Rechter: bunq niet aansprakelijk voor 33.000 euro schade door phishing
Bunq is niet aansprakelijk voor de 33.000 euro schade die een klant leed als gevolg van een phishingaanval, zo heeft de rechtbank Amsterdam geoordeeld. Volgens de rechter heeft de bank in dit specifieke geval voldoende veiligheidsmaatregelen genomen om de rekeninghouder tegen phishing te beschermen.
De klant ontving op 7 juli 2022 een phishing-sms waarin werd gesteld dat de "gegevens niet volledig geverifieerd" waren. De link in het sms-bericht wees naar een phishingsite. De klant opende de link en vulde haar gegevens op de phishingsite in. Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
De klant deed dit en een klein half uur later stuurde bunq een e-mail waarin ter controle werd gevraagd of de klant net was ingelogd op een iPhone. Vanaf het moment dat een nieuw apparaat wordt gekoppeld aan de online bankomgeving van een klant, hanteert bunq een afkoelingsperiode van 24 uur voor het verrichten van transacties boven de vijfhonderd euro en het wijzigen van persoonsgegevens zoals e-mailadres en telefoonnummer.
Een dag nadat de iPhone aan het account was gekoppeld werd er op de bankomgeving ingelogd en het e-mailadres van de klant gewijzigd. Vervolgens werd er ruim 33.000 euro van de rekening van de klant overgeboekt naar een andere rekening. Volgens de klant falen banksystemen grootschalig, omdat ze onvoldoende rekening houden met het feit dat mensen zwakke schakels zijn en onvoldoende inspelen op hun onoplettendheid.
"Als in het verleden een bankoverval of bankroof plaatsvond, bijvoorbeeld door gemaskerde personen die door dreiging met wapens de bankmedewerkers dwongen om contact geld te verstrekken, dan werd de bank beroofd en niet de rekeninghouders. Het feit dat rekeninghouders in plaats van banken van deze praktijken de dupe worden, zorgt voor een onwenselijke verschuiving van risico", aldus de verdediging. Volgens de rechter gaat het in deze zaak erom of de bank voldoende maatregelen heeft getroffen om de klant te beschermen.
De rechter stelt dat de klant de veiligheidsvoorschriften niet heeft nageleefd en er sprake is van grove nalatigheid. Klanten zijn preventief door bunq gewaarschuwd over phishing, werd de klant ingelicht toen er een nieuw apparaat werd aangemeld, stuurde bunq een waarschuwingsmail nadat er vanaf een nieuw apparaat was ingelogd en hanteerde de bank een afkoelingsperiode van 24 uur voor transacties boven de 500 euro vanaf een nieuw aangemeld apparaat. De vordering van de klant is door de rechter afgewezen. Tevens moet de klant de proceskosten van 4500 euro betalen.
Reacties (22)
17-06-2024, 15:01 door
Anoniem
Als in het verleden een bankoverval of bankroof plaatsvond, bijvoorbeeld door gemaskerde personen die door dreiging met wapens de bankmedewerkers dwongen om contact geld te verstrekken, dan werd de bank beroofd en niet de rekeninghouders. Het feit dat rekeninghouders in plaats van banken van deze praktijken de dupe worden, zorgt voor een onwenselijke verschuiving van risico
Aha, "onwenselijke verschuiving van risico", mooie woorden...liever over de schutting gooien, ongelimiteerde zorgplicht van de bank, extra gratis.
Tevens moet de klant de proceskosten van 4500 euro betalen.
Mooi zo.Ik heb geen aandelen in Bunq, en ga ze zeker niet willen. Evenmin als een rekening daar.
Maar als enkel-en-alleen-feiten al niet meer doorgelaten worden hier in topic 840920 ("Nieuwe bunq scam", door Erik van Straten), dan zie ik in deze uitspraak als bevestiging van mijn goddelijke gelijk.
17-06-2024, 15:24 door
Briolet
Tevens moet de klant de proceskosten van 4500 euro betalen.
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
17-06-2024, 15:32 door
Anoniem
Door Briolet:
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Tevens moet de klant de proceskosten van 4500 euro betalen.
