Bunq-klant krijgt 5800 euro schade door fraude via Apple Pay niet vergoed
Een klant van bunq die het slachtoffer werd van oplichting, doordat een derde haar betaalpas aan een Apple Pay-wallet toevoegde, krijgt de 5800 euro schade niet vergoed. Dat heeft het financiële klachtinstituut Kifid bepaald. Vorig jaar juni werd de betaalpas van de klant toegevoegd aan een nieuwe Apple Pay-wallet. Twee dagen later vonden er meerdere tranacties plaats met een waarde van 5800 euro.
De klant deed aangifte en vordert dat bunq de schade vergoedt. Ze stelt dat zij geen beveiligingscodes, wachtwoorden of andere gevoelige informatie met derden heeft gedeeld. De telefoon en de betaalpas van de klant zijn niet uit haar bezit geweest. De klant kan niet verklaren hoe de fraude heeft plaatsgevonden, maar het is volgens haar mogelijk dat geavanceerde phishingtechnieken of andere vormen van cyberaanvallen zijn gebruikt om toegang tot de rekening te krijgen.
"Hoewel het aan de bank is om te bewijzen dat de consument grof nalatig heeft gehandeld, rust op de consument een verzwaarde stelplicht. Dat betekent dat de consument aanknopingspunten dient te verstrekken over de wijze waarop een onbevoegde derde de mogelijkheid heeft gehad om de betaalpas van de consument toe te voegen aan een Apple Pay-wallet. Een andere regel zou banken voor onaanvaardbare risico’s van misbruik plaatsen", aldus het Kifid (pdf).
Bunq legde uit dat voor het koppelen van een betaalpas aan Apple Pay het nummer van de betaalpas en de verloopdatum van de pas moeten worden opgegeven.Om te verifiëren dat de klant instemt met het toevoegen van de betaalpas aan Apple Pay wordt per sms een verificatiecode gestuurd die moet worden ingevoerd op de iPhone waar de betaalpas aan wordt toegevoegd. Bunq heeft deze code naar het nummer van de klant gestuurd. In de sms staat dat de klant de verificatiecode niet mag delen met derden, zo liet de bank verder weten.
Omdat de klant niet heeft uitgelegd hoe de gegevens van de betaalpas en de verificatiecode kennelijk in handen van een derde zijn gekomen, concludeert het Kifid dat de klant onvoldoende zorgvuldig is geweest. "Dit leidt tot het oordeel dat moet worden aangenomen dat de consument de verplichtingen voor het veilige gebruik van de rekening zoals opgenomen in de voorwaarden niet is nagekomen. Derhalve concludeert de commissie dat de consument in juridische zin grof nalatig heeft gehandeld en dat de bank de geleden schade op grond van artikel 7:529 lid 1 BW niet aan de consument hoeft te vergoeden."
Reacties (21)
21-01-2025, 12:14 door
Anoniem
Veel mensen stoppen de betaalpas in het hoesje van de telefoon en hebben aan staan dat notificaties op het lockscreen worden weergegeven zonder te authenticeren. Dus dat maakt het redelijk eenvoudig dan om in een onbewaakt moment de boel te koppelen.
21-01-2025, 12:18 door
Anoniem
Ik lees nooit dat ook geprobeerd is om de fraudeur op te sporen. Dat is toch in het belang van de klant en ook in het belang van de banken.
21-01-2025, 12:31 door
Anoniem
Omdat de klant niet heeft uitgelegd hoe de gegevens van de betaalpas en de verificatiecode kennelijk in handen van een derde zijn gekomen, concludeert het Kifid dat de klant onvoldoende zorgvuldig is geweest.
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
21-01-2025, 12:33 door
Anoniem
In deze geef ik de bank gelijk.
Did lijkt op acties van de klant zelf en dan proberen geld terug te krijgen
Did lijkt op acties van de klant zelf en dan proberen geld terug te krijgen
21-01-2025, 13:19 door
Anoniem
Door Anoniem:
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
De klant eist, de klant bewijst!Omdat de klant niet heeft uitgelegd hoe de gegevens van de betaalpas en de verificatiecode kennelijk in handen van een derde zijn gekomen, concludeert het Kifid dat de klant onvoldoende zorgvuldig is geweest.
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
21-01-2025, 13:19 door
Anoniem
Door Anoniem:
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
Omdat de klant niet heeft uitgelegd hoe de gegevens van de betaalpas en de verificatiecode kennelijk in handen van een derde zijn gekomen, concludeert het Kifid dat de klant onvoldoende zorgvuldig is geweest.
