NemKonto, som alle danskere er forpligtet til at bruge i forbindelse med udbetalinger fra det offentlige, er blevet misbrugt til svindel i de seneste fem år.
Det viser dokumenter, som DR har fået aktindsigt i hos Digitaliseringsstyrelsen, der er ansvarlig for NemKonto-systemet.
Svindlen foregår ved, at ”kriminelle ændrer en persons NemKonto til anden konto,” står der blandt andet i dokumenterne.
- Det er dybt utilfredsstillende. Og især fordi man jo ikke kan melde sig ud. Det er jo en lovgivning, der kræver, at man skal have en NemKonto, siger Jan Pries-Heje, der er professor i digitalisering på Roskilde Universitet.
30 advarsler siden 2016
Dokumenterne viser også, at Digitaliseringsstyrelsen er blevet gjort opmærksom på NemKonto-svindlen mere end 30 gange siden starten af 2016.
Men på trods af de mange advarsler har styrelsen ikke ændret NemKonto-systemet, så svindlen kan forhindres, viser aktindsigterne.
- Det viser alvorligheden af sagen, og man skal da være meget ignorant for at ignorere så mange advarsler, siger professor Jan Pries-Heje, som har gennemgået sagens dokumenter.
Svindlen med NemKonto sker som et led i NemID-svindel, som DR har fortalt om flere gange det seneste halve år.
Når gerningsmændene har fået kontrol med et offers NemID, kan svindlerne nemlig uden videre flytte offerets NemKonto til en hvilken som helst bankkonto, og så bliver offerets løn eller folkepension eller andre offentlige ydelser udbetalt til den bankkonto i stedet for til offerets egen bankkonto som normalt.
Lines løn gik ind på fremmed konto
Line, der er ergoterapeut og bosiddende i Herning, er et af ofrene for svindlen. Af frygt for ny svindel står hun ikke frem med efternavn, men DR kender hendes fulde identitet.
En søndag i begyndelsen af marts sidste år opdager hun, at hun ikke har fået sin løn. Hendes bank råder hende til at tjekke på NemKonto-hjemmesiden, om hendes NemKonto er blevet flyttet.
- Og ganske rigtigt, den er så blevet ændret, fortæller Line.
På hjemmesiden kan hun se, at hendes NemKonto pludselig er tilknyttet en ukendt konto i en anden bank end hendes egen.
- Så hvor pengene var røget hen, det vidste vi ikke, siger hun.
Line havde ikke fået nogen advarsel om, at hendes NemKonto var blevet flyttet over til en fremmed persons bankkonto i en fremmed bank.
Advarsler fra mange kanter
At den slags foregår, er Digitaliseringsstyrelsen på det her tidspunkt blevet advaret om igen og igen gennem flere år.
Advarslerne til styrelsen kommer fra adskillige banker, flere politikredse, Skat, finansielle brancheforeninger, privatpersoner og rådgivere for ofre for svindlen. I alt kommer de mere end 30 advarsler 14 forskellige steder fra, viser dokumenterne fra Digitaliseringsstyrelsen, som DR har fået aktindsigt i.
De mange advarsler til styrelsen indeholder i flere tilfælde konkrete eksempler på svindel. For eksempel om en NemKonto, der er blevet flyttet 12 gange på to en halv måned.
Digitaliseringsstyrelsens gennemgående svar til advarslerne er, at styrelsen vil forsøge at løse problemerne i det kommende udbud.
Men det møder kritik fra en ekspert i forvaltningsret.
- Det er ikke godt nok at blive ved med blot at vente på, at der engang kommer et nyt system. Man har en handlepligt, hvis man får gentagne oplysninger om, at der sker sikkerhedsbrud i et IT-system som NemKonto, siger professor Frederik Waage fra Syddansk Universitet.
Styrelse: Loven tilsigter fleksibilitet
Digitaliseringsstyrelsen har afvist at stille op til interview med DR om sagen. I stedet har styrelsen sendt et skriftligt svar.
- Hvis der fandtes én teknisk løsning, der alene kunne stoppe de kriminelle, der misbruger en NemKonto, ville vi selvfølgelig indføre den løsning med det samme, skriver Digitaliseringsstyrelsens vicedirektør, Adam Lebech, til DR.
