Veilig online bankieren en de zorgplicht van de bank
In mijn vorige artikel op Security.NL schreef ik dat de tijd rijp is om een zekere mate van verantwoordelijkheid van de klant te verwachten. Echter, om van de klant verantwoordelijk gedrag te mogen verwachten dienen banken allereerst naar zichzelf te kijken. Wie verantwoordelijkheid wil delen dient immers eerst zijn eigen verantwoordelijkheid compleet op orde te hebben.
Banken hebben een wettelijke zorgplicht. Maar wat betekent de zorgplicht in het concrete geval van fraude met online bankieren? Helaas is dit wettelijk niet tot op detail geregeld is. Ditzelfde geldt overigens voor de verantwoordelijkheid en verplichte maatregelen van de klant. De bank mag beide aspecten tot op zekere hoogte wettelijk naar eigen inzicht bepalen in haar algemene voorwaarden. Helaas zijn banken in hun algemene voorwaarden wel zo vrij geweest om te specificeren welke maatregelen zij van hun klanten verwachten, maar andersom zijn zij in mindere mate gedetailleerd in wat klanten van hun mogen verwachten. Dit lijkt me in het kader van transparantie en een gedeelde verantwoordelijkheid niet juist. En juist nu banken de verantwoordelijkheid willen delen is dit extra belangrijk.
Het is goed om te beseffen dat het delen van verantwoordelijkheid niet simpelweg het verschuiven van verantwoordelijkheid van de ene naar de andere partij is (in dit geval van bank naar klant). Het delen van verantwoordelijkheid houdt in dat de taart van verantwoordelijkheden opgedeeld dient te worden over meerdere partijen, waarbij de totale grootte van de taart groeit. Bijvoorbeeld: wanneer een bank een klant verantwoordelijk houdt om bepaalde beveiligingsmaatregelen te treffen, krijgt de bank de verantwoordelijkheid om allereerst zelf te zorgen voor veiligheid, om daarna te controleren of de klant de door de bank gewenste verantwoordelijkheid ook echt kan dragen en om deze verantwoordelijkheid op de juiste en begrijpelijke wijze richting de klant te communiceren.
We weten dat banken allerlei activiteiten ontplooien op het gebied van beveiliging van het online kanaal, voorlichting van klanten, monitoren en detecteren van frauduleuze patronen en het opschonen van het internet (offline brengen van malafide websites). Maar in hoeverre is de zorgplicht hiermee afgedekt? Wat mogen klanten van de bank verwachten? Een norm voor zorgplicht ontbreekt! De ECB heeft begin 2013 met haar aanbevelingen voor online betalingsverkeer een aardige voorzet gedaan. Maar tot wettelijke invulling is het tot op heden helaas niet gekomen.
Naast de wettelijke zorgplicht bestaat er in de ethiek zoiets als "due care view" (zorgvuldigheid). De "due care view" is gebaseerd op het idee dat consumenten en aanbieders (banken in dit geval) elkaar niet als gelijke treffen, en dat de belangen van de consument daardoor kwetsbaar zijn. Omdat banken ten opzichte van klanten een bevoordeelde positie hebben (denk bijvoorbeeld aan het verschil in kennis), dienen ze speciale zorgvuldigheid te betrachten om te zorgen dat de belangen van de klant niet geschaad worden door de aangeboden dienst of goed (in dit geval online bankieren). De "due care view" schrijft voor dat banken een uiterste inspanning doen om risico's te mitigeren en om hun klanten informeren over alle niet verwijderbare risico’s die kleven aan normaal gebruik van het product. Risico’s die niet gecommuniceerd worden blijven volledig voor rekening van de bank. Daarnaast schrijft de "due care view" voor dat banken speciale zorg betrachten voor klanten die minder vaardig zijn dan de gemiddelde klant. Kortom: banken dienen de risico’s duidelijk te communiceren en dienen hun zorgplicht aan te passen aan de kennis en kunde van de klant. Zoals ik recentelijk ook al schreef in het Financieele Dagblad: maatwerk in plaats van uniformiteit voor veilig online bankieren (Opinie, 20 december 2013).
