Retsudvalget 2021-22
REU Alm.del Bilag 226
Offentligt
2558406_0001.png
Notat
Besvarelse af bemærkninger fra møde i Finansministeriet den 11.
januar 2022 om svindel med NemID og NemKonto
Baggrund
8. april 2022
TPS/LOUKU
J.nr. 2021 - 7220
Finansministeren afholdt den 11. januar 2022 møde i Finansministeriet om om-
fanget af svindel med NemID og NemKonto. I forbindelse med mødet blev der
givet en række bemærkninger, som besvares i dette notat. Svar på bemærknin-
gerne er grupperet i en række emner. Flere af emnerne falder under Justitsministe-
riets og Erhvervsministeriets ressort, hvorfor der er indhentet bidrag herfra til be-
svarelsen.
Opgørelse af omfang af svindel med NemID og NemKonto
På mødet blev der stillet spørgsmål til, hvorvidt det er muligt, at der i højere grad
benyttes gerningskoder og søgenøgler i afdækningen af omfanget af svindel med
NemID og NemKonto. Hertil har Justitsministeriet oplyst følgende:
”Som det nærmere fremgår af Justitsministeriets besvarelse af 3. november
2021
af spørgsmål nr. 8 (Alm. del) fra Folketingets Indenrigs- og Boligudvalg er svindel
med NemID, MitID og NemKonto ikke selvstændigt kriminaliseret. Dette inde-
bærer, at det derfor vil være uforeneligt med politiets anvendelse af gerningskoder
i politiets sagsbehandlingssystem (POLSAS) at etablere en separat gerningskode
for sådanne typer af svindel. Svindelen vil derimod være omfattet af visse bestem-
melser i straffelovens kapitel 28 om formueforbrydelser, og registreringen af sagen
vil derfor ske under anvendelse af en eller flere af de gerningskoder, som er knyt-
tet til de eksisterende straffebestemmelser. Som samtidig tilkendegivet i besvarel-
sen har politiet dog besluttet at oprette en søgenøgle for henholdsvis NemID og
MitID. Rigspolitiet har oplyst, at de to søgenøgler blev implementeret ved årsskif-
tet og vil derfor nu kunne anvendes ved registreringen af sådanne sager. Det bety-
der også, at det fremadrettet i videre udstrækning end i dag vil være muligt at
skabe et overblik over omfanget af denne type af
svindel.”
Notifikation ved NemID-transaktioner
Forud for mødet blev fremsendt en skriftlig bemærkning om, at der bør introdu-
ceres notifikation ved større NemID-træk eksempelvis ved beløb over 5.000 kr.
Det vil give mulighed for at man kan reagere, hvis det ikke er en transaktion, som
man selv har foretaget.
Hertil kan Digitaliseringsstyrelsen oplyse, at der er i NemID-løsningen i dag ikke
er en underretningsfunktion i forhold til brugernes adfærd med deres NemID,
som fx advarsel ved log-in fra ny enhed eller ved transaktioner over et vist beløb. I
 REU, Alm.del - 2021-22 - Bilag 226: Opfølgning på møde om svindel med NemID og NemKonto, fra finansministeren
Side 2 af 5
NemID
er det alene muligt at se, at NemID’et er blevet benyttet til autentifika-
tion, og man kan ikke se, hvad en NemID-transaktion bliver brugt til. En sådan
funktion vil være mulig i det kommende MitID, jf. nedenfor.
I oktober 2021 blev implementeringen af NemIDs afløser, MitID, igangsat. Med
MitID styrkes sikkerheden, så det bliver sværere at udnytte andres digitale identi-
tet. MitID forventes fuldt ud implementeret i 2022:
I MitID-løsningen vil man altid få en besked (via appen, SMS eller e-mail),
fx hvis ens MitID-app oprettes på en ny enhed. Derudover kan man vælge
at få besked, hver gang ens personlige MitID bliver anvendt.
Man vil altid få automatisk besked, hvis nogen får adgang til at ændre i ens
personlige oplysninger i MitID. Hvis ændringen ikke er lavet af en selv,
bør man herefter hurtigst muligt spærre sit MitID.
