En historisk stor sag om NemID-svindel bliver nu fulgt op af usædvanlig hård kritik af den myndighed, der er ansvarlig for sikkerheden med NemID.
I dag kom det frem, at 174 danskere har været ofre for NemID-svindel ved hjælp af keyloggere i den hidtil største sag om den type svindel.
Men nu retter flere eksperter en hård kritik mod Digitaliseringsstyrelsen for at lave en ”misvisende” redegørelse om styrelsens håndtering af svindel med NemID og NemKonto.
- Redegørelsen er på flere punkter mangelfuld. Den giver et misvisende billede, siger Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
Professor: Vildledende og misvisende
Kravet om en redegørelse kom fra Finansministeren, efter DR har afdækket, at flere hundrede danskere er blevet ramt af svindel med NemID og NemKonto, som Digitaliseringsstyrelsen er ansvarlig for.
Også Sten Bønsing, der ligeledes er professor i forvaltningsret, er kritisk over for styrelsens redegørelse.
- Det lader til, at de (Digitaliseringsstyrelsen, red.) ikke har styr på de henvendelser, de får. Når de så bliver bedt om at redegøre, så redegør de mangelfuldt, og det bliver vildledende og misvisende, siger Sten Bønsing, der er professor i forvaltningsret på Aalborg Universitet.
Digitaliseringsstyrelsen afviser, at der er fejl eller mangler i redegørelsen.
- Det er en meget grundig redegørelse. Et stort team i digitaliseringsstyrelsen har været alle mails igennem helt tilbage til 2015 og 2016. Det har været et rigtig grundigt arbejde, hvor vi er gået det hele igennem, siger Adam Lebech, der er vicedirektør i Digitaliseringsstyrelsen.
Nedtoner omfanget af svindel med keyloggere
Den ene del af redegørelsen handler om NemID-svindel, hvor gerningsmændene har installeret såkaldte keyloggere på offentlige biblioteks-computere.
Men ifølge eksperterne tegner Digitaliseringsstyrelsens redegørelse et forkert billede af, hvor længe denne type svindel er foregået.
Digitaliseringsstyrelsen skriver i sin redegørelse:
”I løbet af de ti år, hvor NemID har eksisteret, har der været to forløb, hvor keylogging er brugt til at franarre borgere deres NemID bruger-id og adgangskoder. Det er sket i 2017 og 2020.”
Men DR’s research viser, at keylogger-svindel er foregået i både 2015, 2016, 2017, 2019 og 2020. Det fremgår af retsdokumenter, som DR har fået aktindsigt i.
- Styrelsen giver indtryk af, at de har et overblik og at det kun er foregået i de to år – nemlig 2017 og 2020. Det er klart, at det ikke lever op til styrelsens forpligtelser, når de skal redegøre for ministeren, siger Sten Bønsing fra Aalborg Universitet.
Professor: I strid med sandhedspligten
Digitaliseringsstyrelsen skriver til DR, at formuleringen i redegørelsen skal forstås på den måde, at 2017 og 2020 er de år, hvor styrelsen ”bliver orienteret om efterforskning af sager med svindel med NemID.”
- Det har ikke noget at gøre med hvornår svindlen er foregået, skriver Digitaliseringsstyrelsen til DR.
Men den forklaring køber forvaltningsretsprofessor Frederik Waage ikke.
- Jeg læser redegørelsen som om det kun er sket to gange, så oplysningen virker misvisende. Jeg synes, man står tilbage med et billede af, at styrelsen forsøger at skrive sig ud af, at der har været alvorlige sikkerhedsbrud, siger Frederik Waage fra Syddansk Universitet.
Forvaltningsretsekspert Sten Bønsing mener ikke, at Digitaliseringsstyrelsen lever op til sin forpligtelse til at skrive sandheden.
- Det er ikke dækkende og det er ikke fyldestgørende, og det er i strid med sandhedspligten, siger Sten Bønsing, der er forvaltningsretsprofessor på Aalborg Universitet.
Advarsler om svindel med NemKonto mangler
Hovedparten af redegørelsen handler om de advarsler, som Digitaliseringsstyrelsen har fået om svindel med NemKonto.
I redegørelsen fremgår der en oversigt over 27 ”henvendelser vedrørende sikkerheden i NemKonto”, som styrelsen har modtaget siden 2015.
Men eksperterne kalder redegørelsen mangelfuld, fordi en række yderligere advarsler, som styrelsen har fået fra blandt andet politiet og Skat, ikke er taget med.