NemKonto er bygget sådan, at hver borger kun kan have én NemKonto.
Men der er ikke sat nogen begrænsninger på, hvor mange borgere der kan have den samme bankkonto som NemKonto, og man behøver heller ikke at eje den bankkonto, som bruges som ens NemKonto.
Det er bevidste valg, fremgår det af aktindsigterne og styrelsens skriftlige svar til DR.
- Hvis man eksempelvis fratog borgerne mulighed for selv at vælge, hvilken konto de gerne ville bruge som NemKonto, ville man gøre det meget besværligt for mange danskere. Der er blandt andet mange par, der gerne vil bruge samme NemKonto, skriver Adam Lebech fra Digitaliseringsstyrelsen.
Den prioritering har professor Jan Pries-Heje svært ved at forstå.
- Det er meget at skulle acceptere sådan en svindel for at have den fleksibilitet, som jeg har meget svært ved at se behovet for. Man sætter jo tilliden til de digitale systemer på spil, og så går der fire, fem, seks år, før man vil have en løsning med i det næste udbud. Det er da dybt utilfredsstillende, og rent teknisk mener jeg ikke, at løsningen kan være så kompliceret, siger Jan Pries-Heje.
Bankkonto var NemKonto for 100 forskellige personer
Det fremgår også af aktindsigterne, at svindlerne har udnyttet den fleksibilitet, som NemKonto-systemet tillader.
Bankernes brancheforening, Finans Danmark, orienterer i 2018 Digitaliseringsstyrelsen om en sag, hvor svindlere har brugt en enkelt bankkonto som NemKonto for mere end 100 forskellige personer.
- Det råber jo ’svindel’, og at nogen laver fusk, så det burde man fange og gøre noget ved. Det burde man faktisk allerede have tænkt over på udbudstidspunktet, siger professor Jan Pries-Heje fra Roskilde Universitet.
Styrelsen: Vi forholder os løbende til sikkerheden
Digitaliseringsstyrelsen, der både er ansvarlig for NemID og NemKonto, skriver også til DR, at "Digitaliseringsstyrelsen forholder sig sammen med leverandørerne løbende til konkrete forslag til styrkelse af sikkerheden i de forskellige løsninger," og at man har "iværksat nye tiltag, der gør det vanskeligere at begå identitetstyveri."
DR’s gennemgang af dokumenterne om NemKonto viser, at en række af de mange svindel-advarsler til styrelsen indeholder forslag til, hvordan NemKonto-systemet kan ændres for at komme i hvert fald en del af svindlen til livs.
Men af dokumenterne fra aktindsigten fremgår det, at Digitaliseringsstyrelsen siden 2017 har besluttet at vente med at ændre NemKonto-systemet, indtil der kommer et nyt NemKonto-system.
- Derfor medtages ændringen til prioritering i forbindelse med det kommende udbud af NemKonto-systemet, skrev Digitaliseringsstyrelsen for eksempel i 2017 i et svar på en advarsel om svindel med NemKonto.
I dag - fem år efter den første advarsel - er udbuddet af et nyt NemKonto-system stadig ikke offentliggjort.
- De oplysninger, som I har fremlagt her, gør, at man må stille spørgsmål ved, om Digitaliseringsstyrelsen lever op til sit ansvar, siger Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
Han tilføjer, at det også er Digitaliseringsstyrelsens ansvar at gøre opmærksom på det, hvis eventuelle ændringer i NemKonto-systemet kræver lovændringer.
Line er stadig ramt af svindlen
Line, som fik flyttet sin NemKonto af svindlere i foråret, endte med at få sin løn udbetalt igen, denne gang til hendes egen bankkonto.
NemKonto-svindlen var dog kun en del af problemet. Gerningsmændene havde nemlig fået fat i hendes NemID-oplysninger. Det var med hendes NemID, at de kunne flytte hendes NemKonto til en anden konto.
- Det, der chokerer mig, er, at jeg ikke har haft mistanke om noget som helst, før jeg opdager, at jeg ikke har fået min løn, siger Line.
Svindlerne havde også overført store beløb fra hendes bankkonti og optaget lån og købt varer i hendes navn, som hun stadig kæmper for ikke at skulle hæfte for.
- Man føler sig rigtig utryg. Man føler sig magtesløs, siger Line.