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Het zal wel iemand zijn die geluisterd heeft naar alle "experts" hier die altijd roepen dat de rechter het hééél anders zou oordelen dan Kifid en dat áltijd naar de rechter moet gaan bij zoiets.
17-06-2024, 15:33 door
Anoniem
Bunq heeft die 24 uur cooldown periode voor een nieuw device een tijd geleden geschrapt. Net zoals de wachttijd voor het aanpassen van de betaal limiet. Die is een tijd geleden ook geschrapt. Is dus een uitspraak in een hele oude zaak.
17-06-2024, 15:40 door
spatieman
nou....
nee....
nee....
17-06-2024, 15:48 door
Anoniem
Door Briolet:
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Nee de klant had beter goed vooronderzoek kunnen laten uitvoeren qua slaging kans.Tevens moet de klant de proceskosten van 4500 euro betalen.
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Kifid moet je hoe dan ook vermijden als de pest.
17-06-2024, 15:59 door
vdenboer
Banken nemen doelbewust risico's bij online banking, Ze moeten voortdurend een afweging maken tussen veiligheid en gemak. Ik ken buitenlandse banken waar je, als je een betaling wilt doen op een rekening waar je nog nooit een betaling aan hebt gedaan, eerst die rekening moet autoriseren met behulp van een random reader. Dat is een stuk veiliger maar ook minder gebruikersvriendelijk. Ook is het voor de bank een duurdere oplossing dan een oplossing waarbij dat niet nodig is. Banken kiezen vaak voor een goedkopere oplossing. Maar daar staat bij de meeste banken tegenover dat ze dan een coulanceregeling hebben voor het geval het toch mis gaat.
17-06-2024, 16:11 door
Anoniem
Er ontbreekt iets in de uitspraak en dat vind ik vreemd. Het sms-bericht dat de klant na twee uur van Bunq ontving vraagt "Tap this link to confirm your login on a new device" en waarschuwt om die link met niemand te delen. Wat ik in het vonnis niet zie staan is dat die klant ook daadwerkelijk die bevestiging heeft gegeven door op die link te tikken.
Het vonnis beschrijft dit en het volgende bericht alsof de klant "toen 24 uur de tijd [had] om deze signalen op te pakken", alsof het twee signalen waren om wel op te reageren, maar zoals die SMS geformuleerd is was de klant juist klaar geweest door niet te reageren.
Het ligt natuurlijk best voor de hand dat de systemen van Bunq werken zoals je zou verwachten en dat zonder reactie van de klant op de SMS er niets mis had kunnen gaan. Maar ik vind het wel heel vreemd dat het vonnis op meerdere plaatsen om dit punt heen praat, nergens expliciet maakt dat die reactie gegeven is, en over die SMS praat alsof het alleen een waarschuwing was waarop gereageerd moest worden in plaats van iets waarop juist vooral niet gereageerd moest worden.
Als die klant inderdaad op de link in die SMS getikt heeft heeft ze twee maal verkeerd en een maal niet gereageerd, met voldoende tijd ertussen om zich even af te gaan vragen of ze geen belangrijke steekjes liet vallen en geen actie moest ondernemen. Dan is ze inderdaad grof nalatig geweest. Als ze echter niet op die link heeft getikt dan heeft Bunq zelf ook een grove fout gemaakt. De klant ook nog steeds, maar dan minder ernstig en niet als enige.
Ik vind dit overkomen alsof de rechter zelf ook een steekje heeft laten vallen, vermoedelijk door hier in de zitting niet naar te vragen; alsof de fout voor de rechter zelf duidelijk werd voordat het vonnis klaar was; en in plaats van de fout te herstellen hem te camoufleren en er dus eigenlijk omheen te sjoemelen.
Dat vind ik niet best, ook niet als het slachtoffer wel degelijk op dat linkje heeft getikt en de uitspraak op zich niet zou veranderen.
Het vonnis beschrijft dit en het volgende bericht alsof de klant "toen 24 uur de tijd [had] om deze signalen op te pakken", alsof het twee signalen waren om wel op te reageren, maar zoals die SMS geformuleerd is was de klant juist klaar geweest door niet te reageren.