- En redegørelse skal selvfølgelig være rigtig, men den her er på flere punkter ikke retvisende, siger Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
Advarsel fra Skat ikke med i redegørelse
Et af eksemplerne er fra oktober 2017, hvor Digitaliseringsstyrelsen får en advarsel om NemKonto-svindel fra Skat.
Skat forklarer, hvordan en ”bagmand” har ændret andre personers NemKonto til en bankkonto, som bagmanden kontrollerer. På den måde har bagmanden fået fat på pengene.
”Skatterne udbetales til en NemKonto, som peger på en stråmandskonto,” står der i et dokument om advarslen, som DR har fået aktindsigt i hos Digitaliseringsstyrelsen. Dokumentet har overskriften ”NemID misbrug og NemKonto”.
Alligevel er advarslen ikke at finde i Digitaliseringsstyrelsens redegørelse.
Da DR spørger hvorfor, skriver Digitaliseringsstyrelsen til DR, at dialogen med Skat blandt andet handlede ”om muligheder for spærring på CPR-numre ifm. NemID oprettelse.”
- Dette spørgsmål er ikke relateret til NemKonto og indgår derfor ikke i oversigten over henvendelser herom i redegørelsen, skriver Digitaliseringsstyrelsen til DR.
Men den forklaring forstår professor Sten Bønsing ikke.
- Tabellen i redegørelsen, som de har afleveret, er ikke fyldestgørende. Den skal indeholde den information. Der er tale om et meget centralt emne. Det er i bund og grund, det, redegørelsen handler om, siger Sten Bønsing, der er forvaltningsretsprofessor på Aalborg Universitet.
Professor: Det er forkert
En anden advarsel, der ikke er at finde i redegørelsens oversigt over advarsler, er fra april 2018.
En medarbejder i Digitaliseringsstyrelsen skriver til Skat, at en bank har henvendt sig med nogle sager, der ligner NemKonto-svindel.
Ifølge banken handler sagerne om ”snyd”, og at der kunne være tale om ”illegitim ændring af NemKonto”.
- Vi ser desværre en stigende tendens hertil, skriver Skat tilbage til Digitaliseringsstyrelsen i mailen, som DR har fået aktindsigt i.
Da DR spørger, hvorfor det ikke er med i redegørelsen til ministeren, svarer Digitaliseringsstyrelsen, at ”det er ikke angivet, at der skulle være tale om svindel med NemKonto”.
Men det kan professor Sten Bønsing ikke få til at hænge sammen.
- Illegitim betyder jo i strid med reglerne eller ulovligt, så det er svært at sige andet, end at det er en væsentlig detalje. Det er forkert når Digitaliseringsstyrelsen forklarer sig med, at det ikke er angivet, at der var tale om svindel, siger Sten Bønsing fra Aalborg Universitet.
Bør overveje uvildig undersøgelse
Embedsfolk og myndigheder har en sandhedspligt, når de for eksempel afleverer en redegørelse til en minister, forklarer Frederik Waage, der er professor i forvaltningsret.
- Man kan stille spørgsmål ved om sandhedspligten er overholdt her. I sådan en redegørelse er man forpligtet til at samle al relevant viden om problemet. Redegørelsen virker på flere punkter ikke sandfærdig. Den giver i hvert fald ikke det fulde billede, siger Frederik Waage fra Syddansk Universitet.
Han mener, at en ekstern advokatundersøgelse kan være relevant.
- Man kan spørge, om det er klogt, at Digitaliseringsstyrelsen skal undersøge sig selv. Man bør overveje at få lavet en uvildig undersøgelse.
Minister kræver ny version af redegørelse
DR har forelagt kritikken for Finansministeriet, som havde bedt om redegørelsen fra Digitaliseringsstyrelsen.
Onsdag aften meddeler Finansministeriet, at Digitaliseringsstyrelsen nu bliver pålagt at lave en ny version af redegørelsen.
- Jeg ser med stor alvor på de nye oplysninger, som DR har lagt frem. Jeg har på den baggrund bedt Digitaliseringsstyrelsen lave en ny version af redegørelsen, der medtager de oplysninger som kritikken går på, så hele sagens omfang bliver belyst, siger Finansminister Nicolai Wammen (S) i et skriftligt svar til DR.
Han tilføjer, at den nye redegørelse vil blive oversendt til Folketinget.