Online bankieren: staat snelheid of veiligheid voorop?

Frans kreeg onlangs de schrik van zijn leven. De bank vertelde hem dat er voor 45.000 euro aan juwelen was afgerekend met zijn rekening, en er ook 330 euro gepind was bij een geldautomaat. Frans wist van niets. Een week eerder had hij een e-mail gekregen uit naam van zijn bank ABN AMRO, dat hij zijn gegevens moest controleren. Een verzoek dat vaker vanuit banken naar hun klanten wordt gestuurd. Achteraf is gebleken dat het een phishing mail betrof; Frans dacht in te loggen bij de bank maar ondertussen kon de crimineel waarschijnlijk op het echte account van Frans bij de bank inloggen. Daar kon de crimineel een nieuw postadres toevoegen en een nieuwe pinpas aanvragen op naam van Frans, op het nieuwe adres. De crimineel kon zélf de limiet die Frans had ingesteld voor betalingen – nooit meer dan 1500 euro kunnen afrekenen- ook zélf verhogen naar 45.000 euro. Dit was mogelijk omdat ABN AMRO in haar instellingen de mogelijkheid biedt om de limiet te verhogen naar 50.000 euro. Frans geeft aan geen waarschuwing van de bank te hebben ontvangen dat er een nieuw adres is toegevoegd en dat er op dat adres een nieuwe pinpas werd aangevraagd.

Nadat Kassa contact opneemt met ABN AMRO krijgt Frans het gestolen geld de volgende ochtend ineens op zijn rekening teruggestort. Het blijft hem echter onduidelijk hoe dit precies heeft kunnen gebeuren en waarom hij geen sms of email heeft gekregen van de bank om deze wijzigingen eerst te verifiëren. Ook blijf onduidelijk wat de bank eraan doet om dit voor andere klanten tegen te gaan. ABN AMRO zegt het te betreuren dat de klant schade heeft geleden als gevolg van phishing. De volledige reactie van de bank lees je hier.

Het blijkt steeds lastiger om neppe en echte berichten van elkaar te kunnen onderscheiden. Ook een frauduleuze website kan een groen veiligheidsslotje bevatten, en ook een crimineel kan bellen met het echte telefoonnummer van de bank. Het lijkt dus steeds meer zaak dat, in een tijd waarbij specialistische kennis nodig is voor consumenten om nooit in een vorm van fraude te kunnen trappen, voor bankklanten de schade zoveel mogelijk beperkt kan blijven. En dat blijkt niet altijd het geval. Je bent als klant afhankelijk van de instellingen van de bank voor online bankieren, en uit onderzoek van Kassa blijkt dat die er niet altijd op gericht zijn om het risico voor de klant zo laag mogelijk te houden. Ook blijkt het soms onmogelijk om meer veiligheidsmaatregelen te realiseren als je dat zou willen, omdat de bank dit technisch niet mogelijk maakt. De Betaalvereniging Nederland, brancheclub van de banken, wilde niet bij Kassa in de uitzending reageren. In een reactie op camera stelt de woordvoerder dat banken het mogelijk maken om limieten te kiezen die aan jouw voorkeuren voldoen en je een bank kunt kiezen die het beste bij je past.

Yvonne verloor in 2019 haar spaargeld van 25.000 euro omdat zij de dupe werd van helpdeskfraude, de zogeheten Microsoftscam. Ook de naaste van Victor verloor in 2017 door dezelfde soort scam 30.000 euro. Achteraf bleek voor Yvonne dat door haar bank, de ASN, de standaardlimiet bij gebruik van haar Digipas op 25.000 euro was bepaald. In het geval van de naaste van Victor bleek achteraf dat bij haar bank, de ING, het daglimiet binnen een kwartier naar het maximum omhooggeschoven kon worden door de crimineel. Hierdoor kon ineens 30.000 euro worden gestolen. Victor heeft dit ‘zwakke punt’ van de makkelijk te verhogen daglimiet steeds opnieuw bij ING en zelfs bij het Kifid onder de aandacht gebracht, maar werd afgewezen.

In november 2020 ziet hij ineens dat ING door de enorme schade van ING-klanten door spoofing dit punt aanpast, en de wachttijd voor het verhogen van de limiet voor overboekingen naar 4 uur vertraagt, precies zoals Victor steeds had betoogd. Yvonne geeft aan nooit te hebben gewild dat ze standaard 25.000 euro kon overmaken, maar zou dit bedrag lager hebben willen hebben. Volgens ASN had Yvonne dit moeten weten omdat in de voorwaarden die de klant krijgt is opgenomen dat het daglimiet van de Digipas 25.000 euro is. Daar staat echter niet dat de standaard limiet 25.000 euro is, door de bank bepaald. Onlangs heeft de bank overigens de standaard limiet wel naar beneden bijgesteld, naar 5000 euro. ASN blijft erbij dat ze het heel treurig vinden maar Yvonne niet gaan vergoeden, volgens ASN heeft ze zelf de overboeking bevestigd met gebruik van haar Digipas. De volledige reactie van ASN bank lees je hier. Ook ING betreurt de situatie van de naaste van Victor, maar blijft ook bij haar eerdere afwijzing. De reactie van ING lees je hier.

Kassa belde naar de klantenservice van een paar banken om te vragen om meer beveiliging op de online bankieren rekening dan nu is ingesteld, en dat bleek lastig. Bij de klantenservice van Rabobank blijkt dat je zelf de limiet voor overboeken zo laag kunt zetten als je wil, maar na doorvragen blijkt dat dit de limiet per overboeking betreft, en de werkelijke limiet is dan eigenlijk het saldo dat op de rekening staat want je kunt volgens de medewerker het ingestelde bedrag blijven overmaken net zo lang tot de rekening leeg is. Aan de telefoon met ABN AMRO blijkt dat de standaard limiet zodra het e.dentifier apparaat gebruikt wordt door de bank is ingesteld op 250.000 euro, en dat dit ook níet lager te zetten is door de klant. De ING-klantenservice geeft aan dat onze vraag om bij online bankieren de spaarrekening los te kunnen koppelen van de betaalrekening er niet is.

Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft, legt uit dat uit onderzoeken naar het gedrag van mensen blijkt dat 99% van hen met de standaard instellingen werkt. Het is in het geval van instellingen bij Internetbankieren dan van belang dat deze zo zijn ingesteld dat ze het risico voor de klant beperken, op het moment dat er fraude plaatsvindt. De crimineel kan op dat moment vaak namelijk óók bij die instellingen, en dan wil je die liever in beton gegoten hebben om een voor jou gewenst bedrag, zodat de crimineel er niet zelf mee aan de haal kan gaan.

Van Eeten: “Natuurlijk mag je van mensen vragen verantwoordelijkheid te nemen, maar die verantwoordelijkheid nemen gaat voor heel veel mensen niet lukken op de manier die de bank veronderstelt, namelijk alle vormen van fraude allemaal in de smiezen hebben en begrijpen hoe dat werkt en me daardoor bescherm”. Volgens Van Eeten is het belangrijk om te beseffen dat als je een keer onbewust in fraude trapt “het niet zo kan zijn dat je direct aan maximale schade blootgesteld bent. En dat is nu helaas wel zo. En daar zou je in de beveiliging een oplossing voor moeten bieden, dat het maken van fouten minder drastische gevolgen heeft.”