Het ligt natuurlijk best voor de hand dat de systemen van Bunq werken zoals je zou verwachten en dat zonder reactie van de klant op de SMS er niets mis had kunnen gaan. Maar ik vind het wel heel vreemd dat het vonnis op meerdere plaatsen om dit punt heen praat, nergens expliciet maakt dat die reactie gegeven is, en over die SMS praat alsof het alleen een waarschuwing was waarop gereageerd moest worden in plaats van iets waarop juist vooral niet gereageerd moest worden.
Als die klant inderdaad op de link in die SMS getikt heeft heeft ze twee maal verkeerd en een maal niet gereageerd, met voldoende tijd ertussen om zich even af te gaan vragen of ze geen belangrijke steekjes liet vallen en geen actie moest ondernemen. Dan is ze inderdaad grof nalatig geweest. Als ze echter niet op die link heeft getikt dan heeft Bunq zelf ook een grove fout gemaakt. De klant ook nog steeds, maar dan minder ernstig en niet als enige.
Ik vind dit overkomen alsof de rechter zelf ook een steekje heeft laten vallen, vermoedelijk door hier in de zitting niet naar te vragen; alsof de fout voor de rechter zelf duidelijk werd voordat het vonnis klaar was; en in plaats van de fout te herstellen hem te camoufleren en er dus eigenlijk omheen te sjoemelen.
Dat vind ik niet best, ook niet als het slachtoffer wel degelijk op dat linkje heeft getikt en de uitspraak op zich niet zou veranderen.
17-06-2024, 16:15 door
Anoniem
Door Anoniem:
Kifid moet je hoe dan ook vermijden als de pest.
Door Briolet:
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Nee de klant had beter goed vooronderzoek kunnen laten uitvoeren qua slaging kans.Tevens moet de klant de proceskosten van 4500 euro betalen.
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Kifid moet je hoe dan ook vermijden als de pest.
Ah, dus jouw advies was _helemaal_ niks te doen, als het én geen rechtszaak is én geen Kifid zaak.
Kan ook.
17-06-2024, 16:23 door
Anoniem
Door vdenboer: Banken nemen doelbewust risico's bij online banking, Ze moeten voortdurend een afweging maken tussen veiligheid en gemak. Ik ken buitenlandse banken waar je, als je een betaling wilt doen op een rekening waar je nog nooit een betaling aan hebt gedaan, eerst die rekening moet autoriseren met behulp van een random reader. Dat is een stuk veiliger maar ook minder gebruikersvriendelijk. Ook is het voor de bank een duurdere oplossing dan een oplossing waarbij dat niet nodig is. Banken kiezen vaak voor een goedkopere oplossing. Maar daar staat bij de meeste banken tegenover dat ze dan een coulanceregeling hebben voor het geval het toch mis gaat.
Ik kan me herinneren dat dat bij SNS ook het geval was. Maakte je naar een voor jou onbekend rekeningnummer geld over, dan had je je reader nodig. Nu is dat volgens mij niet meer actief. Ik heb zelf nog wel een daglimiet van 100 euro voor overboekingen via de app. Alles daarboven vereist de reader. Ook de daglimiet staat "slechts" op 5000 euro. Voor veel mensen zal dat genoeg zijn. Er zijn aardig wat instellingen in de meeste bankapps die je kunt finetunen. Dan moet je alleen mensen geen toegang geven tot jouw bankapp natuurlijk. Misschien helpt het ook dat e-mailadressen niet in dezelfde app gewijzigd kunnen worden. Dat is een van de eerste dingen die wordt gedaan bij fraude, zoals mijn stiefzoon heeft meegemaakt toen op zijn bol.com account was ingebroken.
17-06-2024, 17:27 door
Anoniem
Door Briolet:
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Tevens moet de klant de proceskosten van 4500 euro betalen.
De klant had beter de Kifid kunnen inschakelen voor een kansloze zaak. Die doen dat gratis en de uitkomst is doorgaans gelijk.
Beter? Jij hebt duidelijk geen idee wat kifid is.
