Ny dom: Du hænger på lån underskrevet med et stjålet NemID

Illustration: mkabakov/Bigstock
To personer, som har fået misbrugt deres NemID til at optage lån i Basisbank i deres navne, hænger nu på gælden, selv om de ikke selv tilføjede underskrifterne. Det har Højesteret fastslået.

Højesteret har stadfæstet en dom fra Landsretten, som siger at to personer hænger på gælden, efter andre har brugt deres NemID til at tage lån ud i deres navn. Det fremgår af en afgørelse på Højesterets hjemmeside.

Personerne, som omtales som A og B i afgørelsen, har ifølge Højesteret ikke gjort nok for at forhindre, at deres NemID blev misbrugt.

»Højesteret tiltrådte herefter af de grunde, der var anført af landsretten, at A og B havde udvist en sådan grad af uagtsomhed, at de i forhold til Basisbank hæftede for låne­op­tagelserne på aftaleretligt grund­lag, selv om underskrifterne ikke var tilføjet digitalt af dem selv,« fremgår det af Højesterets hjemmeside.

Truet til at udlevere NemID og login

Både A og B har sagt, at de blev truet med vold til at udlevere NemID, CPR-nummer og kode. B anmeldte episoden til politiet dagen efter, mens det i A’s tilfælde tog længere tid.

Advokaten for A og B, Linda Lange Kastholm, anfører, at NemID gør det lettere for kriminelle at optage lån i andres navn. Ifølge hende udgør NemID en decideret trussel for resursesvage borgeres retssikkerhed, fremgår det af sagen:

»Han (B -red.) tilhører en gruppe af ressourcesvage borgere i samfundet, som ikke er i stand til at varetage egne interesser i forbindelse med brugen af digital signatur. Denne gruppes retssikkerhed er truet af NemID-systemet, som har vist sig at være langt lettere at misbruge end det tidligere system med personlig underskrift. «

En lignende passage optræder i kendelsen for sagen med A.

Baseret på vurdering af den enkelte sag

Højesteret skriver i kendelsen, at man i udgangspunktet ikke kan holdes ansvarlig for, at ens NemID bliver misbrugt, men at man under bestemte omstændigheder, blandt andet uagtsomhed, kan komme til at stå til ansvar for den aftale, der er blevet indgået.

»Afgørelsen af, om indehaveren bliver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens digitale signatur, må træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb. I denne vurdering indgår bl.a., under hvilke omstændigheder tredjemand er kommet i besiddelse af indehaverens nøgle (brugernavn, adgangskode og nøglekort til NemID), om indehaveren har haft kendskab til, at tredjemand er kommet i besiddelse af de pågældende oplysninger, og om indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at spærre sit NemID så hurtigt som muligt,« skriver Højesteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Karsten Garborg

Det løser ikke problemet med NemID, men det er da tankevækkende, at man kan optage lån blot med et papkort og en PC skærm. Måske man skulle genoverveje hvordan NemID bruges, da dette ikke engang dækker over man-in-the-middle angreb (som Version2 afdækkede forrige år), men blot simple trusler.

Simon Mikkelsen

Man kan også sælge et hus og gøre meget andet.

Dommene tyder på at man skal anmelde en sådan trusel så snart det overhovedet er muligt for at slippe.

Måske burde långiver ikke kunne slippe så let. Det kunne kræve at man bekræfter et lån et døgn efter, eller at pengene først udbetales efter 24 timer. Det vil samtidig gøre livet mere surt for de kviklån som slet ikke burde være lovlige.

I begge tilfælde var der tale om kviklån. Generelt om disse firmaer er, at de lokker folk ud i gæld og trækker årgerrenter samtidig med at de spille uskyldige banker der hjælper folk. I dette tilfælde har de gjort det så let at låne penge, at NemId-afpræsning er en gangbar form for kriminalitet, som de tjener penge på - og den kører de helt til højesteret!

