ASN moet fraudeslachtoffer wegens doorknip-instructie helft schade vergoeden
ASN moet een klant die het slachtoffer van bankhelpdeskfraude werd vanwege een eerder gegeven instructie voor het doorknippen van de bankpas de helft van de schade vergoeden, zo heeft het financiële klachteninstituut Kifid geoordeeld. De klant heeft naast een rekening bij ASN ook een rekening bij de Rabobank. Eind 2021 wordt de klant door een oplichter gebeld die zich voordoet als Rabobank-medewerker. Gedurende het gesprek stelt hij ook gemachtigd te zijn om namens ASN te handelen.
De oplichter laat de klant het programma AnyDesk op haar computer installeren, waarmee hij de controle over de computer krijgt. Vervolgens is de klant overgehaald om haar bankpas en digipas af te geven aan een oplichter die zich voordeed als DHL-koerier. De zogenaamde bankmedewerker had de klant eerder instructies gegeven voor het doorknippen van haar bankpas. Met de ontfutselde bankpas wordt ruim 9.000 euro opgenomen, nadat de oplichter eerst de opnamelimiet verhoogt.
Nadat de klant ontdekt dat ze is opgelicht vraagt ze ASN om de schade te vergoeden. De bank weigert dit, omdat het 'coulancekader' dat banken hebben afgesproken voor het vergoeden van bankhelpdeskfraude niet van toepassing is. De oplichter deed zich namelijk niet voor als ASN-medewerker en ook het telefoonnummer van de bank is niet misbruikt. De klant vond ook dat de bank haar zorgplicht heeft geschonden door geen actie te ondernemen zoals het blokkeren van haar bankrekening naar aanleiding van de voor haar doen zeer ongebruikelijke transacties.
Grof nalatig
Banken moeten niet-toegestane betalingstransacties onmiddellijk aan klanten terugbetalen, tenzij de veiligheidsregels zijn overtreden. Daarin staat onder meer dat beveiligingscodes geheimgehouden moeten worden en dat de klant ervoor moet zorgen dat de betaalpas nooit door iemand anders gebruikt kan worden. Verder moeten klanten zorgen voor een goede beveiliging van de apparatuur waarop ze bankzaken doen en ervoor zorgen dat de toepassingen op die apparatuur niet door onbevoegden gebruikt kunnen worden."De consument heeft deze veiligheidsregels niet in acht genomen door het programma AnyDesk op haar computer te installeren, haar bankpas en digipas af te geven aan een onbekende en de pincodes van de betaalpas en digipas telefonisch door te geven dan wel door deze codes op de computer in te vullen aan de fraudeur ter beschikking te stellen", aldus het Kifid, dat toevoegt dat de klant ook niet heeft gereageerd op de e-mail van ASN over het verhogen van de opnamelimiet.
Het klachteninstituut oordeelt dat de klant grof nalatig heeft gehandeld omdat zij zeer ongebruikelijke en risicovolle handelingen in opdracht van de fraudeur heeft uitgevoerd en veiligheidsregels van de bank heeft overtreden. Toch komt het Kifid tot het oordeel dat de klant gedeeltelijk aansprakelijk is, waarbij het wijst naar instructies die ASN eerder stuurde voor het doorknippen van de bankpas.
"Als u uw nieuwe pas eenmaal heeft gebruikt, blokkeren wij automatisch uw oude pas. U kunt uw oude pas bij de chip doorknippen en weggooien", aldus die instructies. De oplichter gaf de vrouw ook instructies voor het doorknippen van de pas. "Hoewel deze twee instructies niet identiek zijn, kan niet zonder meer geconcludeerd worden dat deze instructies praktisch gezien van elkaar verschillen. De instructie van de bank is namelijk op meerdere manieren uit te leggen", voegt het klachteninstituut toe. Het Kifid stelt dan ook dat de klant niet volledig verwijtbaar is en beslist dat ASN de helft van de geleden schade binnen vier weken aan de klant moet vergoeden (pdf).
- Je wordt nooit zomaar gebeld voor de bank
- Een "Rabobank" medewerker welke ook is gemachtigd voor "ASN", geloof je het zelf!?
