Misbrug af NemID – Identitetstyveri, del II

Også når det gælder misbrug af NemID eller digitale signaturløsninger, efterlader medierne ofte det indtryk, at brugeren hæfter for det meste. Men som det fremgår af min artikel om ”Misbrug af Bankkonti – Identitetstyveri”, er det slet ikke altid tilfældet. Udgangspunktet er faktisk det modsatte, du hæfter ikke, med mindre en samlet bedømmelse peger på det modsatte. Særligt er det vigtigt, om

  1. man personligt kan bebrejdes, at adgangskode, brugernavn og lignende er kommet i misbrugerens besiddelse, og 
  2. om man vidste at misbrugeren havde adgang, og sidst
  3. om man har gjort hvad man kan for at stoppe et misbrug. 

Dette fremgår af Højesterets kendelser i sagerne 82/2018 og 87/2018 afsagt den 8. januar 2019. Højesteret peger nemlig på følgende forhold som relevante ved bedømmelsen af, hvorvidt en NemID indehaver hæfter i en situation, hvor misbrugeren havde optaget lån i NemID indehaverens navn:

Afgørelsen af, om indehaveren bliver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens digitale signatur, må træffes på grundlag af en konkret vurdering af det samlede hændelsesforløb. I denne vurdering indgår bl.a., under hvilke omstændigheder tredjemand er kommet i besiddelse af indehaverens nøgle (brugernavn, adgangskode og nøglekort til NemID), om indehaveren har haft kendskab til, at tredjemand er kommet i besiddelse af de pågældende oplysninger, og om indehaveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at spærre sit NemID så hurtigt som muligt, jf. herved betænkning nr. 1456/2004 om e-signaturs retsvirkninger, side 105-110.

Den citerede betænkning 1456/2004 om e-signaturs retsvirkninger, citeres her i uddrag af betænkningens s. 104-114 – med min fremhævning i fed

”7.4. Uberettiget brug af andres digitale signatur … 
7.4.2. Udvalgets vurdering af gældende ret 

Det klare udgangspunkt i dansk ret er, at man ikke bliver aftaleretligt forpligtet af en erklæring, der uberettiget afgives i ens navn (falsk) eller ændres efter afgivelsen (forfalskning). Falsk og forfalskning kan gøres gældende som ugyldighedsgrund også over for en løftemodtager i god tro. Et løfte binder med andre ord kun den, der har afgivet det, eller som har givet en anden fuldmagt til at afgive det. 

Der kan dog rent undtagelsesvist tænkes at opstå situationer, hvor den pågældende uanset falsk eller forfalskning bliver aftaleretligt forpligtet, nemlig i tilfælde, hvor den pågældende har foretaget en handling eller undladelse, som af løftemodtageren kan opfattes som indforståelse med at være bundet. Den, der ikke i rimeligt omfang søger at modvirke, at andre afgiver falske eller forfalskede erklæringer i sit navn, kan endvidere efter omstændighederne herved tænkes at pådrage sig erstatningsansvar over for den, der i god tro modtager og stoler på sådanne erklæringer. I sammenhæng hermed er det omdiskuteret, i hvilket omfang der i relation til falske/forfalskede erklæringer gælder en reklamationspligt. 

Disse almindelige aftaleretlige regler gælder også for aftaler, retshandler eller meddelelser, som uberettiget underskrives med en andens digitale signatur. Certifikatindehaveren vil således som altovervejende hovedregel ikke være bundet af en erklæring, som er afgivet af en tredjemand, der uberettiget har fået adgang til den private nøgle. Det er principielt uden betydning for den aftaleretlige bundethed, om certifikatindehaveren reklamerer over for modtageren af erklæringen, altså giver denne meddelelse om, at der foreligger falsk. 

For så vidt angår spørgsmålet om, i hvilke tilfælde en certifikatindehaver bliver bundet ved efterfølgende at have godkendt en (uberettiget) disposition i certifikatindehaverens navn, ses der ikke at være særlige forhold, der gør sig gældende for dispositioner, der er foretaget ved brug af digital signatur. … 

Det er kun uberettiget brug af en andens underskrift eller digitale signatur, som bevirker, at dokumenter, herunder elektroniske dokumenter, er falske. Har certifikatindehaveren givet den anden person fuldmagt til at anvende sin digitale signatur til at indgå det pågældende retsforhold i certifikatindehaverens navn ved hjælp af dennes digitale signatur, og er modtageren af erklæringen i god tro, vil certifikatindehaveren i overensstemmelse med almindelige regler om fuldmagtsforhold kunne blive forpligtet. Det samme gælder, hvis certifikatindehaveren efterfølgende godkender dispositionen enten udtrykkeligt eller ved ord eller handlinger, som af løftemodtageren med rette må opfattes som en sådan godkendelse. 