René Nielsen

at man kan optage lån blot med et papkort og en PC skærm

Når man læser sagerne på højesterets hjemmeside, er det basalt set, er det en variant af ”hit med dankort og pinkoden” med afpresning/trusler om vold.

Bevares der bliver fremstillet falske lønsedler som bruges til låneoptagelse og at udlevering af nemid, koder, mastercard med mere skete som betaling for narkogæld.

Men grundlæggende har banken været passiv over kontrol af ID/lånegrundlag og det er nok et spørgsmål om sagerne ikke var faldet anderledes ud, hvis de to ”ofre” straks havde spærret deres Nem-ID – efter løsladelse fra deres ”tilfangetagelse”.

Det er i dag let at kopierer lønsedler, kreditkort, pas og alt muligt andet. Når så en bank accepterer kopier (af falske lønsedler) uploadet via en eller anden portal og samtidig udbetaler pengene til en konto banken ikke kontroller, ja så bør banken (i min optik) ikke nyde nogen særlig retslig beskyttelse.

I den ene sag af de to sager blev der udbetalt mere end DKK 400.000 til en angivelig narkojunkie. Det er jo det rene spild af retssystemets ressourcer, for banken ser jo aldrig de penge igen – uanset at om banken vinder sagen eller ej.

Bjarne Nielsen

Her er der angiveligt tale om ressourcesvage personer, som vi som samfund først mere eller mindre tvinger til at have NemID, og som vi bagefter smider under bussen, når det viser sig, at de ikke kan forvalte det.

De burde slet ikke have et NemID, når de kan blive ofte for den slags afpresning, og når de helt åbenlyst ikke er i stand til at gennemskue, at "deres NemID skal øjeblikkeligt skal spærres ved misbrug". Specielt hæfter jeg med ved, at hændelsen er blevet anmeldt til politiet for den enes vedkommende dagen efter, men man baserer sig stadig på, at NemID ikke blev spærret.

Alternativt så kunne vi kigge på reglerne for, hvornår man ifalder ansvar, så der også blev taget hensyn til de ressourcesvage.

Gert Madsen

men det er da tankevækkende, at man kan optage lån blot med et papkort og en PC skærm.


Ja, man havde opbygget en erfaringsbaseret tradition i papirverdenen, som hang sammen med betydningen af den operation man foretog.
Det pissede man ud, med indførelsen af NemID, fordi det skulle være "nemt".
Det egentlige problem er, at det faktisk ikke skal være nemt, at gældsætte sig alvorligt, eller at handle fast ejendom.

Simon Rigét

Før i tiden skulle man ”identificere sig”, Nu er det nok at ”identificere” (nogen)

Det bekymrer mig at højesteret tillader sådant et skred i borgernes retssikkerhed.

Der er måske nogle dommere der har svært ved at forestille, sig at samfundet kan fungerer uden at NemID, træder i stedet for personen selv?
Og dertil lægger de, at det er den enkelte borger, selv må bære byrden, af bankens fejlagtige personidentifikation!

Dette er både et udtryk for et skred i retsikkerhesprincipper, mangel på fantasi, og mangel på hjerte.

Klavs Klavsen

Specielt hæfter jeg med ved, at hændelsen er blevet anmeldt til politiet for den enes vedkommende dagen efter, men man baserer sig stadig på, at NemID ikke blev spærret.

Enig. Det BURDE være noget politiet så sørgede for blev spærret. Det kan simpelthen ikke passe at borgerne SKAL vide ALT.. Det er ikke brugervenligt og mange kan ikke regne ud at de skal have en lang checkliste af ting og der er sku sjældent meget hjælp at hente fra det offentlige - der oftest ikke selv har styr på noget som helst.

Brugervenligheden burde være i højsædet - også når det gælder denne slags sager, istedet for at den bare kan tørres af på borgerne "der burde vide at A ikke er nok.. man skal også lige.. "

Har politiet overhovedet fortalt dem der anmeldte tyveri af NemID - at de SKAL spærre det selv?

bent madsen

Det er min vurdering at Højesteret åbenbart ikke haft kvalificeret IT assistance, inden dommen blev afsagt. Og det er jo HELT uforståelig.