17-06-2024, 18:44 door
Anoniem
Door Anoniem:
Ik kan me herinneren dat dat bij SNS ook het geval was. Maakte je naar een voor jou onbekend rekeningnummer geld over, dan had je je reader nodig. Nu is dat volgens mij niet meer actief. Ik heb zelf nog wel een daglimiet van 100 euro voor overboekingen via de app. Alles daarboven vereist de reader. Ook de daglimiet staat "slechts" op 5000 euro. Voor veel mensen zal dat genoeg zijn. Er zijn aardig wat instellingen in de meeste bankapps die je kunt finetunen.
Het probleem is dat de bank niet kan weten of dat tunen gebeurt door de eigenaar van de rekening of door een crimineel.Ik kan me herinneren dat dat bij SNS ook het geval was. Maakte je naar een voor jou onbekend rekeningnummer geld over, dan had je je reader nodig. Nu is dat volgens mij niet meer actief. Ik heb zelf nog wel een daglimiet van 100 euro voor overboekingen via de app. Alles daarboven vereist de reader. Ook de daglimiet staat "slechts" op 5000 euro. Voor veel mensen zal dat genoeg zijn. Er zijn aardig wat instellingen in de meeste bankapps die je kunt finetunen.
Zeker met rekeningen die alleen beveiligd zijn met een algemene (voor iedereen hetzelfde) reader, de pas en de pincode.
(ABN, RABO, ...)
Maar ook als het werkt via een usernaam/password en alleen een "klik hier om te bevestigen" SMS'je.
Dan hebben die limieten niet zo veel zin, want de criminelen passen die aan. Dat schijnt bij Bunq klanten veel gebeurd
te zijn (volgens de publiciteit) maar ABN en RABO klanten lopen hetzelfde risico als hun pincode wordt afgekeken in
een winkel en de pas vervolgens gerold of met een truukje gewisseld wordt. In bezit van de pas kan de crimineel rustig
alles doen wat de rekeninghouder kan, zonder verdere beveiliging.
17-06-2024, 19:38 door
Anoniem
Een link zenden in een E-Mail/SMS en er dan nog ook op klikken. Het is verleidelijk maar doe het niet.
Ga altijd naar de bankomgeving en daar moet dan hetzelfde verzoek staan.
Ga altijd naar de bankomgeving en daar moet dan hetzelfde verzoek staan.
18-06-2024, 01:41 door
Erik van Straten
Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
18-06-2024, 03:46 door
Anoniem
Voor financiële diensten moet je niet in Nederland zijn. Daar zit 10.000 man te kijken of je rekening wel klopt met je electra meter. Maar die moeten wel allemaal een lease auto van de zaak.
Je kunt beter je geld brengen naar waar je de beste kansen hebt dat je het terugkrijgt als je het nodig hebt. Want het is al moeilijk om wat te verdienen, dus waarom moet je dan twee keer dankjewel zeggen. Tegen je klant, zeker, maar dan tegen je bank nog een keer?
Toen Icesave omviel met de crisis van 2008, de IJslandse online spaarbank, toen was al duidelijk hoe lang het al speelt. Hoeveel Nederlanders al andere wegen zochten. In Nederland ben je eigenlijk verplicht een rekening aan te houden. Dan breng je je zuurverdiende geld. En dan zit daar een onnozele achter een loket te bepalen wat je daar dan nog mee mag doen. En in de backoffice 10.000 leaseautos die je electrameter controleren. Je moet gewoon geen bankzaken doen in Nederland. Als je ze op een euro laat passen dan ben je er al tien kwijt. Want die leaseauto moet ook betaald worden. Over bunq heb ik nog getwijfeld. Maar verkeerde postcode. Beter van niet.
Je kunt beter je geld brengen naar waar je de beste kansen hebt dat je het terugkrijgt als je het nodig hebt. Want het is al moeilijk om wat te verdienen, dus waarom moet je dan twee keer dankjewel zeggen. Tegen je klant, zeker, maar dan tegen je bank nog een keer?
