Flere oplyser på LinkedIn, at de som kunder i Danske Bank er blevet kontaktet af banken og bedt om at oplyse deres CPR-nummer. Vel at mærke uden at personen fra banken har legitimeret sig på anden vis end at hævde at være fra banken.
Akkurat som en kriminel phisher ville gøre det. Der er dog umiddelbart tale om legitime opkald fra banken.
»Det lød for mig som noget, der lige så godt kunne være en fake henvendelse, så jeg nægtede at oplyse mit CPR-nummer og bad dem skrive til mig i min netbank,« skriver Danske Bank-kunde og GDPR-specialist Hanne Laursen på Linkedin.
Det er problematisk, at banken beder om CPR, idet den i det konkrete tilfælde ikke legitimerer sig selv overhovedet.
Det eneste, der indikerer, at der kan være tale om en legitim bankmedarbejder, er telefonnummeret, der ringes fra.
Sådan et nummer kan imidlertid forfalskes uden de store problemer, hvilket Version2 tidligere har demonstreret.
Vil ikke sige sit navn
Hanne Laursen fortæller nærmere til Version2 om samtalen, hvor hun blev ringet op af banken.
»Jeg får fat i en ung medarbejder, der ikke vil sige, hvad vedkommende hedder,« siger Hanne Laursen. Opkaldet sluttes derfor, inden banken får oplysningerne, den var ude efter, og lidt efter bliver Hanne Laursen ringet op af en anden medarbejder hos Danske Bank.
Denne mandlige medarbejder oplyser heller ikke sit navn til hende, men forklarer, at rundringningen skyldes nye hvidvaskregler, som de danske banker er blevet underlagt efter en lang række skandaler, hvor bankerne gang på gang har vist, at de ikke har nok styr på, hvem deres kunder er, og ikke formår at forhindre, at de som banker bruges til hvidvask.
Mail var ikke klar
Bank-medarbejderen fortæller også Hanne Laursen, at der skulle være blevet sendt en adviseringsmail. Denne var imidlertid ikke lige blevet færdig, men »nu, hvor telefoninterviewerne var mødt ind, måtte de hellere se at få dem i gang med det samme«, som Hanne Laursen refererer samtalen.
Da Hanne Laursen foreslår, at det foregår sikkert over netbank - og dermed bag NemID - siger medarbejderen ifølge Hanne Laursen, at »de skulle jo se at blive færdig med den her opgave, så de kunne ikke vente på, at folk svarede i netbank«.
Hanne Laursen spørger herefter til, hvordan Danske Bank mener, banken har opfyldt oplysningspligten forbundet med GDPR under kampagnen.
Her henvises hun til en nyhed inde på Danske Banks hjemmeside. Version2 har desuden været i kontakt med banken, som henviser til samme link.
Gør kunder sårbare overfor fremtidige angreb
Når banken kan finde på at ringe op og spørge kunder om CPR, så kan det i værste fald vænne folk til, at det er 'OK' at oplyse CPR over telefonen uden reelt at vide, hvem der er i den anden ende af røret.
Og den situation kan selvsagt udnyttes af kriminelle til at franarre folk deres personlige oplysninger.
I denne sammenhæng bør det nævnes, at både antallet af og udbyttet fra økonomiske svindelangreb mod netbankerne i Danmark stiger markant for tiden. Det fremgår af tal fra Finans Danmarks kvartalsvise opgørelse over e-svindel.
Version2 har bedt Datatilsynet forholde sig til sagens omstændigheder rent GDPR-principielt.
Tilsynet vil ikke udtale sig om enkeltsager, men oplyser til Version2, at man på baggrund af sagen vil tage stilling til fænomenet generelt - altså proceduren med at kræve fortrolige personoplysninger over telefonen uden at legitimere sig, samt at anvende CPR-nummeret som autentifikation.
Kommer an på, hvem der ringer op
Danske Bank selv beklager først og fremmest, at Hanne Laursen har haft så dårlig en oplevelse med rundringningen.
En oplevelse, der deles af flere andre, der har svaret på Laursens opslag på LinkedIn.
Danske Bank har ikke ønsket at stille op til interview om sagen. Banken oplyser, at man ikke ønsker at udtale sig om konkrete kundesager, og det har derfor ikke været muligt at få banken til hverken at be- eller afkræfte forløbet, som Hanne Laursen beskriver.
»Vi har en fuldstændig og klar politik om, at Danske Bank ikke ringer kunder op og beder om deres CPR-nummer, pinkoder, NemID-koder og lignende. Det er noget, vi tager meget seriøst. Men det er vigtigt at skelne mellem, om det er banken eller kunden, der ringer op,« skriver pressemedarbejder hos Danske Bank Morten Herrup Poulsen i en mail.
»Når vi ringer op til kunder, så spørger vi aldrig om CPR-nummer. Men ringer kunden derimod til os, f.eks. efter vi har lagt en telefonbesked, bruger vi CPR-nummer til at identificere kunden. Vi må ikke kommentere på den konkrete sag, men hvis vi har begået fejl, så beklager vi meget,« slutter pressemedarbejderen.
Opfordrer til forsoningsmøde
Mens banken ikke ønsker at forklare sagens detaljer over for Version2, inviterer banken på LinkedIn Hanne Laursen til kaffemøde med ‘en der har lidt mere forstand på dette’.
»Hej Hanne Biehl Laursen (...). Hvis du har lyst, vil jeg gerne byde på en kop kaffe med dem fra banken, som har lidt mere forstand på dette, end jeg har,« skriver John Veje, der er kommunikationschef i Danske Bank som et svar på Hanne Laursens opslag på LinkedIn.
»Jeg er sikker på, at vi kan lære af din oplevelse og forhåbentlig også forklare lidt bedre, hvordan vi forsøger at løse opgaven bedst muligt. Hvis det har din interesse, er du velkommen til at kontakte mig,« slutter kommunikationschefen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
