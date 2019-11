DANMARK:Jutlander Bank i Nordjylland er blandt flere pengeinstitutter, der ikke har fulgt firmaet Nets regler, når personer ringer ind for at bestille nøglekort til NemID.

Det viser stikprøver, som fagbladet Ingeniøren har foretaget .

Ved at ringe ind og oplyse andre personers CPR-numre lykkedes det at få pengeinstitutter til at sende nye nøglekort til kundernes adresser - uden at pengeinstitutterne nøje tjekkede, hvem der faktisk ringede ind.

I teorien ville svindlere så bagefter kunne stjæle kuverterne med nøglekort fra bankkundernes postkasser - og dermed få adgang til kundernes konti.

Den form for svindel har fundet sted seks gange i 2018, ifølge brancheforeningen Finans Danmarks oplysninger til Ingeniøren.

Ifølge Nets' regler kræves såkaldt "stærkt autentifikationsniveau", når kunder telefonisk bestiller nøglekort. Pengeinstitutterne være helt sikre på, at det rent faktisk er kunder, der ringer ind for at bestille nøglekortet - og det skete ikke ved nogle af de stikprøver, Ingeniøren foretog. Blandt andet hos Jutlander Bank.

- Der er sket en fejl hos os én gang, siger Bjarne Hvirring, kommunikationschef hos Jutlander Bank. Den ene fejl skete, da Ingeniøren foretog en stikprøve.

Han oplyser, at banken nu har indskærpet reglerne for de ansatte.

- Hvis kunden ikke genkendes 100 procent på stemmen, når vedkommende ringer ind, skal der stilles kontrolspørgsmål, fastslår Bjarne Hvirring.

Personlige oplysninger

Hos Merkur Andelskasse, som har nordjyske rødder, lykkedes det også for Ingeniøren at få pengeinstituttet til at sende et nøglekort ved at oplyse CPR-nummer.

Også Merkur Andelskasse har nu strammet op:

"Hvis en kunde ringer og beder om et nyt nøglekort, er proceduren, at vi spørger til personlige oplysninger, som vi har ret til at vide, for at sikre os, at det er den rette person. Det er ikke nok at kunne f.eks. et personnummer. Dernæst bestiller vi et nyt nøglekort via NemID. Det sendes til den adresse, som står i cpr-registeret. Den adresse ændrer vi ikke i", skriver direktør Charlotte Skovgaard fra Merkur Andelskasse i en mail.

Hun tilføjer:

"I denne sag er der sket en menneskelig fejl. Det er dybt beklageligt. Vi har derfor indskærpet vores procedurer"

Bjarne Hvirring fra Jutlander Bank anbefaler, at man bruger sin egen pc, når man logger på en netbank. Hvis man gør det fra en offentlig computer, for eksempel på et bibliotek, kan der være risiko for, at andre elektronisk kan aflure CPR-nummer og kodeord, advarer han om.