.

Hvis du vil vide mere

Hvis du vil vide mere om IT-sikkerhed for den almindelige borgere, kan jeg henvise til bogen "Bliv sikker på nettet", der udkom i november 2018. Den kommer ind på mange aspekter af sikkerhed vedrørende NemID:

• Side 161-163: NemID-phishing
• Side 163-164: Phishing efter NemID-koder via netbank
• Side 164-165: Netbanksangreb via man-in-the-browser-teknikker
• Side 231-239: Kapitel 17 - NemID og hacking
• Side 233: Er NemID sikker?
• Side 234-239: Gode råd til hvordan du undgår at dit NemID bliver hacket

Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet". 

Kilder: Højesteret: A's sag og Højesteret: B's sag.