ING moet slachtoffer van bankhelpdeskfraude 64.000 euro vergoeden
ING moet een klant die het slachtoffer van bankhelpdeskfraude werd zo'n 64.000 euro vergoeden, zo heeft de Commissie van Beroep van het financiële klachteninstituut Kifid geoordeeld. De Geschillencommissie van het Kifid had de vordering van de klant eerder afgewezen, waarna zijn vrouw met succes beroep tegen aantekende.
De klant is enig aandeelhouder en bestuurder van een bedrijf en heeft een zakelijke rekening bij ING. Zijn vrouw heeft een volledige volmacht voor de B.V. Eind 2021 wordt de klant gebeld door een oplichter die zegt voor ING te werken en waarschuwt dat er verdachte transacties zouden worden gedaan. Een tweede oplichter die het gesprek overneemt weet de klant zover te krijgen om AnyDesk te installeren, waarmee de computer van de klant wordt overgenomen.
Volgens de oplichter moet het geld van de rekening worden veiliggesteld, waarna er zo'n 64.000 euro naar twee Duitse rekeningen wordt overgemaakt. Tijdens het telefoongesprek met de oplichter komt de vrouw van de klant thuis, die het niet vertrouwt en ingrijpt. ING wordt gebeld, maar het geld dat naar de Duitse rekeningen is overgemaakt, is al opgenomen.
ING weigert de schade te vergoeden, omdat het een zakelijke rekening betreft. Daarop stapt de vrouw naar het Kifid, maar ook het klachteninstituut wijst de vordering af omdat het hier een zakelijke rekening betreft. De vrouw tekent bij de Commissie van Beroep van het Kifid bezwaar aan. Ze stelt dat de coulanceregeling bankhelpdeskfraude wel van toepassing is. Daarin speelt mee dat de rekening alleen voor privétransacties wordt gebruikt, wat zwaar meeweegt in het oordeel van de Commissie.
"Met andere woorden, naar het oordeel van de Commissie van Beroep behoort ook gekeken te worden naar de aard van het gebruik van de rekening. Als dit aspect ook wordt betrokken bij de kwalificatie van de rekening, resulteert dat in het oordeel dat de bankrekening feitelijk meer kenmerken heeft van een particuliere dan van een zakelijke rekening", legt de Commissie uit.
Het coulancekader dat banken hanteren voor het vergoeden van bankhelpdeskfraude is bedoeld voor consumenten. "Dat betekent dat beoogd is om compensatie te verlenen voor rekeninghouders die als consument moeten worden aangemerkt", verduidelijkt de Commissie. Daarnaast had de klant die werd opgelicht het idee dat hij procedures van de bank aan het volgen was en dat deze procedures zijn begrip te boven gingen. De Commissie vindt de acties van de klant dan ook niet zo onverantwoordelijk en onoplettend dat het coulancekader niet van toepassing is.
Tevens wijst de Commissie ook naar de verklaring van ING, dat de klant op 'geraffineerde wijze' is opgelicht, waaraan nog kan worden toegevoegd dat de klant tijdens het bewuste telefoongesprek bijna 76 jaar oud was. "Uitgangspunt van de coulanceregeling is dat slachtoffers honderd procent van de schade uit coulance vergoed krijgen. De Commissie van Beroep ziet onvoldoende aanleiding van dit uitgangspunt af te wijken", luidt het oordeel. ING is dan ook opgedragen de bijna 64.000 euro te vergoeden, te vermeerderen met de wettelijke rente met ingang van 21 december 2021 (pdf).
De klant logt op legitieme manier in op de portal van de ING (mondeling gemotiveerd door de fraudeur) en schrijft vervolgens grote bedragen over van een zakelijke rekening. Welke middelen heeft een bank om hier iets tegen te doen?
Wellicht zie ik iets over het hoofd, in dat geval ben ik benieuwd welke middelen er dan nog zijn voor een bank om hier iets tegen te doen (ik leer graag).
Ik zal nooit begrijpen hoe mensen hier in blijven trappen.
Echt, dit is te zot voor woorden. En uiteindelijk mogen de bankklanten die wel over gezond verstand beschikken opdraaien voor de kosten. Want je denkt toch zeker niet dat dit niet wordt doorberekend...
1) Nooit klanten bellen/SMS'en/mailen, en dat, bij herhaling, hartstikke duidelijk maken.
2) Klanten (ook zakelijke) de mogelijkheid geven om een maximum bedrag (totaal per dag en per ontvangende rekening) in te stellen (bij voorkeur met een "allow list" voor vertrouwde rekeningnummers, die hier niet in worden meegenomen). Niet daar aan voldoende overschrijdingen tijdelijk blokkeren, of blokkeren totdat er een extra akkoord gegeven wordt (bij een en/en rekening bijv. de andere rekeninghouder). Ontheffingen uitsluitend voor een specifieke rekening moeten bijv. 2 dagen (of een door de klant instelbare periode) van tevoren worden aangevraagd (of het bedag moet tijdens zo'n periode worden geblokkeerd).
3) Een "vier ogen" verplichting voor overboekingen boven een bepaald bedrag en/of naar rekeningen waar de betrokkene nog niet eerder geld naar heeft overgemaakt. D.w.z. dat een tweede persoon (via een ander kanaal) akkoord moet geven.
4) Overboekingen van grote bedragen naar onbekende buitenlandse bankrekeningen sowieso blokkeren totdat deze via een ander kanaal (zie punt 2 en 3) worden vrijgegeven.
