7. december 2010
Med. nr. 20/2010

Topdanmark har været offer for URL-hacking. Finanstilsynet fortolker dette som
videregivelse af kursfølsomme informationer.

• Konsekvensen af denne fortolkning er, at såfremt man via URL-hacking skaffer
sig adgang til et fortroligt dokument, er det videregivet og offentliggjort af
dokumentets ejer.

Topdanmark forventer, at Finanstilsynet overbringer nedenstående sag til
nærmere politimæssig efterforskning. Topdanmark er uenig i Finanstilsynets
vurdering. Topdanmark har ikke videregivet intern viden. Topdanmark har derimod
været udsat for URL-hacking fra en udenforstående, der med forsæt og uden
tilladelse har søgt efter og fundet ikke offentliggjort fortroligt
regnskabsmateriale og derefter offentliggjort det.

Finanstilsynet ventes at politianmelde Topdanmark for at have offentliggjort
intern viden på utilstrækkelig vis, for uberettiget at have videregivet intern
viden og for at de interne regler ikke effektivt har sikret, at andre ikke får
adgang til intern viden, jf. henholdsvis § 27 a, § 36 og § 37, stk. 2,
sammenhængende med stk. 3, nr. 1 i lov om værdipapirhandel m.v.

Sagen er opstået, fordi Reuters via URL-hacking skaffede sig adgang til et ikke
endeligt godkendt udkast til Topdanmarks Q1-rapport og valgte at udsende
oplysninger fra udkastet til Reuters-abonnenter før Topdanmarks
offentliggørelse af selskabets Q1-rapport 2010.

Finanstilsynet mener, at Topdanmark som følge af Reuters' URL-hacking har
videregivet intern viden. Topdanmark er ikke enig i Finanstilsynets vurdering.
En holdning der deles af prof. jur. Lars Bo Langsted (se nedenfor). Lige så
lidt som det vil være en videregivelse af interne oplysninger at flytte
fortrolige dokumenter fra et pengeskab til en aflåst skrivebordsskuffe på
selskabets adresse, ligeså lidt er det videregivelse af intern viden, at en
udenforstående ved at gætte sig til URL-stien tiltager sig adgang til
fortrolige informationer, der befinder sig inde i Topdanmarks systemer og
tilhører Topdanmark.

Anerkendes Finanstilsynets fortolkning af de nedennævnte bestemmelser, vil det
få konsekvenser for de fleste udstedere af værdipapirer, der er optaget til
handel på et reguleret marked i Danmark.

Når man frem til, at Topdanmark har overtrådt de nævnte regler, og altså en
konklusion om at kan man hackes, har man dermed overtrådt loven, indebærer det
i realiteten en retstilstand, hvor børsnoterede selskaber altid vil være i
risiko for ikke at overholde lovgivningen, eftersom ingen selskaber vil kunne
gardere sig 100 % mod at blive udsat for hacking. Selskaber, der har al mulig
grund til at mene, at deres systemer er sikre, kan fra den ene dag til den
anden risikere at blive anklaget for at være kriminelle. Dette vil skabe en
stor, og også urimelig, retsusikkerhed hos udstederselskaberne.

I korte træk drejer sagen sig om, hvorvidt Topdanmark offentliggjorde
Q1-rapporten for 2010 på en forkert måde, og hvorvidt Topdanmark videregav
børsfølsom information.

Fakta i sagen:
Topdanmarks bestyrelse behandlede Q1-rapporten et på bestyrelsesmøde om
formiddagen den 20. maj. Det var forventningen, at bestyrelsens godkendelse af
regnskabet og den derefter følgende offentliggørelse som vanligt ville ske kl.
ca. 12.00. Forud for dette tidspunkt skete der imidlertid det, at Topdanmark
ved en menneskelig fejl uploadede filer med oplysninger om Q1-rapporten fra én
Topdanmark-server til en anden Topdanmark-server i forbindelse med
forberedelsen af den forestående offentliggørelse. Overførsel til den anden
server muliggjorde ekstern adgang for den, der via uautoriserede kanaler ledte
efter oplysningerne, men indebar ikke, at oplysningerne lå frit tilgængelige på
hjemmesiden eller kunne fremfindes ved at anvende hjemmesidens eller andre
søgefunktioner. Adgang til oplysningerne kunne kun skaffes via såkaldt
URL-hacking, der består i, at hackeren forsøger at gætte sig frem til
dokumentets helt præcise sti eller kode. Overførsel af filerne fandt sted den
20. maj 2010 kl. 11:43. Kort efter kl. 11:44 etablerede en ekstern PC
tilhørende Reuters kontakt til udkast til rapporten, og kl. 11:52, dvs.
samtidig med Topdanmarks igangværende bestyrelsesmøde, kontaktede Reuters
Topdanmark og meddelte, at de havde tal fra Q1 2010, og at de ville
offentliggøre disse tal straks. Dette skete trods Topdanmarks utvetydige
protester i tidsrummet fra kl. 11:55 til 11:59. Kl. 12:01 offentliggjorde
Topdanmark den bestyrelsesgodkendte Q1-rapport i fuld overensstemmelse med
reglerne herfor.

Finanstilsynet mener, at Topdanmark har overtrådt §§ 27a, 36 og 37 i
værdipapirhandelsloven:

• Topdanmark mener ikke at have overtrådt VPHL § 27a, som omhandler måden,
hvorpå offentliggørelse skal finde sted. Overførsel fra én server til en anden
kan således ikke opfattes som en ”offentliggørelse” hverken ved sædvanlig eller
udvidende fortolkning. Brug af § 27a forudsætter således, at Topdanmark skulle
have foretaget eller tilsigtet at foretage en offentliggørelse af
selskabsmeddelelsen kl. 11:43. Dette var ikke tilfældet.

• Topdanmark mener ikke at have overtrådt VPHL § 36. Bestemmelsen omhandler
uretmæssig videregivelse af børsfølsom information og forudsætter, at
videregivelse til en anden har fundet sted. Dette er ikke tilfældet, idet der i
denne sag blot er overført data fra én Topdanmark-server til en anden
Topdanmark-server, begge skjult for omverdenen i et datamiljø, der udelukkende
var Topdanmarks.

• Topdanmark mener ikke at have overtrådt VPHL § 37, stk. 2 sammenhængende med
stk. 3, nr. 1 som omhandler, at børsnoterede selskaber skal have udarbejdet
interne regler for at hindre, at intern viden er tilgængelig for andre end dem,
der skal have adgang til informationen. Topdanmark har udarbejdet interne
regler, der, erkendt af Finanstilsynet, i hvert fald teoretisk sikrer, at
intern viden ikke er tilgængelig for andre end dem, der skal have adgang. Den
omstændighed, at intern viden på grund af en menneskelig fejl de facto er
blevet gjort tilgængelig for en anden, der mod bedre vidende ledte efter og
tiltvang sig adgang til informationen, indebærer ikke, at Topdanmarks interne
regler er utilstrækkelige.

Topdanmark har derfor ikke gjort sig skyldig i overtrædelse af VPHL's
bestemmelser, men har derimod været offer for en grov og uretmæssig adfærd fra
Reuters' side. Det er således med stor forundring, at vi har modtaget udkastet
til politianmeldelse.

Topdanmark har indhentet et responsum om sagens retlige aspekter fra professor
Lars Bo Langsted. Lars Bo Langsted deler Topdanmarks opfattelse af sagen
herunder, at der ikke er grundlag for at indgive politianmeldelse mod
Topdanmark. Responsummet kan læses på www.topdanmark.dk/ir → Corp. Gov. →
Lovgivning (http://www.topdanmark.dk/ir/index.php?ID=868).


Eventuelle henvendelser:

Christian Sagild, adm. direktør
Direkte telefon: 44 74 44 50

Steffen Heegaard, Kommunikations- og IR-direktør
Direkte telefon: 44 74 40 17, mobil: 40 25 35 24