'Banken moeten altijd vergoeden bij fraude'

Nederlandse banken beweren dat het wel meevalt met de schade door skimming en internetbankierfraude. Maar de geven geen zwart-op-wit garantie aan klanten dat ze schade vergoeden.

Bestuurskundige Michel van Eeten van de TU Delft vindt dat krom. "Put your money where your mouth is. Het zijn de banken die hun klanten laten bankieren via de webbrowser. Dat is de meest gekraakte software ooit. Dat doen ze omdat dat daar hele grote voordelen mee gemoeid zijn. Als je klanten aan deze risico's blootstelt om dat voordeel te behalen dan moet je ook de risico's afdekken."

Zijn appŤl aan de banken bracht hij tijdens het derde Elsevier Technologiedebat met de TU Delft en de Universiteit Leiden in Den Haag, dit keer met als onderwerp Is internetbankieren wel veilig?.

Schade uitkeren
De oproep is gericht aan het adres van Michael Samsom, adviseur informatica van de NVB, de Nederlandse Vereniging van Banken. Die reageert sussend. "We keren de schade altijd uit. Dat is nu de praktijk", aldus Samsom. Hij mag en kan in zijn positie niet zeggen dat de banken dat ook echt garanderen.

Van Eeten weet overigens een voorbeeld van een grote kraak die zo'n 200 gedupeerden heeft gemaakt onder Postbankklanten waarbij niet standaard is uitgekeerd. Volgens Samsom is dat uiteindelijk wel gebeurd, onder druk van het tv-programma Kassa.

Skimming
Ook bij skimming wordt de schade vergoed. Van Eeten: "Nu wel, maar in het begin kregen getroffen klanten geen vergoeding. Er werd gesproken over spookafschrijvingen en ze liepen zelfs het risico om door banken te worden aangeklaagd wegens fraude."

Samsom pareert dat banken wel vroeg met schadevergoedingen voor skimming over de brug kwamen. "Maar we moesten eerst in beeld krijgen wat er precies aan de hand was." Vorig jaar hebben de banken 36 miljoen euro schade geleden door skimming; dat is zestien procent meer dan het jaar ervoor. Deze schade komt volledig voor rekening van de banken. Vorig jaar is bij 32.000 van de 25 miljoen in omloop zijnde betaalpassen op valse wijze geld gepind door skimming. Als gevolg van detectiemaatregelen is de schade per kaart afgenomen van 1500 euro in 2008 naar 1100 euro in 2009.

Schade stilgehouden
Hoeveel de schade beloopt door internetbankieren houden de banken nog altijd angstvallig voor zich. Aanstaand najaar wordt het bedrag bekendgemaakt. Samsom beweert dat het bedrag niet bekend is, ook niet bij benadering. Dit ondanks het feit dat de totale schade wel bekend kan zijn door simpelweg een opstelsommetje te maken van de fraude bij Rabo, ING en ABN Amro/Fortis.

Opvallend genoeg weet Samsom wel dat het Nederlandse schadebedrag, ook relatief, veel lager ligt dan in het Verenigd Koninkrijk. Daar is het totaalbedrag wel bekend gemaakt: 380 miljoen euro per jaar aan 'card-not-present fraud'. Volgens Van Eeten mag je dat ongeveer gelijk stellen aan de online bankierfraude.

'Vertrouwen niet schaden'
Volgens Samsom zijn de banken jarenlang zwijgzaam over de werkelijke fraude vanuit een cultuur om het vertrouwen zo min mogelijk te schaden. Met de nieuwe wind van transparantie die ook in de bancaire wereld begint te waaien - als gevolg van onder meer de financiŽle crisis, woekerpolissen, etc. - worden banken meer open.

Van Eeten heeft, met ondermeer een Iraanse collega en twee Iraanse assistenten, de afgelopen maanden intensief onderzoek gedaan naar de online onderwereld. Die is volgens hem geprofessionaliseerd en open. Allerhande criminele diensten zijn vrij verkrijgbaar; van de huur van botnets tot het schrijven van virussen voor phishing. Van Eeten komt na een ruwe schatting op tenminste 150 miljoen besmette computers wereldwijd die worden ingezet voor ondermeer spam en klikfraude.

Sociale aanpak
Volgens Samsom wordt voor fraude met internetbankieren gebruik gemaakt van 'social engineeering'. Dit is ongeveer de oudste methode die we allemaal kennen in hacking. Technisch is het internetbankieren doorgaans goed genoeg beveiligd, vindt Van Eeten. De baten die de maatschappij heeft van elektronisch bankieren wegen ruimschoots op tegen de schade, met name door fraude, die het met zich meebrengt.

Die conclusie trekt ook Arjan Dasselaar, journalist en schrijver van het Handboek Digitale Criminaliteit. "De economische baten van betaalgemak zijn hoog", zei hij in het technologiedebat van de TU Delft en de Universiteit van Leiden.

Isoleren
Hij oppert nog wel de mogelijkheid om internetbankieren te laten plaatsvinden in een geÔsoleerde omgeving. Bijvoorbeeld met zogeheten sandbox-technologie zoals van Sandboxie, mocht de fraude uit de hand gaan lopen. Dasselaar zou het echter onverstandig vinden om online bankieren te verbannen naar aparte hard- en software om inbraken te voorkomen.

Het debat is overigens niet beperkt gebleven tot discussie 'op het droge'. Ethisch hacker Gijs Hollestelle van Deloitte liet zien hoe eenvoudig het is om een pc over te nemen met een malafide link in phishing e-mail. Zijn demonstratie leidde niet tot de verwachte huiver voor internetbankieren bij het publiek van het debat. Ook het debat zelf heeft geen ommekeer teweeg gebracht: het aantal personen dat internetbankieren veilig acht, groeide licht tussen begin en eind, al bleef het een minderheid.