5) Grote overboekingen via een browser op een PC niet toestaan, uitsluitend via een app op een smartphone met een up-to-date besturingssysteem en waarbij de bankapp de permissie heeft om te checken of apps zoals Anydesk zijn geïnstalleerd, en of er andere software is geïnstalleerd met gevaarlijke permissies (zoals onbekende apps die, bijv. onder Android, een Accessibility Service implementeren). En die checks ook uitvoert natuurlijk, en de boel blokkeert hij onraad.
6) Dedicated devices uitbrengen om mee te internetbankieren. Deze mogen geld kosten (er winst op maken is ongewenst, kostprijs graag). Op dit punt zouden banken kunnen samenwerken (zie Geldmaat hieronder).
7) Bankfilialen heropenen voor klanten die moeite hebben met en/of risico's lopen bij internetbankieren. Dat kan desgewenst gezamenlijk met andere banken, vergelijkbaar met de Geldmaat.
Nb. het opheffen van een beperkende maatregel moet minstens net zo moeilijk zijn als de beperking zelf.
Uiteindelijk, rekening houdend met de beperkingen van mensen: hoe eenvoudiger banken fraude mogelijk maken, hoe verantwoordelijker zij zijn voor de schade.
Dit via de post doen lijkt mij zeer lastig.
5. Apps / smartphones zijn voor de ouderen vaak een enorme hobbel.
Een PC werkt makkelijker voor ze. Ervaringdeskundige
Dan moeten de banks maar een veilige app maken voor de PC lijkt mij.
7. Lijkt mij een financiele keuze voor de banken, kost het meer geld om filialen te openen
of om af en toe vergoeding moeten uitkeren.
De dedicated devices lijkt mij de beste oplossing, mits gebruikersvriendelijk.
Vaak realiseert een slachtoffer later wat er gebeurt is.
Toch blijk het heel vaak, dat ze anders spreken, maar dan hoor je die zuurpruimen nooit.
De klant logt op legitieme manier in op de portal van de ING (mondeling gemotiveerd door de fraudeur) en schrijft vervolgens grote bedragen over van een zakelijke rekening. Welke middelen heeft een bank om hier iets tegen te doen?
Wellicht zie ik iets over het hoofd, in dat geval ben ik benieuwd welke middelen er dan nog zijn voor een bank om hier iets tegen te doen (ik leer graag).
Dit soort criminaliteit is echt het gevolg van automatisering. De bank(en) bespaart/besparen daarmee grote sommen geld. Als ze nu een beetje geld van de besparingen opzij leggen, dan hoeven ze geen processen te voeren of klanten een oor aannaaien
Toch blijk het heel vaak, dat ze anders spreken, maar dan hoor je die zuurpruimen nooit.
Precies. maar ook hier weer een die begint te schermen met (zijn) gezonde verstand. Het is hopeloos want deze mensen krijg je toch nooit aan hun 'gezonde verstand' gepraat wat social engineering is.
Nee, ik ben geen ING-aandeelhouder, ik heb sowieso geen aandelen. Maar ik zit wel liever bij een bank die winst maakt dan dat mijn bank bij de Staat moet aankloppen voor hulp. De schade door bankhelpdeskfraude zal in verhouding tot de winst inderdaad gering zijn. Neemt niet weg dat de totale schade van alle criminaliteit bij elkaar in de miljarden loopt. Ik las wel dat de schade door bankhelpdeskfraude enorm is afgenomen.
De klant logt op legitieme manier in op de portal van de ING (mondeling gemotiveerd door de fraudeur) en schrijft vervolgens grote bedragen over van een zakelijke rekening. Welke middelen heeft een bank om hier iets tegen te doen?
Wellicht zie ik iets over het hoofd, in dat geval ben ik benieuwd welke middelen er dan nog zijn voor een bank om hier iets tegen te doen (ik leer graag).
Dit soort criminaliteit is echt het gevolg van automatisering. De bank(en) bespaart/besparen daarmee grote sommen geld. Als ze nu een beetje geld van de besparingen opzij leggen, dan hoeven ze geen processen te voeren of klanten een oor aannaaien
Vroeger koste een overschrijving ook een aantal dagen, ook niet heel erg effectief.
Ik kan nu heel gemakkelijk per dag mijn geldzaken regelen, wat mij ook extra rente en tijd bespaart.
Wat zie jij precies als goed alternatief voor een vervanging voor Internetbankieren?
Uit https://www.nvb.nl/nieuws/schade-bankhelpdeskoplichting-daalt-met-45/:
Dat is gemiddeld 2800 Euro per slachtoffer. Voor veel mensen is 2800 Euro heel veel geld, maar door de waarschijnlijk grote spreiding zal een deel veel zwaarder getroffen zijn (zoals de bovenaan genoemde 64.000 Euro).
Nb.die 28 miljoen is van alle banken bij elkaar. Uit https://www.nu.nl/economie/6299850/ing-verdubbelde-miljardenwinst-in-2023-door-meer-te-verdienen-aan-rente.html:
De kosten t.g.v. compensaties voor bankhelpdeskfraude zijn voor ING waarschijnlijk in de orde van 1 promille van de winst.
Wist u dit?
Ik bedoel hier niet alleen de schade door bankhelpdeskfraude maar de schade door alle criminaliteit bij elkaar. De schade door bankhelpdeskfraude is peanuts vergeleken met de schade door alle misdadige activiteiten tezamen. En voor banken zullen de kosten om witwaspraktijken op te sporen veel hoger zijn dan de schade door bankhelpdeskfraude. Kosten die dus ook op de klanten verhaald worden. Maar ten opzichten van de winst zijn ook deze kosten waarschijnlijk te verwaarlozen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