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
Nee je leest het niet verkeerd.
21-01-2025, 13:19 door
Anoniem
Bunq kan in zijn data vast veel meer zien (telefoon ID van gekoppelde Apple wallet , IP adres van moment van koppelen), klant moet die opvragen om inzicht te krijgen.
21-01-2025, 13:32 door
Anoniem
Om een betaalpas aan Apple Pay te koppelen moeten twee gegevens die zichtbaar op de betaalpas en een verificatiecode gebruikt worden, die per SMS wordt gestuurd naar het telefoonnummer dat de bank van de klant kent. En previews van berichten tonen op de lock screen van een iPhone is een optie, zie ik her en der op webpagina's beschreven worden.
Dan lijkt het erop dat als iemand die gegevens van je pas af kan kijken en ergens de gelegenheid krijgt om een telefoon die even ergens blijft liggen te observeren de koppeling tussen die pas en het eigen Apple Pay-account makkelijk is gemaakt, zonder dat daar de pincode van de pas bij nodig is. Die wordt niet genoemd! Dan deugt de procedure voor het koppelen aan Apple Pay niet, die is lek op een manier die je als klant makkelijk niet doorziet. Dat is een fout en de verantwoordelijkheid van de bank, niet van de klant.
Dan is wat nodig is om je rekening te beschermen niet alleen dat je je pincode geheim moet houden maar ook dat je nooit je telefoon een moment onbeheerd achter moet laten, ook niet bij mensen die je denkt te kunnen vertrouwen.
Kifid haalt het Burgerlijk wetboek aan, daarbij artikelnummers vermeldend. Als een consument niet met een transactie heeft ingestemd is die niet toegestaan (7:522 lid 2 BW), en dat moet de bank onmiddellijk terugbetalen (7:528 lid 1 BW), tenzij de klant frauduleus of in juridische zin opzettelijk of met grove nalatigheid verplichtingen niet is nagekomen (7:529 lid 1 BW) Die verplichtingen staan in 7:524 BW en Kifid verwijst naar lid 1 daarvan: de consument moet een betaalinstrument gebruiken overeenkomstig de voorwaarden die erop van toepassing zijn.
Ook verwijst Kifid naar artikel 43 van de algemene voorwaarden van Bunq, waarin staat dat de klant inlogcodes en andere beveiligingscodes strikt geheim moet houden. De klant geeft aan dat beveiligingscodes niet met anderen zijn gedeeld.
Vervolgens redeneert Kifid dat het weliswaar aan de bank is om dat de bewijzen maar dat de consument een "verzwaarde stelplicht" heeft en aanknopingspunten moet verschaffen over de wijze waarop een onbekende de mogelijkheid heeft gehad om de betaalpas aan een Apple Pay-wallet toe te voegen. Daartoe verwijzen ze niet naar het Burgerlijk wetboek maar naar eerdere eigen uitspraken.
Mij valt op dat de verwijzingen naar het Burgerlijk wetboek die ik hierboven herhaalde in de tekst zelf staan terwijl de verwijzing naar die eigen uitspraken in een voetnoot is ondergebracht. Het staat er, maar wel minder opvallend, het is geen onderdeel van de zinnen die je leest maar iets waar je een uitstapje voor moet maken naar de onderkant van de pagina.
Dus de klant schiet tekort door geen flauw benul te hebben hoe dit gebeurd kan zijn, maar is niet slordig geweest met het gebruiken van het betaalinstrument omdat die de pincode wel degelijk geheim heeft gehouden; en de bank schiet tekort door een heel systeem zo op te zetten dat de beveiliging omzeild kan worden. En wat weegt het zwaarst voor Kifid: de tekortkoming van de klant. Want "een andere regel zou banken voor onaanvaardbare risico's van misbruik plaatsen".
Ik hoop dat deze klant naar de rechter stapt, want wat hier gebeurt is dat klanten voor onaanvaardbare risico's van misbruik worden geplaatst door incompetentie van de bank.
In artikel 12.2 van de persoonlijke rekeningvoorwaarden stelt Bunq over onbevoegde transacties:
Vlak daaronder staat:
Dan lijkt het erop dat als iemand die gegevens van je pas af kan kijken en ergens de gelegenheid krijgt om een telefoon die even ergens blijft liggen te observeren de koppeling tussen die pas en het eigen Apple Pay-account makkelijk is gemaakt, zonder dat daar de pincode van de pas bij nodig is. