De afgelopen week stond de bank bunq in de spotlight naar aanleiding van berichtgeving van de NOS en NRC. Daaruit blijkt dat juist bij bunq criminelen opvallend succesvol zijn met hun misleidings- en fraudeactiviteiten. Dit verbaast mij niet. Bunq onderscheidt zich op meerdere fronten van andere banken en is tevens nog steeds geen lid van de Nederlandse Vereniging van Banken (NVB), waar instellingen binnen de financiële sector samenwerken, onder andere op het gebied van veiligheid.
Tegelijkertijd schuilt achter de spotlight op bunq een grotere problematiek. Ook klanten van andere banken worden nog steeds slachtoffer van verschillende vormen van fraude, waarbij zij uiteindelijk hun geld kwijt zijn omdat de bank hun verlies niet vergoedt. Dit is geen aanklacht aan het adres van de bank, maar eerder een waarschuwing voor mensen om alert te worden en te blijven.
Er is namelijk een belangrijk verschil tussen de vele vormen van fraude waarmee consumenten momenteel geconfronteerd worden en de vormen van fraude met internetbankieren van jaren geleden. In het verleden waren slachtoffers er niet van bewust dat hun computer geïnfecteerd was met kwaadaardige software. Hierdoor konden criminelen de communicatie afvangen tussen het slachtoffer en de bank. Daarnaast konden zij transacties geïnitieerd door het slachtoffer wijzigen. Iemand kon dus slachtoffer worden zonder een ‘actieve’ rol te vervullen. Inmiddels zijn we jaren verder en hebben de meeste fraude-incidenten een social engineering component, de technieken die criminelen gebruiken om toekomstige slachtoffers te manipuleren, waardoor het slachtoffer indirect en onbewust meewerkt aan het slachtofferschap.
Lees ook
101.410 euro kwijt in 39 minuten: het sms’je bleek toch niet van bunq te zijn
Actief meedoen of niet
De huidige vormen van fraude rusten dus vooral op misleiding van criminelen om een slachtoffer over te halen bepaalde stappen te ondernemen die verder gaan dan enkel op een link klikken en daardoor het slachtoffer een ‘actieve’ rol geven. Criminelen doen zich bijvoorbeeld voor als een bankmedewerker, net zoals zij zich in het verleden als Microsoft-helpdeskmedewerker hebben voorgedaan. Vervolgens neemt het slachtoffer bepaalde acties waardoor de rekening geplunderd kan worden. Die acties, zoals het downloaden van software of het overhandigen van codes of wachtwoorden, zorgen ervoor dat het slachtoffer indirect heeft meegewerkt.
Door dit essentiële verschil, tussen actief meedoen of niet, vangen slachtoffers vaak bot als zij hun bank aanspreken op een vergoeding. Banken maken altijd de afweging of klanten mogelijk onzorgvuldig of nalatig hebben gehandeld. Inmiddels zijn er zoveel waarschuwingen en campagnes geweest dat de veronderstelling lijkt dat klanten voldoende bewust zouden moeten zijn. Een klacht bij het Klachteninstituut Financiële Dienstverlening (KiFiD) is voor sommigen een vervolgstap, maar doorgaans komen ook die slachtoffers van een koude kermis thuis. De conclusie van het KiFiD is regelmatig dat de bank niets te verwijten valt en dat het slachtoffer, hoe droevig ook, dingen heeft gedaan om de fraude mogelijk te maken.
Gemak is ook een keuze
In essentie is misleiding ook de methode die succesvol is gebleken bij klanten van bunq, hoewel zij minder maatregelen hebben getroffen dan andere instellingen om het risico of de mogelijke schade te beperken. De vraag zal dus zijn in hoeverre bunq voldoet aan de benodigde beveiligingseisen. Ik verwacht dat de bank voldoet aan de basisvereisten, omdat zij bijvoorbeeld tweestapsverificatie hebben voor haar klanten. Alle andere maatregelen, zoals limieten van transacties, zijn geen aanleiding om te zeggen dat bunq niet heeft voldaan aan haar zorgplicht richting haar klanten. Het is in zekere zin de prijs die klanten betalen voor gemak. Extra maatregelen zoals limieten van transacties en het vertragen van het opheffen van deze limieten kunnen worden gezien als een vorm van ongemak. Bunq biedt dus zo gezien optimaal gemak ten koste van risicomanagement en schadebeperking. Als klant is dit dus ook een keuze.
In 2012 waarschuwde ik al in een vakblad dat de verantwoordelijkheid van veiligheid richting de klant zou verschuiven. De druk neemt zo toe voor klanten om alert te zijn en te blijven. Met de komst van generatieve AI wordt de uitdaging van deze lang bestaande methoden om klanten te misleiden nog groter. Als wij nu al onvoldoende weerbaar zijn tegen de ‘babbeltrucs’ van criminelen omdat zij het telefoonnummer van de bank weten te imiteren en overtuigend over weten te komen, hoe kunnen wij onszelf verdedigen als stemkloning en deepfakes echt mainstream worden?
Beter dan specifiek achter bunq aan te gaan, moeten wij daarom nadenken over hoe wij de samenleving weerbaarder kunnen maken tegen dit soort aanvalsvormen en hoe wij collectief kwetsbare groepen beter kunnen beschermen.
Lees ook
Bunq, de bank die ‘NOOIT belt’, belt nu toch