Der er implementeret en karensperiode for ændringer i personlige oplys-
ninger, således at ændringer først kan træde i kraft efter en time, hvorefter
ændringen skal godkendes med MitID igen. Brugeren vil få besked både
ved karensperiodens start og afslutning, hvilket giver brugeren tid til at op-
dage og reagere, hvis en svindler er i færd med at lave identitetstyveri.
Derudover indføres også et sikkerhedstiltag, som gør det lettere for bor-
gere at verificere, at ens MitID-oplysninger indtastes på en pålidelig hjem-
meside, da mitid.dk-domænet altid vil blive vist, som sidste led i browse-
rens adresselinje.
Hæftelse ved svindel med NemKonto og NemID
På mødet blev det drøftet, hvordan borgeres retstilling er i forhold til hæftelse ved
økonomiske tab i forbindelse med svindel med NemID. Siden mødets afholdelse
er Indenrigs- og Boligudvalget samt Retsudvalget orienteret om afrapporteringen
for arbejdsgruppen om hæftelse ved svindel med NemID. Afrapporteringen er
oversendt i forbindelse med orientering om høringen på lovforslag om kompensa-
tionsordning ved svindel med NemKonto den 26. januar 2022. Lovforslaget er
fremsat den 7. april 2022.
Forud for mødet blev der fremsendt en skriftlig bemærkning om, at grænsen for,
hvornår kunden hæfter ved svindel med NemID bør flyttes via lovgivningen, så
kunden kun skal hæfte, hvis der er tale om ”særdeles grov uagtsomhed”. Hertil
har Justitsministeriet oplyst følgende:
”Som
det fremgår af afrapporteringen fra arbejdsgruppen om hæftelse ved svindel
med NemID, fandt arbejdsgruppen, at de almindelige aftaleretlige regler sikrer en
rimelig balance mellem hensynet til den borger, der har været udsat for misbrug,
og til den tredjemand, f.eks. en långiver eller sælger, der i god tro disponerer i hen-
hold til en erklæring, der er afgivet via NemID/MitID. Arbejdsgruppen fandt der-
for ikke anledning til at foreslå regelændringer på området. Det er således det klare
 REU, Alm.del - 2021-22 - Bilag 226: Opfølgning på møde om svindel med NemID og NemKonto, fra finansministeren
Side 3 af 5
udgangspunkt i dansk ret, at en borger ikke bliver aftaleretligt forpligtet af en er-
klæring, der uberettiget afgives i vedkommende navn (falsk) eller ændres efter afgi-
velse (forfalskning).”
Erhvervsministeriet har oplyst følgende fsva. udlånsvirksomhedernes pligt til at
oplyse forbrugerne om reglerne for hæftelse ved svindel med NemKonto og Ne-
mID:
”Banker og forbrugslånsvirksomheder er forpligtet til at vejlede deres kunder om,
hvad de skal gøre, hvis de udsættes for, at deres NemID bliver stjålet og/eller mis-
brugt. Banker og forbrugslånsvirksomheder skal således orientere en kunde om de
regler, der gælder på området, hvis kunden kommer med en indsigelse imod et lån
eller køb af ydelser, fordi kunden mistænker identitetstyveri. De skal også orien-
tere kunden om mulighederne for at få denne indsigelse prøvet. Endelig skal de
orientere om, at hvis kunden har været udsat for tyveri
og i øvrigt ikke har hand-
let uforsvarligt med dennes NemID-oplysninger
så vil låneaftalen kunne være
ugyldig, og lånet vil ikke kunne inddrives. Adfærd, der ikke flugter hermed, vil
være et brud på god skik-reglerne.
Erhvervsministeren har den 14. marts 2022 sendt et brev til låneudbydernes inte-
resseorganisationer for at gøre opmærksom på låneudbydernes forpligtelser efter
god skik-reglerne, hvis deres kunder bliver udsat for at deres NemID bliver stjålet
og/eller misbrugt."
