Kifid wil uitleg ABN Amro waarom detectiesysteem fraude niet eerder opmerkte
Het financiële klachteninstituut Kifid wil dat ABN Amro uitlegt waarom de detectiesystemen van de bank fraude met de pinpas van een klant niet eerder opmerkten. Dat is de tussenuitspraak van het instituut in een zaak van een klant die na diefstal van pinpas en bijbehorende pincode voor bijna 12.000 euro werd bestolen.
De getroffen klant heeft haar nicht gemachtigd tot de rekening bij de bank. De nicht beschikt zodoende over de pinpas en pincode. Zij heeft de pinpas opgeborgen in een map in een kast in de slaapkamer van haar woning, samen met andere waardevolle eigendommen zoals vreemde valuta en identificatiedocumenten. Deze lade kon niet worden afgesloten.
De pincode bewaarde zij in een envelop in een map in een kast in de studeerkamer. Deze kast kon wel worden afgesloten. Tijdens de vakantie van de nicht is in haar woning ingebroken en zijn de betaalpas en pincode van de ABN Amro-klant gestolen. Dit vond plaats op 10 augustus 2020. Vanaf deze datum tot en met 13 augustus is via twaalf transacties bijna 12.000 euro van de rekening gehaald.
De bank blokkeerde de betaalpas op 13 augustus nadat het fraudesysteem een mogelijk ongebruikelijke transactie detecteerde. De klant eist dat ABN Amro het gestolen bedrag vergoedt, omdat het pas op 13 augustus ingreep nadat er al grote bedragen van de rekening waren opgenomen en omdat het ging om ongebruikelijke transacties in verschillende landen terwijl er niet eerder gebruik was gemaakt van deze betaalpas.
Volgens ABN Amro heeft de nicht zich niet aan de veiligheidsregels van de bank gehouden. De betaalpas en pincode waren blijkbaar niet goed genoeg verstopt en de lade die kon worden afgesloten was niet afgesloten. Daarnaast mag de pincode niet worden opgeschreven, of als het echt niet anders kan alleen in een voor anderen onherkenbare vorm die alleen door de klant zelf is te ontcijferen. Dat was niet het geval. Tevens stelt de bank dat de schade verder voorkomen had kunnen worden als de diefstal van de pinpas na ontdekking van de inbraak meteen was gemeld.
Aangezien ABN Amro de schade niet wil vergoeden stapte de klant naar het Kifid. Het klachteninstituut stelt dat de nicht grof nalatig handelde. "Hoewel de nicht van de consument de betaalpas en pincode niet naast elkaar heeft bewaard, heeft zij de pincode wel bewaard in een voor derden te herkennen formaat." Toch is dit nog geen reden om de vordering van de klant af te wijzen.
Voor banken geldt een directe monitoringsplicht. ABN Amro beschikt volgens het Kifid over informatie omtrent het gedrag van de specifieke klanten, het gedrag van de gemiddelde klant en gevallen van ongeoorloofde betalingstransacties. Dit stelt de detectiesystemen van de bank in staat om te bepalen of een bepaalde transactie is toegestaan.
Het Kifid wil nu van ABN Amro weten op welke manier het zich aan de directe monitoringsplicht heeft gehouden. De pinpas in kwestie was namelijk in september 2017 aangevraagd en geactiveerd, maar is tot aan het incident niet gebruikt. Het klachteninstituut wil daarom opheldering op basis van welke criteria het detectiesysteem van de bank op 13 augustus de pinpas blokkeerde, ook al was er bijvoorbeeld op 11 augustus al met de pinpas in het buitenland gepind. ABN Amro moet binnen vier weken een toelichting geven, waarna het Kifid met een eindoordeel komt (pdf).
oh wat weer lekker menselijk allemaal..... assholes! van wie moetsen we pin codes ook al weer?
de pas met nummer" oid, maar het lijkt me dat het bewaren van pas en pincode op 2 verschillende plaatsen in huis nou
niet bepaald GROF nalatig is. Misschien een beetje nalatig?
Stel er is ergens in mijn huis een briefje te vinden met 1234 erop en dat is toevallig mijn pincode, ben ik dan grof nalatig?
Betekent dat dat ik goed moet opletten dat er nergens in huis een stuk papier te vinden is waar toevallig de 4 cijfers van
mijn pincode op staan? Want dat kan natuurlijk altijd gebeuren, zeker met een pincode die je kunt lezen als een datum.
En waarom hoor je het Kifid daar niet over?
Wat dat betreft ben ik blij dat ik weg ben bij de ABN. Want ze blijken de afgelopen tijd steeds vaker hun systemen onvoldoende op orde te hebben. Het is echt niet meer hetzelfde ABN als van 20 jaar geleden.
En waarom hoor je het Kifid daar niet over?
Bij de rabobank hebben ze standaard al een beperking ingesteld hoeveel er per dag contant afgehaald kan worden.
Dus dit zou mij al helemaal niet kunnen gebeuren als iemand mijn gegevens zou hebben.
Dat maximum tegoed per dag kan je zelf aanpassen.
De ABN bestaat niet meer sinds 21 september 1991. Dat is op een haar naar 30 jaar geleden, geen 20.
Jarenlang hebben wij daar gebruik van gemaakt, totdat plotseling de banken hiermee ophielden en deze pincode-kaartjes niet meer te krijgen waren. Het was de slimste methode om je pincode niet op briefjes achter te laten die later door criminelen konden worden gevonden.
Het blijft lastig iets te detecteren. Voor hetzelfde was deze klant weggegaan voor een grote vakantie in het buitenland en had daarvoor ook het 2e pasje meegenomen zodat ze onderweg niet zonder pasje (en dus geld) kwamen te zitten.
Lekker vervelend als het pasje bij de hotellobby geblokkeerd is en je op straat moet slapen terwijl je net daarvoor een flink bedrag uitgegeven hebt voor een mooi gouden sierraad, die later als frauduleus aangezien werd en tot blokkade pasje leidde.
Zo'n detectie systeem moet toch eerst een groter aantal overboekingen zien voordat het conclusies kan trekken.
En bij de ABN-Amro kun je ook instellen om meldingen per mail te versturen bij transacties boven een bepaald bedrag. Dit is juist voor dit soort gevallen bedoeld.
En waarom hoor je het Kifid daar niet over?
Bij de rabobank hebben ze standaard al een beperking ingesteld hoeveel er per dag contant afgehaald kan worden.
Dus dit zou mij al helemaal niet kunnen gebeuren als iemand mijn gegevens zou hebben.
Dat maximum tegoed per dag kan je zelf aanpassen.
Waarschijnlijk toch te weinig mensen die dit goede systeem gebruikten. Zelf schreef ik het altijd op in mijn adresboekje met een fake adres en de pincode zat in het telefoonnummer verstopt. Dan moet een dief eerst op alle nummers afbellen in de hoop dat er bij een persoon niemand opneemt. En in mijn geval moest je dan ook nog het huisnummer aftrekken. (Ne staan mijn minder gebruikte pincodes in een encrypted container)
In elk geval niet als vier cijfers opslaan want een dief zal dat direct als pincode herkennen. Zeker als hij bij andere waardespullen opgeborgen is. En als je dan ergens anders in het huis een pinpas vind, is de link al snel gelegd.
de pas met nummer" oid, maar het lijkt me dat het bewaren van pas en pincode op 2 verschillende plaatsen in huis nou
niet bepaald GROF nalatig is. Misschien een beetje nalatig?
De bank (ING) beschouwde het als grove nalatigheid. De inboedelverzekering vergoedde het niet, ook al was het iets dat buit was gemaakt bij een inbraak. De rechtbijstandsverzekering liet meteen weten dat dit niet te winnen viel en dat ze er daarom niet aan begonnen.
Dus ja, kennelijk is het algemeen geaccepteerd dat dit grof nalatig is. En het is dus erg belangrijk om je pincodes zo goed te beschermen dat een inbreker er niet mee aan de haal kan gaan, want dat kan je serieus veel geld kosten, en dat krijg je hoogstwaarschijnlijk niet terug.
[effe kankeren op ING]
Ik ben toen voor degene die dat overkomen is in de voorwaaren van ING gedoken. Op de ING-website vond ik in de eerste instantie alleen verkorte voorwaarden, die een heel geruststellende indruk gaven van wat onder grove nalatigheid werd verstaan, het was geformuleerd als iets dat je echt niet snel zal overkomen. Er stond wel bij dat de volledige voorwaarden leidend zijn, met een link. Die link leidde alleen niet rechtstreeks naar de volledige voorwaarden, je moest nog twee of drie keer op tussenliggende pagina's een link volgen. Alleen stonden er meerdere links op de tussenliggende pagina's, en de meest voor de hand liggende keuzes, en meerdere andere combinaties, leidden terug naar de verkorte voorwaarden. Pas na ettelijke keren daar weer te zijn uitgekomen vond ik de volledige voorwaarden. Die maakten expliciet duidelijk dat het noteren van een pincode altijd als grove nalatigheid wordt gezien. Ik heb sindsdien gezien dat de echte voorwaarden veel beter bereikbaar waren gemaakt, dus dat is verbeterd. Maar ik vond het ernstig misleidend wat ik toen aantrof.
[/effe kankeren op ING]
Dat was inderdaad niet zo'n slimme reactie van mij.
Toch nog niet uitgeslapen genoeg, denk ik.
Sterkwachtwoord, MFA er op. Daarin kan je veilig je notities opslaan. Zorg voor zoveel mogelijk veiligheids barrieres tussen jou en het internet.
Waarschijnlijk toch te weinig mensen die dit goede systeem gebruikten. Zelf schreef ik het altijd op in mijn adresboekje met een fake adres en de pincode zat in het telefoonnummer verstopt. Dan moet een dief eerst op alle nummers afbellen in de hoop dat er bij een persoon niemand opneemt. En in mijn geval moest je dan ook nog het huisnummer aftrekken. (Ne staan mijn minder gebruikte pincodes in een encrypted container)
In elk geval niet als vier cijfers opslaan want een dief zal dat direct als pincode herkennen. Zeker als hij bij andere waardespullen opgeborgen is. En als je dan ergens anders in het huis een pinpas vind, is de link al snel gelegd.
Dat kan beter: zoek een naam bij een telefoonnummer waar de pincode in zit. Werkt echt goed.
Bij de rabobank hebben ze standaard al een beperking ingesteld hoeveel er per dag contant afgehaald kan worden.
Dus dit zou mij al helemaal niet kunnen gebeuren als iemand mijn gegevens zou hebben.
Dat maximum tegoed per dag kan je zelf aanpassen.
je pas+pincode alle geld van de rekening sluizen, niet alleen van de lopende rekening maar ook van de spaarrekening.
Dit is al vaak besproken hier. Maar denk maar niet dat ABN en Rabo hier iets aan doen!
oh wat weer lekker menselijk allemaal..... assholes! van wie moesten we pin codes ook al weer?
De wereld veranderd, de introductie van betaalpassen en PIN codes hebben veel meer gebracht dan dat het kost. Maar dat veranderd niets aan het feit dat banken wel dichter op de bal kunnen zitten om fraude te voorkomen.
Recent is 'vriend in nood' fraude en 'nummerspoofing' in het nieuws geweest. Dat zijn zaken waar een bank eigenlijk niets aan kan doen, dus niet het probleem van de bank. Maar juist in dit geval kan je stellen dat de bank zijn zorgplicht onvoldoende is nagekomen. Als men constateert er sinds 2017 geen transacties met de pas zijn gedaan, dan had men moeten voorstellen om de mogelijkheid voor betaaltransacties te blokkeren of de limieten heel laag te zetten en betalingen buitenland uit te schakelen. Ik vermoed dat deze pas enkel voor telebankieren is gebruikt, maar dat kan ik uit het verhaal niet opmaken.
En waarom hoor je het Kifid daar niet over?
Het KIFID is door en voor banken om dure rechtzaken te voorkomen.
Lees je eens in in de geschiedenis van het KIFID en het percentage klanten wat in het gelijk wordt gesteld door die boeven bende.
Nu niet meer (geef mij even dat getal wat je hebt opgeschreven en je pinpas?)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