Man-in-the-middle og NemID har jo været kendt fra flere år tilbage. Det er p.t. delvis afhjulpet med NemID appen hvorved Man-in-the-middle ikke er muligt efter min vurdering.
Men så længe nøglekortet eksisterer er Man-in-the-middle stadigvæk noget som man burde tage hensyn til om der er anvendt nøglekort ved transaktionen eller ej.

Men hvis en borger påstår at være blevet truet til at udlevere nøglekort evt. device med NemID appen. Så bør det efter min mening skulle håndteres som i andre tilfælde hvor borgen har været under tvang. I andre tilfælde hvor borgeren har handlet under tvang dømmes borgeren nemlig IKKE for deres handlinger under tvang. Det er godt udgangspunkt for retssikkerheden for borgen.
At den manglende spærring af konti er nok til en hæftelse for optagelse af et lån/kredit, er efter min mening ikke nok til at konkludere at borgen har været i ond tro, borgeren kan jo stadivæk handle under tvang/trusler, her hjælper længere tidsfrister jo ikke.

Borgernes brug sikkerhedsforanstaltninger på eget IT-udstyr er jo meget individuelt, det åbner jo også for mange mulighederne for at "snuppe" alle personfølsomme/relaterbare information hos brugerne.
Der bør laves en individuel vurdering om borgerens individuelle håndtering af eget IT udstyr.
Ja det er ikke nemt at gøre, men Højesteret må jo heller ikke blive til en juridisk pølsefabrik hovedsagligt til gavn for banker og kreditselskaber.

Håber at der er gang i alle nødvendig overvejelser i forbindelse MitID, og at så mange af de kendte udfordringer med nuværende Nem-ID bliver visteret, og der bliver lavet løsninger på det. Ikke mindst bør der i den visitering bl.a. sikret at lovgivningen bliver opdateret til at håndtere den virkelige digitaleverden vi lever i.

Tommy Calstrup

Man ved hvilken Nem-ID, der er brugt til at optage lånene, man ved hvilken konto pengene er overført til, og med en enkelt opringning, kunne politiet have fået banken til, at oplyse kontohaverens navn og adresse m.m.
Det må da være kontoindehaveren, der har fået lånet udbetalt, der har et forklaringsproblem her, og ikke en hårdt belastet junkie, der har mistet sit nøglekort.
Hvordan kan långiver overhovedet udbetale lånet, til en nem-konto, som ikke tilhører låntager, uden at stille krtiske spørgsmål? Har långiver overhovedet styr på hvem, der optager lån hos dem?

Simon Rigét

Det er min vurdering at Højesteret åbenbart ikke haft kvalificeret IT assistance, inden dommen blev afsagt. Og det er jo HELT uforståelig.

Jeg mener ikke det handler så meget om NemID og dets mangler, selvom det er en god debat :)

Det er for mig at se er bekymrende, er det pragmatisk skred i princippet om at:

Det er den der foretager en handling, der hæfter for den

til

Det er den man udgiver sig for at være, der hæfter for den

Simon Rigét

Det må da være kontoindehaveren, der har fået lånet udbetalt, der har et forklaringsproblem her,

Banken har lånt 400.000Kr til personen C, der udgiver sig for at være A.

Det er bevist at banke tog fejl, da de skulle sikre sig hvem de lånte deres penge til.

Det besynderlige i højesterets dom er, at det er A og ikke banken, der må bære risikoen, for at pengene ikke kan indrives.

jesper hested

Jeg har selv været meget betænkelig ved NemId, Identitetstyveri ect. Men der er rent faktisk en nem løsning!
En løsning alle burde benytte sig af, en løsning der i langt større udstrækning burde tilbydes åbenlyst udsatte borgere.
Og løsningen kommer her:
www.borger.dk, Internet og Sikkerhed, Identitetstyveri, Kreditadvarsel ............., her sættes et lille flueben, og vupti, nu er det nærmest umuligt at benytte/stjæle andres NemIde med hurtige lån, køb af elektronik ........ ect.

Naturligvis kan tyven også her gå ind og fjerne fluebenet, men så har du som borger gjort hvad du kan og du har en konkret dato for, hvornår denne ændring er foretaget!

Har selv sat fluebenet, glemte det, ville benytte et godt tilbud hos Profiloptik, men blev afvist, da jeg havde sat en kreditadvarsel ind.

Iøvrigt er det godt forklaret under Borger.dk, ................ Kreditadvarsel.

Mvh og god dag
Jersper Anker H

René Nielsen

Det er min vurdering at Højesteret åbenbart ikke haft kvalificeret IT assistance, inden dommen blev afsagt.


Qua mit job, er jeg med et par års mellemrum i kontakt med retssystemet og det er min faste overbevisning af landets dommere sætter en ære i - ikke at VILLE forstå hvordan IT fungerer.

Dommerstanden holder fast i den "analoge verden" UANSET at dette er åbenlys forkert i forhold til den forlagte tvist såvel som de forretningsprocesser som IT'en understøtter.

Personligt har jeg vanskeligt ved at tro at en tvist bliver løst juridisk korrekt, når man læser dommen og det rodes massivt rundt i basal IT.

Jörn Martin Hajek

Hvorfor står der i overskriften

"Ny dom: Du hænger på lån underskrevet med et stjålet NemID"

når der i teksten står

"Højesteret skriver i kendelsen, at man i udgangspunktet ikke kan holdes ansvarlig for, at ens NemID bliver misbrugt"?

Det bliver lidt clickbaity, det her...

Niels Elgaard Larsen

Jeg fatter HAT!

Man ved hvilken Nem-ID, der er brugt til at optage lånene, man ved hvilken konto pengene er overført til, og med en enkelt opringning, kunne politiet have fået banken til, at oplyse kontohaverens navn og adresse m.m.

I alt fald i den første sag gik pengene fra lånet ind på hans egen konto.
Men han havde allerede overdraget et mastercard, der kunne hæve fra den konto.

Den tiltatle forklarede i retten:

A tænkte ikke nærmere over, hvad der ville ske. Han var bare
glad for, at gælden på den måde kunne komme ud af verden.

Så der har været en narkogæld, og den er kommet ud af verden ved at der er optaget et lån i banken.

Basisbank anførte.

Han har ikke løftet bevisbyrden for, at han blev tvunget til at udlevere Nem-ID-oplysningerne, men selv hvis dette var tilfældet, burde han i henhold til aftalelovens § 28, stk. 2, have reageret uden ugrundet ophold efter, at tvangen var ophørt, hvis han ønskede at
påberåbe sig tvangen

Så han har, formodentlig under tvang, lånt pengene og fået sin narkogæld ud af verden. Måske har han ikke været ret ivrig efter at hjælpe politiet med at pågribe dem, der har røvet ham. Måske mener dommerne, at enten har der slet ikke været et røveri, eller også har han med vilje ventet med at spærre sit nemId og mastercard for at give andre tid til at hæve pengene fra lånet, for hvis han havde gjort det med det samme, ville han stadig have en narkogæld i stedet for en bankgæld.

Men naturligvis er det tosset at banken bare lader en mand, der bor på et værelse hos sin mor og er på kontanthjælp, opbygge en gæld på 400000 kr på en dags tid.

Bjarne Nielsen

Tror I så, I de alvidende læsere af Version2.dk, der under fanen:
Pas på dit NemID

Hmm. Det tog mig overraskende lang tid at finde "Pas på dit NemID", selvom jeg kun kom på siden for at se det.

Jeg kiggede først midt på siden. Så kiggede på de andre fremhævede elementer. Derefter undersøgte jeg, hvad der mon gemte sig under cookie-banneret.

