NemID-systemet er solgt som en løsning, der kobler danskernes CPR-nummer med deres bankkonti. Men systemet er langtfra bombesikkert.

En mand oplevede, at kriminelle oprettede en ny konto og angav den som hans NemKonto. Det skete, uden at manden fik besked. Derefter blev hans pension på lidt over 12.000 kroner indbetalt på den fremmede konto.

De kriminelle optog også et lån på 40.000 kroner, hvor pengene gik til den fremmede konto. Nu hæfter manden for beløbet. Det fremgår af en sag i det finansielle ankenævn.

- Sikkerheden kunne forbedres, hvis folk fik besked, når der sker noget med deres NemKonto eller NemID. Man er nødt til at hæve barren, så folk kan opdage, når der foregår noget mistænkeligt, siger Jacob Herbst, der er medejer af it-sikkerhedsfirmaet Dubex.

Flere om samme NemKonto

Det er statens Digitaliseringsstyrelse, der har ansvaret for NemKonto. Styrelsen skriver på sin hjemmeside, at systemet ”kobler CPR-nummer med den bankkonto, som borgeren har valgt som NemKonto.”

Men i virkeligheden kan man godt gøre en anden persons konto til sin NemKonto. For eksempel kan en kvinde vælge, at hendes ægtefælles konto skal være hendes NemKonto. Den mulighed udnytter de kriminelle.

Manden var kunde i Danske Bank. Svindlerne oprettede en ny konto i Nykredit Bank og gjorde den til hans NemKonto.

Det kræver digital signatur eller NemID at ændre NemKonto. Det er uvist, hvordan svindlerne har fået fat i de oplysninger. Men det kan for eksempel være sket ved afluring på et bibliotek og brug af udstyr, der optager tastetryk.

Pas på nøglen til nøgleskabet

I Danmark er mange it-systemer koblet op på NemID, både i banker, på sundhed.dk og eksempelvis kontakt med kommunen. Dermed kan man bruge det til at begå det ultimative identitetstyveri, advarer Jacob Herbst.

- Vi vil gerne gøre det let at benytte selvbetjeningsløsningerne, og derfor er meget koblet sammen med NemID. Men det er ligesom, at hvis du har et nøgleskab med en masse nøgler i, så skal du passe rigtigt godt på nøglen til nøgleskabet, siger Jacob Herbst.

- Derfor kunne der være brug for en løsning a la, hvad Google har. Hvis en fremmed computer forsøger at logge på din Google-konto, så får du for en sikkerheds skyld en mail fra Google om, hvad der er sket.

Vigtigt med fleksibilitet

Direktionssekretær Andreas Espersen fra Digitaliseringsstyrelsen, understreger, at det skal være fleksibelt at bruge NemKonto. Derfor er der eksempelvis mulighed for, at ægtefæller benytter den samme konto, og derved får begge deres lønninger ind samme sted.

- Det er vigtigt at bevare borgernes mulighed for selvbestemmelse og selvbetjening ved, at de selv kan vælge og ændre deres NemKonto, siger Andreas Espersen.

- Hvis en fremmed uden brugerens viden tilegner sig hans eller hendes NemKonto, er det identitetstyveri og dermed en kriminel handling. Vi arbejder først og fremmest på at begrænse snyd med  og misbrug af NemID, fortæller Andreas Espersen.