Toen Icesave omviel met de crisis van 2008, de IJslandse online spaarbank, toen was al duidelijk hoe lang het al speelt. Hoeveel Nederlanders al andere wegen zochten. In Nederland ben je eigenlijk verplicht een rekening aan te houden. Dan breng je je zuurverdiende geld. En dan zit daar een onnozele achter een loket te bepalen wat je daar dan nog mee mag doen. En in de backoffice 10.000 leaseautos die je electrameter controleren. Je moet gewoon geen bankzaken doen in Nederland. Als je ze op een euro laat passen dan ben je er al tien kwijt. Want die leaseauto moet ook betaald worden. Over bunq heb ik nog getwijfeld. Maar verkeerde postcode. Beter van niet.
18-06-2024, 08:02 door
Anoniem
Door Erik van Straten:
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
Heeft de rechter dit over het hoofd gezien?
Het is i.i.g. niet consequent van Bunq en verwarrend voor de klant.
18-06-2024, 10:26 door
Anoniem
Door Erik van Straten:
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
Dat is inderdaad verwarrend, maar hoe moeten ze dan anders communiceren?Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
Met een gewone brief?
Een uitnodiging om langs te komen op het kantoor om een en ander persoonlijk door te nemen?
18-06-2024, 10:38 door
Anoniem
Door Anoniem: Voor financiële diensten moet je niet in Nederland zijn. Daar zit 10.000 man te kijken of je rekening wel klopt met je electra meter. Maar die moeten wel allemaal een lease auto van de zaak.
Je kunt beter je geld brengen naar waar je de beste kansen hebt dat je het terugkrijgt als je het nodig hebt. Want het is al moeilijk om wat te verdienen, dus waarom moet je dan twee keer dankjewel zeggen. Tegen je klant, zeker, maar dan tegen je bank nog een keer?
Toen Icesave omviel met de crisis van 2008, de IJslandse online spaarbank, toen was al duidelijk hoe lang het al speelt. Hoeveel Nederlanders al andere wegen zochten. In Nederland ben je eigenlijk verplicht een rekening aan te houden. Dan breng je je zuurverdiende geld. En dan zit daar een onnozele achter een loket te bepalen wat je daar dan nog mee mag doen. En in de backoffice 10.000 leaseautos die je electrameter controleren. Je moet gewoon geen bankzaken doen in Nederland. Als je ze op een euro laat passen dan ben je er al tien kwijt. Want die leaseauto moet ook betaald worden. Over bunq heb ik nog getwijfeld. Maar verkeerde postcode. Beter van niet.
Je kunt beter je geld brengen naar waar je de beste kansen hebt dat je het terugkrijgt als je het nodig hebt. Want het is al moeilijk om wat te verdienen, dus waarom moet je dan twee keer dankjewel zeggen. Tegen je klant, zeker, maar dan tegen je bank nog een keer?
Toen Icesave omviel met de crisis van 2008, de IJslandse online spaarbank, toen was al duidelijk hoe lang het al speelt. Hoeveel Nederlanders al andere wegen zochten. In Nederland ben je eigenlijk verplicht een rekening aan te houden. Dan breng je je zuurverdiende geld. En dan zit daar een onnozele achter een loket te bepalen wat je daar dan nog mee mag doen. En in de backoffice 10.000 leaseautos die je electrameter controleren. Je moet gewoon geen bankzaken doen in Nederland. Als je ze op een euro laat passen dan ben je er al tien kwijt. Want die leaseauto moet ook betaald worden. Over bunq heb ik nog getwijfeld. Maar verkeerde postcode. Beter van niet.
Nodeloos sarcasme even daargelaten, Nederlanders zijn hebberig, en dat is hun enige drijfveer. Icesave is een goed voorbeeld; de reden dat veel Nederlanders daar hun geld geparkeerd hadden kwam puur en alleen door de torenhoge rente die je daar kreeg. Had verder niks te maken wat andere banken allemaal deden met hun "gegevens", ze zouden nog naar Icesave gaan als je daarmee je ziel verkoopt aan de duivel, "want wel 6% rente hè!".
Hetzelfde gaat ook voor Bunq: lekker goedkoop, makkelijk en geen gezeur. Dat ze dan (veel) minder vangnetten en veiligheidssystemen hebben (want een klantenservice kost geld), nemen we dan maar even op de koop toe. En dan gaan lopen zeuren als je zelf in een phishing SMS trapt.