De zorgplicht en de "due care" zijn van wezenlijk belang in dit vraagstuk. De mate waarop invulling wordt gegeven aan deze aspecten dient meegenomen te worden in een eventuele klant aansprakelijkheidsvraag. Uit uitspraken van het KiFid en de rechter blijkt echter dat er onvoldoende wordt gekeken naar de mate van invulling van de zorgplicht door de bank. Mijns inziens zouden partijen allereerst moeten vaststellen of de bank wel volledig aan haar zorgplicht en "due care" heeft voldaan. Pas als onomstotelijk vastgesteld kan worden dat de bank hieraan voldaan heeft, kan gekeken worden naar eventuele aansprakelijkheid voor de klant.
Mijn aanbeveling is dat de zorgplicht voor banken op dit vlak nader uitgewerkt moet worden door de bevoegde instanties en de Nederlandse Vereniging van Banken (NVB). Banken zullen gezamenlijk hun "due care" verplichtingen in moeten vullen. Daarnaast zullen banken in de communicatie, voorlichting en verplichte klantmaatregelen onderscheid moeten maken tussen de verschillende klanten en hun kennis en kunde.
Paul van Dommelen is Managing Consultant Financial Services bij Capgemini. Ter afronding van zijn Executive MBA aan de Nyenrode Business Universiteit publiceerde hij in november zijn master thesis over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren.
En in hoeverre zijn verdere uitwerkingen door de bank of NVB zinvol zolang dit niet wettelijk vastligt? Immers, de bank draagt nog steeds het risico voor fraude met betaalmiddelen (art7:529 BW). De enige oplossing lijkt de veratwoordelijkheid wettelijk vast te leggen, en dat zie ik politici niet direct doen. Al is het maar omdat banken op dat niveau hun krediet verspeeld hebben.
Daar zijn verschillende mogelijkheden voor te bedenken, een vragenlijst zou inderdaad kunnen (zo werk het bij Mifid). Die vragenlijst gaat overigens niet over hoe slim de klant is (IQ) maar bijvoorbeeld over welke beveiligingsmaatregelen de klant genomen neemt, in hoeverre hij op de hoogte is van fraude mogelijkheden etc.Blijft natuurlijk altijd arbitrair welke vragen je precies moet stellen en vergt dus nader onderzoek. Daarnaast zou de bank bij inloggen ook kunnen bepalen hoe veilig mijn systeem is. Uiteraard geen scan die de bank uitvoert op mijn computer, maar bijvoorbeeld een interpretatie van de gegevens die de bank ontvangt in de sessie. Bijvoorbeeld welke browser en welke versie. Een combinatie van deze zaken lijkt mij het beste.
Hier zijn twee mogelijkheden: wettelijk vast laten leggen door de overheid of uit laten werken door de banken en de NVB en vervolgens op laten nemen in de algemene voorwaarden. Beide hebben voor en nadelen. Als de banken hun zorgplicht uitschrijven in de algemene voorwaarden heeft dat wel degelijk een juridisch karakter. Precies zoals het nu andersom gaat met de voorwaarden die de verplichte maatregelen voor de klant beschrijven. Ik denk dat overigens dat dit het invullen van de zorgplicht niet alleen door de banken gedaan moet worden. De overheid moet hier naar mijn mening een belangrijkere rol in spelen en weldegelijk zorgen voor wetgeving, bijvoorbeeld door de aanbevelingen van de ECB (zie artikel) te verplichten. Over de rol van de overheid schrijf ik in een later artikel. Laatst sprak ik hier ook over op BNR nieuwsradio: http://www.bnr.nl/?player=archief&fragment=20140116063844240.
De overheid moet hier naar mijn mening een belangrijkere rol in spelen en wel degelijk zorgen voor wetgeving, .[/quote]
Ik heb je letter brei nagenoeg geheel weg geknipt.
Waar het dus om draait is dat de banken PAS na wettelijke maatregelen ONS betalings-verkeer weer veilig zullen maken!
De bank vind dat ik ogen in mijn achterhoofd moet hebben
Ik moet zelfs camera´s met een zoom van 300 kunnen zien.
Oom agent vertelt me dat ik bij een beroving me niet moet verzetten,
maar de banken vinden dat ik gewond moet zijn anders doen ze moeilijk.
