Penge

It-sikkerhedsbrist: Så let bliver du direktør i Coop eller Jysk

Alle med et NemID-kort kan logge ind i Erhvervsstyrelsens selskabsregistre og udnævne sig selv til direktør eller ændre nøgletal i en stor virksomhed.

Du skal kun bruge et nemID og en computer for at ændre på oplysninger i Erhvervsstyrelsens CVR-register og f.eks. opskrive dig selv som direktør for Coop eller Jysk. (© Colourbox)
Af
Mere end 30 dage gammel

Var det noget med en tjans som direktør i Coop Danmark? Eller hvad med formandsposten for bestyrelsen for TV2?

Med et NemID-kort, et par tast ved computeren og klik med musen kan helt almindelige borgere ændre danske virksomheders mest følsomme oplysninger i Erhvervsstyrelsens database Webreg.

DR Nyheders journalist kunne således på få minutter via hjemmesiden Virk.dk indsætte sig selv som administrerende direktør i en lille virksomhed, som den pågældende ingen som helst tilknytning har til - naturligvis efter aftale med ejeren af virksomheden.

- Jeg er faktisk ret overrasket over, at det er så nemt at ændre på nogle ret væsentlige oplysninger. Og det er oplysninger, der også bruges af andre virksomheder og myndigheder. Derfor burde det kun være dem, der har rettigheder til selskabet, der kan ændre i dem, siger erhvervspolitisk chef i FSR - Danske Revisorer, Tom Vile Jensen.

Ligeledes kunne DR Nyheder let få adgang til at rette i oplysningerne hos blandt andre Coop Danmark, Jysk og TV2.

- Det kan bruges helt åbenlyst til at lave rav i den. I yderste konsekvens kan det bruges til at lave svindel, siger Tom Vile Jensen.

Kan agere på virksomhedens vegne

På Virk.dk kan alle med en NemID-konto ændre i langt de fleste virksomheders stamoplysninger - det drejer sig blandt andet om navne på direktører og bestyrelsesmedlemmer, virksomhedens adresse samt en række følsomme regnskabstal så som indberetninger af moms, eksport, import og antal ansatte.

Ændringerne registreres i Erhvervsstyrelsens database over selskaber, Webreg, der videresender ændringer til en lang række andre myndigheder og registre, herunder Skats it-systemer og CVR-registret.

- Det er helt åbenlyst noget rod. Kan man indsætte sig selv som direktør for en virksomhed, får man lige pludselig ret til at tegne virksomheden - det vil sige skrive under på virksomhedens vegne, agere på virksomhedens vegne, indgå aftaler og handler. Det er altså en alvorlig sag, siger Ulf Munkedal, it-sikkerhedsekspert hos Fort Consult.

En god balance

Hos Erhvervsstyrelsen forsvarer man systemet. Her mener man, at systemet er fleksibelt og åbent, men samtidig holder en god balance mellem smidighed og sikkerhed:

- Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur, siger kontorchef Lars Bunch og fortsætter:

- Så vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven, siger han.

Systemet bliver misbrugt

Ifølge straffelovens paragraf 163 er det strafbart at afgive urigtige oplysninger til offentlige myndigheder. Erhvervsstyrelsen oplever af og til misbrug af systemet.

- Der er enkelte, der af og til registrerer sig ind i et selskab, de ikke har tilknytning til, og det ser vi meget alvorligt på, og nogle sager ender da også med en politianmeldelse. Men ud af de mange hundredtusinde registreringer, der foretages årligt i databasen, er der kun tale om et fåtal svindelsager, siger Lars Bunch.

Kan gå lang tid før ændringer opdages

Ulf Munkedal giver ikke meget for argumentet om, at svindlere, der benytter deres Nem-ID, ikke kan skjule sig:

- Det er rigtigt, at myndighederne vil kunne spore eventuelle svindlere, der er logget ind med NemID, men man skal bare huske, at især ved mindre virksomheder kan der jo gå ganske lang tid, før ejeren opdager, at der er ændret i ledelsen eller ændret i nogle nøgletal. Og til det tid kan svindlen have været i gang i flere måneder og svindlerne kan bogstaveligt være over alle bjerge, siger han.

- Man kan med relativt enkle midler gøre systemet langt mere sikkert. Eksempelvis ved at indføre en funktion, så virksomheden bliver adviseret om eventuelle ændringer eller skal bekræfte dem per mail, siger han.

Næste år udløser ændringer en mail

Enkelte især store selskaber har indsat et password, som man skal kende for at få adgang til de formularer, hvor man kan foretage ændringerne. Men det gælder ikke blandt andre Coop Danmark, hvis informationsdirektør, Jens Juul Nielsen, dog ikke vil kritisere systemet:

- Vi er godt tilfredse med Erhvervs- og Selskabsstyrelsen registreringssystem, og det har aldrig givet anledning til problemer for os, siger han i en mail.

Erhvervsstyrelsen vil næste år indføre en funktion, så virksomheden får tilsendt en advisering til den digitale postkasse, hver gang der foretages ændringer i Webreg.

Har du oplevet, at der er blevet ændret i eller svindlet med din virksomheds oplysninger i CVR-registret, så kontakt gerne DR på forside@dr.dk eller ring på tlf. 28544787.

Facebook
X (Twitter)