Keylogger-sager
Forud for mødet blev der fremsendt en skriftlig bemærkning om, at kommunerne
bør tage forholdsregler i forbindelse med ”keylogger-fænomenet”
på bibliote-
kerne. Indenrigs- og Boligudvalget har derudover efter ønske fra ikke-medlem af
udvalget (MFU) Karina Lorentzen (SF) stillet et spørgsmål relateret til emnet jf.
BOU alm. del spm. 152. I forbindelse med besvarelse af spørgsmålet blev der ind-
hentet oplysninger fra KL om sagen. Indenrigs- og Boligudvalget har modtaget
besvarelse af udvalgsspørgsmålet jf. BOU alm. del spm. 152, som der til besvarel-
sen af bemærkningen i øvrigt henvises til.
Det kan hertil bemærkes, at der den 10. februar 2022 faldt dom i en keyloggersag,
hvor ni personer blev idømt tilsammen 41 års fængsel for svindel og forsøg på
svindel med keyloggere på offentligt tilgængelige computere på biblioteker.
Politiets prioritering af NemID-svindel
På mødet blev der bemærket, at politiet bør opprioritere arbejdet med NemID
svindel. Justitsministeriet har hertil oplyst følgende:
”Den it-relaterede
økonomiske kriminalitet er et kriminalitetsområde, der har væ-
ret i vækst over de seneste år. Der er samtidig tale om sagstyper, der stiller store
krav til politiet, både når det gælder kompleksitet og kompetencer.
 REU, Alm.del - 2021-22 - Bilag 226: Opfølgning på møde om svindel med NemID og NemKonto, fra finansministeren
Side 4 af 5
For regeringen er det afgørende at sikre borgernes tryghed, og det gælder selvsagt
både fysisk og digitalt. Derfor var indsatsen mod it-relateret økonomisk kriminali-
tet også et centralt tema i forhandlingerne om flerårsaftalen for politiets og ankla-
gemyndighedens økonomi 2021-2023. Med flerårsaftalen er der således iværksat
flere initiativer på området, herunder et arbejde med at undersøge mulige nye initi-
ativer om at forebygge og forhindre
– såkaldt ”disruption” –
af it-relateret krimi-
nalitet, ligesom det er aftalt at se på, politiets og anklagemyndighedens mulighed
for at inddrage relevante hensyn, når det besluttes, om en sag skal efterforskes.
Endvidere er den Nationale enhed for Særlig Kriminalitet (NSK) oprettet. Med
NSK samles de mest specialiserede politi- og anklagerfaglige kompetencer for at
stå stærkere i kampen mod den komplekse, organiserede og økonomiske krimina-
litet. Det er derfor også forventningen, at etableringen af NSK på sigt vil styrke
indsatsen mod digital kriminalitet.
Svindel med NemID er et område, som NSK er meget opmærksom på, og hvor
forebyggelse spiller en helt central rolle. NemID svindel er svær at løse med tradi-
tionelle politimetoder, idet den finder sted i folks private e-mails og via telefonop-
kald. NSK har derfor fokus på at advare borgere og give dem råd og vejledning til,
hvordan man forebygger og beskytter sig bedst muligt.”
Der blev ligeledes givet udtryk for, at strafferammen for kriminaliteten på området
ikke er tilstrækkelig. Til besvarelse af heraf, har Justitsministeriet oplyst følgende:
”Det kan generelt oplyses, at bedrageri i samhandel vil kunne straffes efter straffe-
lovens § 279, mens misbrug af NemID vil kunne straffes efter straffelovens § 279
a. Efter straffelovens § 285 straffes sådanne lovovertrædelser som udgangspunkt
med fængsel indtil 1 år og 6 måneder, idet straffen dog kan stige til fængsel indtil 8
år, når forbrydelsen er af særlig grov beskaffenhed navnlig på grund af udførelses-
måden, eller fordi forbrydelsen er udført af flere i forening, eller som følge af om-
fanget af den opnåede eller tilsigtede vinding, eller et større antal forbrydelser er
begået, jf. straffelovens
§ 286, stk. 2.”
