Middels het DigiD-account zijn naar aller waarschijnlijkheid duizenden belastingbetalers slachtoffer geworden van criminaliteit. Dit wordt bevestigd door de Belastingdienst na berichtgeving van NRC.next.
Tot en met augustus kon elke willekeurige DigiD worden gekraakt als de fraudeur beschikte over naam, geboortedatum en burgerservicenummer van het slachtoffer. De dieven vroegen toeslagen aan op iemand anders naam en wijzigden in DigiD het rekeningnummer waarop het geld gestort werd. Vervolgens stelde de Belastingdienst vast dat onterecht toeslag was uitgekeerd en moest het slachtoffer het geld dat hij nooit had ontvangen terugbetalen.
Vreemd genoeg blijkt de Belastingdienst het gat in de beveiliging bewust open te hebben gehouden, schrijft Nrc.next. In 2007 adviseerde de overheid zelfs de DigiD-account van iemand anders te gebruiken in sommige gevallen. DigiD controleerde daarom bewust niet of de account en de digitale handtekening bij elkaar hoorden. “Een kwestie van snelle dienstverleningen en van vertrouwen”, zegt de Belastingdienst tegen de krant.
Jelle Wijkstra van de Belastingdienst zegt tegen NOS dat frauderen nu niet meer kan. “De laatste tijd werden we geconfronteerd met steeds meer zaken van fraude dus zijn we gestopt met de mogelijkheid dat je met DigiD gegevens van anderen kunt veranderen.”
Ondertussen loopt strafrechtelijk onderzoen naar 260 huishoudens die vermoedelijk op deze manier gefraudeerd hebben. Ict-bedrijf Logius, beheerder van DigiD, zegt tegen de krant dat het systeem zelf niet het probleem is. “Dit valt onder de Belastingdienst.”