De bank heeft ONS geld er niet voor over om XP in betaalautomaten te vervangen voor een eigen veilig systeem.
De bank heeft ONS geld er niet voor over om betaalautomaten skim veilig te maken.
De beiden problemen kun je oplossen voor de prijs van 1 (EEN) gouden handdruk.
Ik kan buitenlandse geld opname niet blokkeren.
Als op een kopie van mijn creditkaart in China een vliegticket van 800 Euro gekocht wordt
Terwijl de zelfde creditkaart 3 uur eerder bij Utrecht gebruikt is!
dan moet ik heel veel moeite doen om mijn geld terug te krijgen.
Maar als ik ZELF een app van 1,15 Euro koop dan wordt mijn creditkaart gelijk geblokkeerd.
Als ik ZELF een Eboek van 0,99 Euro koop raad eens wat er dan gebeurt?
De banken blijven herhalen dat je niet op vreemde links in email moet klikken!
Maar sturen ZELF email´s met vreemde links naar vreemde website om een enquête in te vullen.
Nota bene een een enquête om aan te tonen hoe hoe veilig ze bezig zijn.
Ik ben Don Quichot niet, ik laat dit nu van me afglijden, ik neem nu een kanon (of 2) en drink die op. ;-)
De eisen die de banken momenteel stellen (bijv. vrij te zijn van illegale software en een bijgewerkte virusscanner te hebben) zijn voor mensen vaak te hoog gegrepen. Ze hebben meestal (zeer) oude versies van Java die zéér risicovol zijn, of een oude versie van Adobe Reader die veel risico met zich meebrengt. Of een illegale kopie van Office 2007......
In dit scenario erover willen nadenken meer risico's naar de consument te brengen lijkt me irreëel. Het lijkt er bijna op alsof de banken de hete aardappel zo vlug mogelijk willen overgooien naar andere handen.....
Ik vind het een heel goed idee als eerst eens heel goed wordt vastgelegd wat de verantwoording nu eigenlijk precies van de banken is. Ze lijken zich er hier in mijn ogen veel te makkelijk en te snel van af te willen maken.
Is het ueberhaupt te verwachten dat, met de gangbare platformen (hard- en software) en met mensen zonder al teveel kennis nog in staat zijn op een veilige wijze te telebankieren via web, een pc of mobieltje dat niet actief of niet wordt 'beheerd’?
Als het antwoord op deze vraag al niet eenduidig en bevestigend kan worden beantwoord, is elke verdere vraag over eventuele gedeelde verantwoordelijk- c.q. aansprakelijkheid een vrij zinloze exercitie.
Als een bank (verzekeraar, pensioenfonds, belegger, vul maar in) met alle expertise, een budget van ettelijke miljoenen, een team van experts, beveiligingsanalisten en een leger aan programmeurs er ondanks alle risico’s er bewust voor kiest deze uiterst gevoelige informatie via het onveilige web aan te bieden, ligt het risico en de verantwoordelijkheid voor die keuze volledig bij deze partij.
Zij heeft willens en wetens, om wat voor reden dan ook (kosten, gemak, personeelsreductie, sluiting van filialen etc, etc) ervoor gekozen dit via deze methode aan te bieden. Het is haar eigen keuze geweest, de klant is niet gekend in die keuze, noch heeft zij iets in de melk te brokkelen gehad bij de wijze waarop dat product tot stand is gekomen.
De bank heeft ervoor gekozen dit aan te bieden via de sexy maar oh-zo onveilige https/web methode met alle risico’s van dien. Dat betekent deze aanbieder, of ze nu wil of niet, ook bewust ja’ heeft gezegd tegen: onveilige (wifi)thuis- of gedeelde netwerken, onveilige en brakke browsers, onveilige OS-en - met daarop een wereld aan applicaties actief of geïnstalleerd waarvan niemand nog in staat is te controleren of ze veilig zijn of netjes geprogrammeerd of regelmatig worden bijgewerkt.
Ook heeft deze aanbieder ‚ja’ gezegd tegen een uiterst gebrekkig beveiligingsprotocol als https waarvan niemand nog in staat is te controleren of een dns wel het juiste ip aflevert, of het certificaat wel echt bij de bank hoort en of die CA lijst nog authentiek is.
Wat voor ‚veiligheid’ mag je nu eigenlijk nog verwachten als je daar nu allemaal ‚ja’ zegt? En in hoeverre helpt twee-weg authenticatie of een card-reader met pin nog in een dergelijk geval nou echt nog? De zwakste en meest kwetsbare schakel in de keten is nu, ongecontroleerd en direct aangesloten op de bank en heeft toegang tot haar rekeningen. Er is geen enkele garantie dat de juiste persoon zich achter het toetsenbord bevindt en de pin intikt, noch dat het haar eigen pc is, noch dat die zich bijv. in Nederland bevindt. De identiteit van hem/haar valt simpelweg niet te controleren; iets dat een normale bankmedewerker wel had kunnen zien en bij twijfel staat dan nog e.e.a. op camera.
Dit alles is toch, laag op laag gezien, een wel erg grote berg aan risico’s, onveiligheid en kwetsbaarheid waar de bank zichzelf en haar klanten aan heeft blootgesteld.
V.w.b. de zorgplicht: daar hoort bij een op zo veilig mogelijke methode bankieren met een zo gering mogelijk risico voor het geld van haar klanten; een klant geeft immers zijn geld in bewaring en vertrouwt erop dat die bank daar zo goed mogelijk voor zorgt. De vraag dient zich nu zo langzamerhand aan of banken die plicht wellicht hebben verzaakt. Als banken nu proberen gedeelde verantwoordelijkheid en aansprakelijkheid te introduceren en feitelijk de zelf genomen (en te grote) risico’s proberen af te wentelen, dan heeft die bank m.i. haar zorgplicht verzaakt en pleegt zij contractbreuk.
De bank heeft in dat geval het geschonken vertrouwen geschaad, onverantwoorde risico’s genomen en haar klanten een onbetrouwbaar en onveilig product aangeboden. Zij wist van de risico’s en gevaren, maar heeft dat desondanks bewust verkocht aan haar klanten en hen onvoldoende en onvolledig geinformeerd.
De bank is de sterke partij in deze en degene die beslist. Zij had er immers ook voor kunnen kiezen de bankrekening niet aan te bieden via het onveilige Internet of had kunnen kiezen voor andere, minder toegankelijke en een minder gebruikersvriendelijke methode van telebankieren, maar een waar zijzelf voor de volle 100% achter zou staan. De manier waarop dat had gekund is vergeleken met het sexy web absoluut oudbollig, minder gebruikersvriendelijk, niet-mobiel, vele malen duurder, maar ook vele malen veiliger dan nu.
De banken hebben in dat geval met de huidige vorm van telebankieren een verkeerde keuze gemaakt. Ze hebben een inherent ondeugdelijk, zeer kwetsbaar en onveilig product verkocht en proberen - helaas - de steeds grotere schade daarvan nu te verhalen en afwentelen op haar cliënten die haar vertrouwen.
De banken hebben in dat geval met de huidige vorm van telebankieren een verkeerde keuze gemaakt. Ze hebben een inherent ondeugdelijk, zeer kwetsbaar en onveilig product verkocht en proberen - helaas - de steeds grotere schade daarvan nu te verhalen en afwentelen op haar cliënten die haar vertrouwen.
Hier wordt de kern van de zaak aangeraakt!!!!
Helemaal juist. Maar probeer dat de politiek maar eens wijs te maken. Politici hebben weer hele andere belangen.
Echte veiligheid kan helemaal niet zo gebruikersvriendelijk als de banken ons met de huidige oplossing willen doen geloven.
Kijk naar de problemen die banken al hebben om hun huidige infrastructuur 100% on-line te houden. Kijk naar ABN-AMRO, hoeveel moeite had deze niet om een nieuwe omgeving te introduceren.
Wat gebeurt er als on-line bankieren of iDeal platligt? De woordvoerders weten het niet (het eufemistische "daar kunnen wij geen uitspraak over doen" hahaha). En de mensen die het wel weten vertellen het niet.
Was het een aanval? Of gewoon uitval van een router, ergens in het netwerk?
En op basis van die gebrekkige informatie worden wij geacht om een beslissing te nemen over bankieren via internet...
De enige conclusie kan dan zijn: consument, stop met internet bankieren!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