Identitetssikring af forbrugerne i forbindelse med lån
På mødet blev der ligeledes udtrykt ønske om, at der skal stilles flere krav til iden-
titetssikring af brugerne i forbindelse med optagelse af lån. Erhvervsministeriet
har hertil oplyst følgende:
”Banker
og andre virksomheder, der yder lån til forbrugere, er foruden reglerne
om kreditværdighedsvurdering i kreditaftaleloven, underlagt regler om kunde-
kendskabsprocedurer i medfør af hvidvaskreglerne. Reglerne om kundekend-
skabsprocedurer har til formål at sikre, at virksomheden kender identiteten på den
enkelte kunde.
Reglerne om kundekendskabsprocedurer indebærer bl.a., at virksomheden skal
indhente identitetsoplysninger på kunden. Disse skal omfatte navn og cpr-num-
mer. Virksomheden skal kontrollere de indhentede identitetsoplysninger ved en
 REU, Alm.del - 2021-22 - Bilag 226: Opfølgning på møde om svindel med NemID og NemKonto, fra finansministeren
Side 5 af 5
pålidelig og uafhængig kilde. Det kan f.eks. være ved opslag i CPR-registeret, op-
lysninger fra Skatteforvaltningen eller offentligt udstedte legitimationsdokumenter,
som f.eks. pas, kørekort eller NemID. Hvor meget dokumentation en virksomhed
skal indhente vedrørende en kunde, beror på virksomhedens risikovurdering af
den konkrete kunde.
Såfremt en virksomhed i forbindelse med kundekendskabsproceduren får mis-
tanke om, at der kan være tale om en stjålen identitet, skal virksomheden indhente
de nødvendige oplysninger til om muligt at kunne afkræfte dette.”
Inddrivelse af lån
På mødet drøftede vi ligeledes de af medierne omtalte sager, hvor banker eller for-
brugslånsvirksomheder fortsætter inddrivelse af en gæld ved domstolene, selvom
virksomheden er bekendt med, at der er foregået svindel og det derfor ikke er på-
gældende borger, der har stiftet gælden og ikke hæfter for denne. Erhvervsstyrel-
sen har oplyst følgende fsva. grænserne for, hvornår en udlånsvirksomhed må for-
søge at inddrive gæld, hvis forbrugeren har gjort indsigelse om identitetstyveri:
”Det
vil være i strid med god skik, hvis en bank eller en forbrugslånsvirksomhed
fortsætter inddrivelse af en gæld ved domstolene over for en kunde i en situation,
hvor virksomheden har viden om, at vedkommende ikke har stiftet gælden eller
ikke hæfter for denne. Dog vil der kunne være situationer, hvor en bank eller en
forbrugslånsvirksomhed har mistanke om, at forbrugerne har handlet groft uagt-
somt, hvormed denne kan hæfte for gælden. I disse situationer vil det være legi-
timt, at banken eller forbrugslånsvirksomheden fortsætter inddrivelsen af gælden,
fx ved at få prøvet sagen ved domstolene.”
Rykkere og anlæg af sag ved domstolene
Det blev derudover bemærket, at pengeinstitutter ikke bør have lov til at sende
rykkere eller sende sagen i retten ved formodet NemID-svindel før forbrugerom-
budsmanden er orienteret.
Erhvervsministeriet har hertil oplyst følgende:
”Da
det vil være i strid med de gældende regler, hvis en bank eller en forbrugs-
lånsvirksomhed sender rykkere eller forsøger at inddrive gæld, som banken eller
forbrugslånsvirksomheden ved forbrugeren ikke har optaget og ikke hæfter for,
vurderes et krav om, at virksomhederne ikke må sende rykkere eller sende sagen i
retten før forbrugerombudsmanden er orienteret ikke at tilføre yderligere beskyt-
telse. Virksomhederne skal således helt afholde sig fra at sende rykkere eller sende
sagen i retten.
Forbrugerombudsmanden har ikke pligt til at rådgive forbrugerne i sager om iden-
titetstyveri."