Det er godt nok den mest diskrete fane, som jeg har set i lang tid (grå tekst på hvid baggrund uden rammer eller anden fremhævning). Det er kun fordi, at man kommer i tvivl om, hvorvidt det er pynt, og fordi den diskret skifter farve, at jeg - som rutineret IT-bruger - fandt på at prøve på at klikke på den (og så også fordi, at det var den, som Jan havde udpeget, ellers havde jeg nok prøvet noget andet, som f.eks. "Selvbetjening").

Jeg vil faktisk opfordre øvrige "alvidende læsere" at prøver at finde det sted, hvor man kan spærret sit NemID, hvis det er blevet kompromiteret (altså ikke phishing eller tabt nøglekort, for det har man stadigvæk og hvem ved hvad "phishing" er?). Det kan lade sig gøre, men det kræver en del fantasi.

Vi gør det ikke nemt.

Frank Jumppanen Andersen

Det besynderlige i højesterets dom er, at det er A og ikke banken, der må bære risikoen, for at pengene ikke kan indrives.


Det er konsekvensen af at A ikke har gjort noget for at lukke adgangen! Vi lovgiver meget sjældent efter laveste fælles nævner... Miljøbeskrivelsen i øvrigt kunne antyde, at det ikke var helt udelukket at A havde 'solgt' muligheden ...

Louise Klint

Nej, Jan Heisterberg, det skal ikke være nemt :)

Den ressourcesvage og alle andre skal (på den side, du har linket til) finde vej til:
”NemID Nøglekort” og derefter ”Jeg har mistet mit nøglekort”.
Så kommer man hertil:
https://service.nemid.nu/dk-da/nemid/noeglekort/mistet_noeglekort/index....

Hvis du har mistet dit nøglekort, skal du spærre det, så andre ikke kan bruge det.
Du spærrer dit nøglekort ved at logge ind med dit NemID bruger-id og adgangskode.

Spørgsmålet er så, om dette er nok?

At spærre nøglekortet.
I givne tilfælde og generelt.

(Jeg ved det ikke).

Bjarne Nielsen

Det er konsekvensen af at A ikke har gjort noget for at lukke adgangen!

Nu har vi netop dommere, og ikke AI og digitaliseringsklar lovgivning, fordi at der kan være mange forhold, som kan spille ind i vurderingen. Det kan godt være at vi i den konkrete situation burde kunne forvente mere af A, og at det har spillet en betydende rolle.

Jeg hæfter mig nu stadig ved, at B efter sigende kontaktede politiet dagen efter, uden at det tilsyneladende gjorde nogen forskel.

Maciej Szeliga

Hvorfor står der i overskriften

"Ny dom: Du hænger på lån underskrevet med et stjålet NemID"

når der i teksten står

"Højesteret skriver i kendelsen, at man i udgangspunktet ikke kan holdes ansvarlig for, at ens NemID bliver misbrugt"?

Det bliver lidt clickbaity, det her...


Egentlig ikke - for en gangs skyld.
En højsteretsdom kan man referere til i enhver lign. sag og det vil være et relevant argument for at udfaldet skal være som højsteretsdommen.

At hele sagen bare påviser at digital sikkerhed stort set intet er værd fordi en skruenøgle slår hårdere end digital sikkerhed beskytter (jf. XKCD stribe om krypterede harddiske https://xkcd.com/538/ ) er en anden sag som POLITIKERNE måske burde begynde at fatte.

Maciej Szeliga

Spørgsmålet er så, om dette er nok?

At spærre nøglekortet.
I givne tilfælde og generelt.


...men forbryderen vil som noget af det første skifte koden så NemID ikke kan spærres, derefter ændrer han adressen... og i øvrigt hvis du spærrer kommer han bare tilbage og klipper et par fingre af dig med en boltesaks.
...og afh. af hvem forbryderen er så klipper han også lidt i din kone og børn bare for at give dig et hint.