- Het zomaar laten uitvoeren van software op de computer op aanvraag van de bank, hoe dan!?
- Het zomaar afgeven van de bankpas en pincode aan een volstrekt onbekende, dus de bank komt bij je langs!?
Er wordt zoveel gewaarschuwd voor dit soort praktijken: Hang op, klik weg, bel uw bank! als je er alsnog intrapt dan is het naar mijn mening je eigen schuld en moet je ook je verantwoordelijkheid nemen.
(IANAL)
- Je wordt nooit zomaar gebeld voor de bank
Totdat je wel wordt gebeld. Laatst door de anti-fraude afdeling die een betaling stopte.
Had de klant geestelijke beperkingen en was dit bij de bank bekend? Dan was er misschien aanleiding tot schadevergoeding geweest.
Als de klant gezond van geest was, maar extreem volgzaam en naïef (schaapje) dan is er inderdaad sprake van grove nalatigheid van de klant en dus geen aanleiding voor enige schadevergoeding.
De enige oplossing is om klanten weer de mogelijkheid te bieden om te bankieren op manieren waarbij ze niet door een fraudeur voor de gek gehouden kunnen worden. Dus met een persoonlijke, bona fide contactpersoon bij de bank, in een bankkantoor binnen vijf kilometer van de woonplaats van de klant. Iemand die de klant kent. Dat is pas KYC, KYB (Know Your Customer, Know Your Bank).
- Je wordt nooit zomaar gebeld voor de bank
Totdat je wel wordt gebeld. Laatst door de anti-fraude afdeling die een betaling stopte.
Maar dat is niet "zomaar". Je bent zelf iets aan het doen dat mogelijk niet in de haak is, en de bank reageert daarop. De bank gaat niet bellen op woensdagmiddag om 14:23 omdat ze zich een beetje vervelen of zo. Dat is "zomaar".
- Je wordt nooit zomaar gebeld voor de bank
Totdat je wel wordt gebeld. Laatst door de anti-fraude afdeling die een betaling stopte.
Maar dat is niet "zomaar". Je bent zelf iets aan het doen dat mogelijk niet in de haak is, en de bank reageert daarop. De bank gaat niet bellen op woensdagmiddag om 14:23 omdat ze zich een beetje vervelen of zo. Dat is "zomaar".
Niet mijn interpretatie qua betekenis.
Op zich is 'onverwacht' of 'ongepland' een wat beter woord dan 'zomaar', maar je kunt dus (echt) "onverwacht" door je bank gebeld worden.
('verwacht' gebeld worden kan natuurlijk ook - je maakt een (terugbel) afspraak, hebt een lopende aanvraag voor bv hypotheek, en dan is gebeld worden wel verwacht of gepland ).
Maar dat maakt dat de universele boodschap 'de bank belt nooit 'uit zichzelf' ' wat nuance behoeft .
- Je wordt nooit zomaar gebeld voor de bank
- Een "Rabobank" medewerker welke ook is gemachtigd voor "ASN", geloof je het zelf!?
- Het zomaar laten uitvoeren van software op de computer op aanvraag van de bank, hoe dan!?
- Het zomaar afgeven van de bankpas en pincode aan een volstrekt onbekende, dus de bank komt bij je langs!?
Er wordt zoveel gewaarschuwd voor dit soort praktijken: Hang op, klik weg, bel uw bank! als je er alsnog intrapt dan is het naar mijn mening je eigen schuld en moet je ook je verantwoordelijkheid nemen.
Ik ben ook van mening dat dit een vreemde uitspraak is. Zoveel rode vlaggen dat het toch duidelijk is wie de fouten gemaakt heeft.
Nu ben ik wel van mening dat een bank dit soort aparte overboekingen meer in de gaten zou moeten houden, of dat je apart moet aangeven een grote overboeking te willen doen. Niet altijd even leuk, maar voor veel mensen blijkbaar toch nodig.
ASN moet er maar eens een klein campagne tegenaan gooien, want hun gebruikers zijn niet allemaal op de hoogte van de diverse scans online....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