You get what you pay for.
18-06-2024, 11:42 door
Anoniem
Door Anoniem: Er ontbreekt iets in de uitspraak en dat vind ik vreemd. Het sms-bericht dat de klant na twee uur van Bunq ontving vraagt "Tap this link to confirm your login on a new device" en waarschuwt om die link met niemand te delen. Wat ik in het vonnis niet zie staan is dat die klant ook daadwerkelijk die bevestiging heeft gegeven door op die link te tikken.
Het vonnis beschrijft dit en het volgende bericht alsof de klant "toen 24 uur de tijd [had] om deze signalen op te pakken", alsof het twee signalen waren om wel op te reageren, maar zoals die SMS geformuleerd is was de klant juist klaar geweest door niet te reageren.
Het ligt natuurlijk best voor de hand dat de systemen van Bunq werken zoals je zou verwachten en dat zonder reactie van de klant op de SMS er niets mis had kunnen gaan. Maar ik vind het wel heel vreemd dat het vonnis op meerdere plaatsen om dit punt heen praat, nergens expliciet maakt dat die reactie gegeven is, en over die SMS praat alsof het alleen een waarschuwing was waarop gereageerd moest worden in plaats van iets waarop juist vooral niet gereageerd moest worden.
Als die klant inderdaad op de link in die SMS getikt heeft heeft ze twee maal verkeerd en een maal niet gereageerd, met voldoende tijd ertussen om zich even af te gaan vragen of ze geen belangrijke steekjes liet vallen en geen actie moest ondernemen. Dan is ze inderdaad grof nalatig geweest. Als ze echter niet op die link heeft getikt dan heeft Bunq zelf ook een grove fout gemaakt. De klant ook nog steeds, maar dan minder ernstig en niet als enige.
Ik vind dit overkomen alsof de rechter zelf ook een steekje heeft laten vallen, vermoedelijk door hier in de zitting niet naar te vragen; alsof de fout voor de rechter zelf duidelijk werd voordat het vonnis klaar was; en in plaats van de fout te herstellen hem te camoufleren en er dus eigenlijk omheen te sjoemelen.
Dat vind ik niet best, ook niet als het slachtoffer wel degelijk op dat linkje heeft getikt en de uitspraak op zich niet zou veranderen.
Het vonnis beschrijft dit en het volgende bericht alsof de klant "toen 24 uur de tijd [had] om deze signalen op te pakken", alsof het twee signalen waren om wel op te reageren, maar zoals die SMS geformuleerd is was de klant juist klaar geweest door niet te reageren.
Het ligt natuurlijk best voor de hand dat de systemen van Bunq werken zoals je zou verwachten en dat zonder reactie van de klant op de SMS er niets mis had kunnen gaan. Maar ik vind het wel heel vreemd dat het vonnis op meerdere plaatsen om dit punt heen praat, nergens expliciet maakt dat die reactie gegeven is, en over die SMS praat alsof het alleen een waarschuwing was waarop gereageerd moest worden in plaats van iets waarop juist vooral niet gereageerd moest worden.
Als die klant inderdaad op de link in die SMS getikt heeft heeft ze twee maal verkeerd en een maal niet gereageerd, met voldoende tijd ertussen om zich even af te gaan vragen of ze geen belangrijke steekjes liet vallen en geen actie moest ondernemen. Dan is ze inderdaad grof nalatig geweest. Als ze echter niet op die link heeft getikt dan heeft Bunq zelf ook een grove fout gemaakt. De klant ook nog steeds, maar dan minder ernstig en niet als enige.
Ik vind dit overkomen alsof de rechter zelf ook een steekje heeft laten vallen, vermoedelijk door hier in de zitting niet naar te vragen; alsof de fout voor de rechter zelf duidelijk werd voordat het vonnis klaar was; en in plaats van de fout te herstellen hem te camoufleren en er dus eigenlijk omheen te sjoemelen.
Dat vind ik niet best, ook niet als het slachtoffer wel degelijk op dat linkje heeft getikt en de uitspraak op zich niet zou veranderen.
Dit viel mij inderdaad ook meteen op. Je ziet nergens vermeld worden of de klant nou wel of niet geklikt heeft om het apparaat te bevestigen. Echter, aangezien de klant 25 minuten na het SMSje een mailtje kreeg met bevestiging van toevoegen van het apparaat, kunnen we er denk ik van uit gaan dat de klant dus wel geklikt heeft. (Even er van uit gaande dat deze systemen van Bunq naar behoren functioneren).
Als dit het geval is geweest betekent het dat de klant inderdaad niet 1x, maar 2x zelf een actie uitgevoerd heeft die het mogelijk heeft gemaakt om in te loggen op haar bank en vervolgens 24 uur niks gedaan heeft om het op te lossen. Eigen domme schuld dus.
Het feit dat dit niet benoemd is in de zaak is vrij kwalijk. Of de klant wel of niet geklikt had zou net het verschil gemaakt kunnen hebben in de uitspraak van de zaak. Als de klant niet geklikt zou hebben, zou dat betekenen dat het systeem van Bunq niet goed functioneert en ik denk dat er in dat geval een heel andere kijk op de zaak geweest zou zijn. Het zou overigens wel erg stom zijn om als aanklagende partij dit niet expliciet te vermelden. Ik ga er dus even van uit dat dit niet gedaan is, aangezien dit niet benoemd is.
Ik vind het altijd wel interessant om te zien dat er bij dit soort zaken eigenlijk 9 van de 10 keer sprake is van eigen schuld dikke bult. Ik vraag me dan altijd af in welke waan iemand (en zijn of haar advocaat) zich dan bevindt om te denken "Dit is niet mijn schuld maar de schuld van de bank". Als je in het ongelijk gesteld wordt ben je namelijk én je geld kwijt door de phishing aanval én je moet je advocaat betalen én je mag nog ff alle proceskosten dokken. Je graaft je eigen graf alleen maar dieper op die manier.
18-06-2024, 12:15 door
Anoniem
Door Erik van Straten:
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
Er is door bunq in de desbetreffende SMS ook niet gevraagd om enige privé-gegevens door te geven, alleen om te bevestigen dat het klopt dat er met een nieuw apparaat ingelogd werd.Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
18-06-2024, 13:37 door
Anoniem
Door Anoniem:
Dan weet ik niet hoe jij "any other detail regarding your bunq account" vertaalt danwel interpreteert...Door Erik van Straten:
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
Er is door bunq in de desbetreffende SMS ook niet gevraagd om enige privé-gegevens door te geven, alleen om te bevestigen dat het klopt dat er met een nieuw apparaat ingelogd werd.Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
Ik vind het inderdaad verwarrend tegenstrijdig maar wel een onvermijdelijke consequentie van het zgn. Internetbankieren
dat er toch via e-mail of SMS gecorrespondeerd wordt.
Dat er in die SMS gevraagd wordt om een `link' te openen, is dan wel bedenkelijk als dat het geval is.
Maar hoe zou dat anders moeten?
18-06-2024, 17:52 door
Anoniem
Door Anoniem:
Heeft de rechter dit over het hoofd gezien?
Het is i.i.g. niet consequent van Bunq en verwarrend voor de klant.
Door Erik van Straten:
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
Twee uur later ontving de klant een sms-bericht dat echt van bunq afkomstig was en waarin werd gevraagd om een link te openen om haar inlogpoging op een nieuw apparaat te bevestigen.
Uit https://together.bunq.com/d/59785-how-do-we-keep-you-safe:
We’ll never ask you for your personal details, login information, payment activity or any other detail regarding your bunq account via SMS, email or on a phone call.
Heeft de rechter dit over het hoofd gezien?
Het is i.i.g. niet consequent van Bunq en verwarrend voor de klant.
Bunq past voortdurend zaken aan. Zo was er een tijd waarin je een nieuw device moest bevestigen door 1 eurocent over te maken. Tegenwoordig moet je een gezichtsscan doen, dacht ik. Erg verwarrend dat deze procedures steeds worden gewijzigd. Zeker omdat het hier om een zaak uit 2022 gaat waar blijkbaar dus 2 jaar later uitspraak in is gedaan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!