Henrik Madsen

Det er for mig at se er bekymrende, er det pragmatisk skred i princippet om at:

Det er den der foretager en handling, der hæfter for den

til

Det er den man udgiver sig for at være, der hæfter for den

Men det kan vel ikke komme som noget stort chok at man nu, endnu et sted vælger at vippe det hele rundt.

Hvis min bil, som jeg lovligt kan låne ud til "Hvem som helst" bliver blitzet så er det jo også MIG der hæfter for bøden og ikke den skyldige.

Det behøver ikke være sådan, politiet kunne sagtens sende bøden til den som overtrådte loven, det krævede så bare at de lige stoppede vedkommende.

Det er dog for bøvlet så nu er man skyldig fordi man ejer et køretøj, som har været fremført af nogen, på en måde som er ulovlig.

Vores borgerrettigheder er under voldsomt pres, men ingen lader til at være så bekymret.

Martin Bæk

Man burde kunne undgå dette ved basal validering. Bankkontoen skal selvfølgelig tilhøre nemID-personen. Jeg ved ikke, om det pt. er teknisk muligt at få at vide, hvem bankkontoen tilhører, men det burde da både være muligt og et krav, at dette valideres.
Alternativt burde man kun udbetale penge til en persons Nemkonto. Igen ved jeg ikke, om der er tekniske begrænsninger.

David Panum

Helt enig.
Det er da en utrolig nem måde at flytte gælden fra pusheren til banken (hvilket vel nok også var en medvirkende årsag til at det ikke blev anmeldt umiddelbart efter).
Hvem vil du helst skylde 400.000 kr?

I sidste ende har han jo faktisk fået et banklån på 400.000 til at købe narko for.

Jeg er med på at det ikke burde kunne lade sig gøre at få fat i så mange penge så hurtigt, men når alt kommer til alt, så tror jeg faktisk at personen er glad for at det kan lade sig gøre, da gælden nu er "ude af verden".
Banken kommer jo aldrig til at kunne hente de penge igen hos en social udsat narkoman.

René Nielsen

Hvem vil du helst skylde 400.000 kr?


Bare for at spørge dumt - hvordan hæver man 400.000 i kontanter på en dag? Jeg mener at vide at narkogangstere fortrækker kontanter fremfor "penge i banken".

Går man bare ind i banken med kun et mastercard og uden billed ID og hæver 400.000 eller skal der 40 besøg samme dag til i hæveautomaten?

Så burde der ikke være en klokke der ringede et eller andet sted - når bliver hævet det maksimale beløb for 10 eller 20. gang samme dag (uanset låntagers kreditstatus)?

Jørgen Elgaard Larsen

Som jeg læser sagen, så har Højesteret blot bestemt, at det er et fedt om man bruger NemID eller fysisk underskrift.

Hvis banditterne havde truet sig til pas, bankbog, blanco-check og en fysisk underskrift på et blankt stykke papir - så havde afgørelsen været den samme:

Skyldnerne har (under pres) medvirket til at udfylde og underskrive lånedokumenter og til at hæve pengene. Så de hænger på gælden. Det er ikke bankens problem.

Man kan mene, at banken burde have været mere forsigtig med at låne ud til narkomaner. Men det er så stadig bankens problem at inddrive gælden.

Men i slagsmålet om hvem der skylder hvad, er det altså irrelevant om der er brugt NemID eller fysisk underskrift.

Gert Madsen

Hvis banditterne havde truet sig til pas, bankbog, blanco-check og en fysisk underskrift på et blankt stykke papir - så havde afgørelsen været den samme:


Ja, det er sådan set rigtigt. Selvom der flere steder i lovgivningen står noget om "at forevise billedlegitimation".
Men heldigvis har man jo gode forbindelser til finanstilsynet, så den slags skal ikke stå i vejen for en god forretning.
Det er fint med en fotokopi, som man så samtidigt devaluerer værdien af, i og med at alle finansinstitutioner, ejendomsmæglere, advokater og lign. ligger inde med et arkiv af samtlige deres kunder.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize