De Nederlandse Vereniging van Banken (NVB) heeft bekend gemaakt dat haar leden graag een eigen risico in zouden voeren bij consumenten die de dupe worden van hackers tijdens het internetbankieren.
In de afgelopen jaren hebben de banken meerdere campagnes gevoerd om de consument meer attent te maken op de risico’s bij het internetbankieren in de hoop de schade te kunnen beperken. Nu gaat dat de banken kennelijk niet hard genoeg en dus zou men graag een eigen risico invoeren, zodat de consument het zelf ook voelt in de portemonnee wanneer er iets niet goed gaat. Op dit moment is het zo dat gebruikers die internetbankieren op een onveilige computer en daardoor geld verliezen door de bank volledig gecompenseerd worden voor het verlies.
In eerste instantie lijkt het een redelijk idee. Uiteindelijk moet de consument verantwoord omgaan met betaalgegevens en daar valt tegenwoordig ook de computer onder. Deze moet schoon en vrij van ongure software gehouden worden.
In tweede instantie klinkt het voorstel echter een stuk minder redelijk. De banken hebben er namelijk zelf voor gekozen om de consument aan het internetbankieren te krijgen, omdat het goedkoper is.
Daarnaast hebben de banken nog geen feilloze infrastructuur op weten te zetten zoals de ING recent nog heeft bewezen. Ondanks dat klanten hier in twee weken een schade hebben geleden die gerust het dubbele was van één jaar internetbankierschade, vond de bank het niet relevant een schadevergoeding uit te keren.
Banken en verzekeraars moeten hun klanten blijven aanspreken op hun verantwoordelijkheid, maar dit is ook deel van hun business. Zolang banken geen effect voelen van hun eigen fouten, is het niet redelijk de consument wel op te laten draaien voor zijn fouten.
Werkzaam geweest voor verschillenden ben ik ook bekend met de verschillende manieren van veiligheid en beveiliging. Als IT’er mag ik de banken in hun mening graag een punt toekennen voor waar het ‘een eigen risico’ aan gaat. Nu ben ik ook heel redelijk en zie welke maatschappelijke positie de banken hebben en hoe zij dit heden ten dage hebben ingericht.
Immers, waar je voorheen gewoon naar een kantoor kon wandelen om geld te halen hebben de banken zelf voor een systeem geopteerd waar hun ‘klanten’ geen enkele inspraak in hebben gehad. De betaalpas. Toegegeven, het is een handig middel maar de consument is, weliswaar verkapt, wel de betaler geweest van het pasje en het systeem uiteindelijk.
Kennen we het debacle rond de chipknip? Het systeem dat maar niet van de grond wilde komen? Had je daar geld op staan en je pasje was gestolen? Juist, dan was je dat geld ook kwijt. Nu wil het geval dat ook de chipknip niet onfeilbaar was en de consument? Die heeft uiteindelijk de rekening, wederom verkapt, mogen betalen.
Nu wil het zo dat ook de consument geen enkele zeggenschap heeft gehad in de keus van de banken een bepaalde wijze van ‘beveiligen’ bij internetbankieren. Banken weten net zo goed als u en ik, dat thuisbankieren ook niet altijd even veilig is omdat ….. bedenkt u zelf maar.
Dit zal altijd wel een dynamisch veld blijven tussen banken en klanten en bottom line? Dat de banken een beetje boter op het hoofd hebben. Wie betaald namelijk uiteindelijk de rekening in geval van schade? De betreffende bank? You must be kidding. Dat wordt uiteindelijk verdisconteerd op allerlei mogelijke manieren en slinkse wegen zodat de klant van de bank uiteindelijk gewoon de rekening betaald.
Eerlijkheid gebied dit zo te mogen stellen want als we naar de banken kijken alleen al de afgelopen vijf jaar? Dan moeten we constateren dat de banken alles behalve een solide en veilig beleid hebben gevoerd en de rekening van falen? Juist.
Als de banken bang zijn opgezadeld te worden met een stukje ondernemersrisico? Dan weten zij daar heel goed raad mee.
Need I say more?
Het is aan de banken om een veilig systeem op te zetten, als ze bang zijn dat consumenten geen virusscanner geinstalleerd hebben, dan kunnen ze dat automatisch als check meenemen bij het inloggen.
Je moet er vanuit kunnen gaan dat het systeem wat je aangeboden krijgt, ook veilig is. Dat bijvoorbeeld de ING kiest voor een wachtwoord beveiliging en cleartext (SMS) zenden van de authorisatiecodes is hun keuze, maar daarmee ook hun risico.
Als de banken het risico van internetfraude niet willen dragen, dan hebben ze blijkbaar geen vertrouwen in hun systemen en dan moeten ze daar investeren en niet zoals de laatste tijd gebruikelijk is om alle risico’s en kosten naar klanten af te schuiven.
De omgekeerde wereld, het wordt steeds gekker. Nog niet zo lang geleden werd er cash salaris betaald en stonden de banken te bedelen om jouw geld bij hen te stallen. Je kreeg er zelfs een fatsoenlijke rente voor. Nu niemand meer over cash geld beschikt, moet je betalen als je jouw eigen geld van de bank in je portemonnee wil hebben, je krijgt vrijwel geen rente meer en de jaarlijkse winsten van de banken (net als de bonussen) trouwens stijgen maar door. Als hun systemen niet goed werken wordt het systeem plat gelegd en kun je geen aankopen doen, worden 2 miljoen e-mail adressen eventjes geblokkeerd, etc. Volgende stap is dat je een eigen risico gaat betalen voor diefstal die wordt gepleegd omdat de systemen van de banken niet voldoende beveilgd zijn. Hoe lang gaat proces nog door, wanneer zijn de consumenten het beu en kiezen voor een oplossing waar iedereen op een normale manier kan leven en consumeren.
Het is echt te bizar voor woorden om de klant hiermee op te zadelen; de banken moeten er maar voor zorgen dat er een waterdicht systeem komt! Men mag van de gemiddelde klant niet verwachten dat ze de doortrapte trucs van cybercriminelen doorziet. Ook is het impliciet omkeren van de bewijslast (de klant moet maar aantonen geen fouten te hebben gemaakt) onacceptabel. Een kleine investering in hardware is voldoende om electronisch bankieren voldoende veilig te maken, en de banken hebben middelen zat om dit te realiseren. De Chipper-flop heeft miljarden gekost, en daar hoor je ze tenslotte ook nooit over dus een paar honderd miljoen voor een goed thuisbankier-apparaatje mag geen probleem zijn.