De Nederlandse Vereniging van Banken (NVB) is serieus aan het nadenken over een eigen risico voor consumenten die gebruik maken van internetbankieren. In eerste instantie zou het gaan over consumenten die slordig omspringen met hun bank- en eventueel inloggegevens, maar daar hoeft het natuurlijk niet perse bij te blijven.
Ondanks dat Michael Samson, adviseur informatica bij de NVB, in een reactie laat weten dat het waarschijnlijk zo'n vaart niet zal lopen, is het blijkbaar toch een idee dat niet direct van tafel is geveegd toen het op hoog niveau op de agenda stond. En eigenlijk is dat ook niet zo gek. Nederland staat internationaal bekend om het grote aantal gebruikers van internetbankieren. In totaal zijn zo'n 11 miljoen Nederlanders hier actief mee. In de eerste helft van vorig jaar waren 2418 gebruikers het slachtoffer van malware en phishing. De schade bedroeg een slordige 11,2 miljoen euro. Kortom, een aardige kostenpost voor 's lands banken. En nadenken over bezuinigingen en efficiency kan nooit kwaad immers.
Maar als ik dit voorstel eens wat beter tot me door laat dringen, komen er steeds meer vragen en zelfs wat verontwaardiging bij me op. Want laten we eerlijk zijn: onze natie is met lichte dwang in de richting van internetbankieren gemanoeuvreerd. Dat past ook helemaal bij deze tijd. Wij willen niet meer op de fiets met wind tegen richting een verregend winkelcentrum en dan bij aankomst concluderen dat het personeel lunchpauze heeft en de bank dus gesloten is. Wij willen alles vanuit onze luie stoel kunnen regelen. Wat zeg ik? Wij willen zelfs geld kunnen overmaken als we op de top van de K2 staan. Handig en voor iedereen goedkoper… zou je zeggen. Banken hebben massaal kantoren gesloten en een medewerker kun je vaak alleen nog op afspraak spreken. Of we nu willen of niet, we moeten wel gebruik maken van moderne technologie om ons geld te kunnen beheren.
En in dat licht wordt dit voorstel ineens wrang. Consumenten hebben geen andere keuze dan gebruik te maken van de technologie die ze door hun bank wordt opgedrongen. Dezelfde consumenten stallen in vol vertrouwen maandelijks hun salaris bij de bank van hun keuze die daar vervolgens allerlei lucratieve processen mee uithaalt. Het kan dan niet zo zijn dat die zelfde consument geld moet gaan betalen om bij zijn eigen geld te komen via een dienst waar hij in principe niet zelf om heeft gevraagd. En dat alles onder het mom van 'beveiliging'.
De meeste banken hebben zeer kundige mensen in dienst, niet alleen op het gebied van het berekenen van financieel risico, maar ook het beveiligen van transacties. Men weet perfect wat er allemaal te halen is op het gebied van informatiebeveiliging. Het probleem hierbij zijn op dit moment gewoon de kosten. Voor zakelijk bankieren maken de meeste banken gebruik van een meer geavanceerde manier van beveiliging dan waar consumenten gebruik van maken. Waarom? Omdat het uitrollen van die technologie naar honderdduizenden mensen te veel kosten met zich meebrengt. Het terugbetalen van geld dat door cybercriminelen is verdoezeld, is schijnbaar nog lucratiever dan het uitrollen van echt veilige technologie voor internetbankieren, zoals bijvoorbeeld een versleutelde flash drive met daarop een certificaat en een veilige browser, al dan niet met biometrie.
Consumenten mogen nooit verantwoordelijk worden gehouden voor de veiligheid van de financiële transacties van hun bank. Opvoeden en alarmeren is prima en belangrijk, maar uiteindelijk moet de financiële wereld gaan inzien dat aan echte veiligheid een prijskaartje hangt. Goedkoop is ook hier duurkoop. Tot die tijd hou ik scherp in de gaten wat Samson en de zijnen allemaal bekokstoven!
“zoals bijvoorbeeld een versleutelde flash drive met daarop een certificaat en een veilige browser, al dan niet met biometrie.”
En hoe gaat dit dan werken op een pc die is overgenomen door een virus? Daar heb je als gebruiker niets meer over te zeggen. Leuk zo’n flash drive, maar jammer dat de virussen en hackers hier zo weinig respect voor hebben.
Strikt genomen betalen consumenten die 11,2 miljoen nu ook al, door de kosten die de bank in rekening brengt aan rekeninghouders, maar het fundamentele probleem hiermee is natuurlijk dat de bank als risicodrager het risico verplaatst naar de klant terwijl de klant daar helemaal geen invloed op heeft. Daarnaast kan de klant ook niet overstappen naar een andere bank, zo veel banken hebben we niet in Nederland. Het risico dat je zonder geld komt te zitten door meerdere rekeningen bij meerdere banken aan te houden kan natuurlijk wel, maar door de kosten die daaraan verbonden zijn ben in impliciet dat risico ook weer aan het betalen.
Wat me dan weer stoort aan het stukje van Ton is dat er onmiddellijk een technische oplossing wordt voorgesteld die dan wel “veilig” zou moeten zijn, terwijl het fundamentele risico, het uitwisselen van vertrouwelijke data over een niet te vertrouwen infrastructuur, niet onderkend wordt.
Een wijsheid als goedkoop is duurkoop komt altijd achteraf, zoals we put ook pas dempen als het kalf al verdronken. Dit soort voorstellen zijn dan exemplarisch voor het systemisch denken van mensen die niet rechtlijnig in oorzaak en gevolg denken. Waar winkeliers je vroeger voor het pinnen van kleine bedragen nog een kwartje in rekening brachten hebben ze nu liever niet teveel contant geld meer in kas door toenemende overvallen. Ondertussen is campagne ‘Klein bedrag, pinnen mag’ door ING vervangen met het suf heen en weer overmaken van centen en dubbeltjes via een mobiele applicatie. Het ‘paperless’ betalen is misschien wel makkelijk maar niet kosteloos want banken mogen van Brussel niet meer valuteren en er zijn ook geen wisselkoersen meer binnen de Single Euro Payments Area (SEPA). Vroeger moest je trouwens niet alleen voor de luxe van Girotel betalen maar werden ook de telefoontikken die gebruikt werden in rekening gebracht. Om die reden deed je meeste zaken offline waarna in één keer alle betalingen geupload werden, wij Hollanders zijn dan ook niet gek maar wel zuinig.
Banken brengen tegenwoordig wel een klein bedrag in rekening maar consument is eigenlijk een kostenpost geworden met ook nog eens een hoog risico doordat ze, verleid door de banken zelf zich onverantwoordelijk gedragen. Want ook criminelen gaan met hun tijd mee en hebben in hun nieuwe werken de bulldozer voor ramkraken vervangen door een iPad, welke makkelijker mee te nemen is en veel geruislozer. Deze vrije ondernemers kiezen namelijk net als de banken voor minste risico en richten zich dus steeds vaker op de particulier of kleine ondernemer omdat deze slechter beveiligd is. Voor niets komt de zon op omdat we de duistere zijde van het Internet gewoon niet willen zien en links of rechtsom wordt verlies natuurlijk altijd afgewenteld op de klanten die, net als dat we in de winkel het verlies van diefstal betalen.
Boekhouders maken gewoon een rekensommetje en concluderen dat het voordeliger is om de goeden te belasten en criminelen hun gang te laten gaan. Vervelende is inderdaad dat we geen keus hebben omdat het betalingsverkeer in handen is van monopolisten en geld van de bank afhalen en in een oude sok stoppen ook geen optie is als ik Hiddema mag geloven. Misschien moeten we dan maar het kwartje van Sarkozy voor financiële transacties invoeren om zo een einde te maken aan het ‘flitskapitaal’
Ik weet vrij veel van de gang van zaken rond het vroegere Chipper-project; daarvoor werden moeiteloos tientallen miljoenen geinvesteerd in betaal-apparaatjes voor thuisgebruik, om nog maar niet te spreken van de totale investeringen in deze marketing-faal. Ook het honderden miljoenen gekost hebbende Chipknip is alweer bijna verleden tijd. Geld (uit te geven door de banken) om internet-bankieren echt veilig te maken mag dus geen excuus zijn, en de bewijslast mag NOOIT bij de consument komen te liggen. Ondanks dat ik heel veel weet van elektronische transactie-systemen en dus niet snel in een scam zal trappen, zal ik nooit enig risico aanvaarden en onmiddellijk de papieren cheque terug eisen als men dit toch invoert.