Det er mere uklart, hvornår en certifikatindehavers handlinger, der sætter tredjemand i stand til at identificere sig som certifikatindehaveren, vil kunne tages som udtryk for en tilkendegivelse fra certifikatindehaveren om, at den pågældende tredjemand udstyres med en bemyndigelse til at disponere på certifikatindehaverens vegne. Om der er tale om et fuldmagtsforhold, må således i første række bero på en nærmere fortolkning af aftaleforholdet mellem certifikatindehaveren og den person, som uberettiget benytter den digitale signatur. Den blotte overgivelse af den private nøgle med tilhørende adgangskode til en anden antages næppe i sig selv at indebære, at den pågældende herved får fuldmagt eller i øvrigt kan anses som legitimeret til at indgå aftaler på certifikatindehaverens vegne. Der skal formentlig mere til, f.eks. at den uberetti-gede bruger i forvejen er fuldmægtig for certifikatindehaveren, eller at certifikatindehaveren ved sin adfærd har givet tredjemand (modtageren) grund til at tro, at der foreligger et fuldmagtsforhold, f.eks. ved at hovedmanden accepterer, at en person optræder på en sådan måde, at tredjemand får indtryk af, at den pågældendes dispositioner binder hovedmanden. Der vil i praksis normalt være tale om tilfælde, hvor der består et vist interessefællesskab mellem hovedmanden og mellemmanden, f.eks. i form af ægteskab, forretningsforbindelse eller ansættelsesforhold. 

Under alle omstændigheder kan spørgsmålet om, hvorvidt en certifikatindehavers adfærd vil bevirke en retlig forpligtelse over for godtroende løftemodtagere, ikke afgøres uden en samlet vurdering af det samlede hændelsesforløb, herunder kendskab til, hvilke oplysninger den enkelte løftemodtager måtte have været i besiddelse af om forholdet mellem certifikatindehaveren og den, der (uberettiget) har afgivet løftet ved brug af den digitale signatur. 

Hvis den private nøgle er kompromitteret som følge af certifikatindehaverens egen uagtsomhed, og certifikatindehaveren ikke efterfølgende sørger for at få spærret sin signatur, vil dette efter omstændighederne kunne indgå i den samlede vurdering af, om certifikatindehaveren bliver aftaleretligt forpligtet. Manglende spærring vil således efter omstændighederne kunne medføre, at certifikatindehaveren anses for at have givet besidderen af den private nøgle, der uhindret får mulighed for fortsat at anvende denne, fuldmagt hertil. Der skal dog formentlig temmelig meget til, og navnlig må det formentlig kræves, at certifikatindehaveren har viden om, at den private nøgle er kompromitteret. Spørgsmålet om, hvorvidt en certifikatindehaver pådrager sig erstatningsansvar ved at foretage handlinger eller undladelser, som bevirker, at en anden ved at benytte certifikatindehaverens private nøgle påfører andre tab, må afgøres efter almindelige erstatningsretlige principper. … 

7.4.3. Udvalgets overvejelser om behovet for lovregler 

Udvalget finder, at dansk rets almindelige regler og principper, således som de er beskrevet i nr. 7.4.2, giver tilfredsstillende muligheder for at løse de problemer, der kan opstå ved andres uberettigede brug af digitale signaturer. 

Ligesom ved papirbaserede underskrifter må det klare udgangspunkt på tilsvarende måde ved digitale signaturer antages at være, at man ikke bliver bundet af erklæringer, som andre uberettiget afgiver i ens navn. 

Dansk rets almindelige regler giver efter udvalgets opfattelse også tilfredsstillende muligheder for, at domstolene i konkrete tilfælde kan modificere dette udgangspunkt, når … den enkelte sags omstændigheder giver grundlag herfor. Således må det i overensstemmelse med almindelige aftaleretlige principper antages, at en certifikatindehaver efter omstændighederne vil kunne blive bundet af tredjemands uberettigede dispositioner under anvendelse af den digitale signatur, hvis certifikatindehaveren ved sin adfærd uagtsomt har muliggjort eller lettet tredjemands misbrug af signaturen, og der som følge af certifikatindehaverens adfærd ud fra en kon-kret vurdering må antages at være etableret et fuldmagtsforhold mellem certifikatindehaveren og den, der uberettiget bruger den digitale signatur, eller hvis certifikatindehaveren efterføl-gende godkender dispositionen. 

Udvalget finder derfor ikke grundlag for at foreslå indførelse af særlige lovregler for anvendelsen af digitale signaturer med henblik på gennem lovbestemmelser at søge at regulere, hvilken adfærd der vil kunne føre til, at certifikatindehaveren bliver forpligtet i tilfælde af, at tredjemand misbruger en digital signatur. Efter udvalgets opfattelse afgøres sådanne spørgsmål både ved digitale signaturer og ved andre kommunikationsformer som udgangspunkt mest hensigtsmæssigt af domstolene på grundlag af en konkret vurdering af den enkelte sags omstændigheder mv.” 
--
Nogle forsikringsselskaber tilbyder forskellige dækninger ved identitetstyveri, hacking, phishing og lignende. Der kan dækkes både i tilfælde af generelt identitetstyveri og i tilfælde af misbrug af betalingsmidler. Typisk dækkes tab ikke. Kun omkostningerne til at få stoppet misbruget vil typisk være dækket. Du får hjælp til oprydningsarbejdet med andre ord.

---oo0oo---

Hvis du har brug for juridisk bistand/rådgivning om emnet, er du velkommen til at kontakte advokat Niels Ulrik Ottesen på e-mail nuo@remove-this.homannlaw.dk eller på telefon 33 15 01 02.