Hoe het komt dat banken nauwelijks investeren in extra klantveiligheid

De afgelopen jaren heb ik meermaals uit de doeken gedaan waar het bij de meeste banken precies aan schort als het gaat om de klantveiligheid van zowel internetbankieren als mobiel bankieren. Mijn bevindingen zullen voor de banken overigens geen al te groot nieuws zijn geweest. Ze zijn er namelijk al jaren van op de hoogte waar zich de belangrijkste systeemzwaktes bevinden met betrekking tot elektronisch bankieren.

Verontrustender echter is het feit, dat de meeste banken volstrekt onwelwillend zijn om dergelijke systeemzwaktes aan te pakken. De vier belangrijkste oorzaken van deze onwil om te investeren in extra klantveiligheid licht ik hieronder toe.

1) Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven
De jongere generaties maken hoofdzakelijk gebruik van mobiel bankieren. Mobiel bankieren is veiliger dan internetbankieren, vanwege het feit dat mobiel bankieren vrijwel ongevoelig is voor phishing-scams. De mobiele bankapp verbindt namelijk alleen met legitieme bankwebsites in tegenstelling tot internetbankieren waarmee je potentieel ook kunt verbinden met valse bankwebsites. Hoewel het technisch heel goed mogelijk is om de belangrijkste voordelen van mobiel bankieren op basis van gebruikerskeuzevrijheid (i.c. optioneel) te integreren binnen internetbankieren, hebben banken daar maar weinig oren naar.

Het blijken met name de oudere en meer kwetsbare gebruikers te zijn die gebruik maken van internetbankieren. Enerzijds vanwege het feit dat internetbankieren veel eerder werd geïntroduceerd dan mobiel bankieren, anderzijds vanwege het feit dat internetbankieren doorgaans een beter overzicht biedt vanwege het grotere beeldscherm.

Deze doelgroep van oudere en meer kwetsbare gebruikers is commercieel doorgaans niet langer interessant voor een bank. Deze gebruikers hebben in het verleden namelijk vaak al een hypotheek, een lening of een verzekering bij de bank afgesloten of ze zijn sowieso relatief onbemiddeld. In commercieel opzicht kan een bank aan deze klanten daarom weinig extra geld meer verdienen.

Vandaar ook dat banken zich niet zo druk maken over de potentiële gebruikersonveiligheid van met name deze oudere en meer kwetsbare gebruikers. Het verdienpotentieel is namelijk toch al binnen en nadere investeringen in de gebruikersveiligheid voor deze overwegend internetbankierende doelgroep leveren banken per saldo nauwelijks extra geld op.

2) Klantgemak gaat uitdrukkelijk boven klantveiligheid
De meeste banken kiezen uitdrukkelijk voor een jong, vlot en eigentijds imago. Bankzaken mogen namelijk niet stoffig overkomen, maar moeten vooral een snelle en gemakkelijke uitstraling hebben. De belangrijkste systeemzwaktes binnen elektronisch bankieren zijn dan ook het direkte gevolg van keuzes voor gebruikersgemak boven gebruikersveiligheid.

De huidige technische infrastructuur van elektronisch bankieren richt zich erop om in zo min mogelijk stappen een betaling of een overboeking te kunnen doen. Het Europese wettelijk minimumkader wordt daarbij het liefst zo nauw mogelijk gevolgd. Ondanks het feit dat er tegenwoordig technisch meer mogelijk is, dan waarmee binnen dit wettelijk minimumkader rekening is gehouden.

Extra beveiligingsstappen die de gebruikersveiligheid substantieel zouden verhogen, sneuvelen bij de meeste banken onder het mom van het zo snel en zo gemakkelijk mogelijk bankzaken moeten kunnen doen. Het gevolg is dat phishing-scams een groeiend maatschappelijk probleem vormen, terwijl ze in technisch opzicht inmiddels grotendeels voorkomen kunnen worden door de technische infrastructuur van internetbankieren op slechts enkele kleine punten aan te passen.

3) Banken rekenen op victim blaming om zelf maatschappelijk uit de wind te blijven
De meest gehoorde reakties naar aanleiding van verhalen van slachtoffers wiens volledige bankrekening is leeggeplunderd als gevolg van phishing-scams zijn: ‘Hoe kan iemand nu zo dom zijn?’ of ‘Zoiets zou mij nou echt nooit overkomen!’. Banken wentelen zich relatief comfortabel in dergelijke reakties van victim blaming, omdat ze hierdoor in maatschappelijk opzicht zelf grotendeels uit de wind blijven.

Ze doen hier bovendien zelf nog een schepje bovenop door in hun eenzijdige voorlichtingscampagnes te blijven benadrukken dat de meeste phishing-scams voorkomen kunnen worden door alle bank-URL’s binnen internetbankieren nauwgezet en consequent te controleren (zie ook punt 4).

4) Banken dragen zelf deels bij aan de systeemonveiligheid van internetbankieren
Ja dûh, maar in de praktijk van het internet is een dergelijke nauwgezette en consequente controle eigenlijk alleen maar haalbaar als je gebruik maakt van een geavanceerd computerprogramma…..zoals bijvoorbeeld…..een mobiele bankapp!

Banken laten bovendien fijntjes achterwege dat met name de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie intuïtief moeilijk zijn te onderscheiden van valse bankwebsites. Dergelijke betaallinks (iDEAL) of links voor persoonsidentificatie (iDIN) komen namelijk meestal niet overeen met de primaire bank-URL en zijn bovendien voor elke bank weer anders opgebouwd. In het kader van een veilig en betrouwbaar maatschappelijk betaalverkeer is het toch een volstrekte gotspe dat gebruikers van internetbankieren dergelijke bank-URL’s handmatig zouden moeten controleren om te voorkomen dat ze eventueel op valse bankwebsites belanden?

De oplossing tegen phishing via valse bankwebsites ligt voor het oprapen
Binnen mobiele bankapps wordt immers wel standaard voorzien in automatische controles op legitieme websites ter voorkoming van valse overboekingen. Binnen internetbankieren echter laten banken de potentiële introductie van een extra beveiligingsstap ‘mobiel bankieren’ op basis van gebruikerskeuzevrijheid (i.c. optioneel) ter voorkoming van valse overboekingen liever achterwege. Met name vanwege de hierboven aangehaalde vier issues frustreren c.q. blokkeren banken binnen internetbankieren de introductie van een gebruikers-optionele extra beveiligingsstap ‘mobiel bankieren’ ter voorkoming van valse overboekingen.

Waarbij hoogstwaarschijnlijk het gegeven dat het voornamelijk de oudere en meer kwetsbare gebruikers zijn die internetbankieren – waaraan voor banken weinig extra geld meer te verdienen valt – de doorslag geeft. Terwijl een dergelijke aanpak juist het groeiende maatschappelijke probleem van phishing-scams via valse bankwebsites grotendeels zou kunnen beslechten.

Art Huiskes (onderzoeksjournalist)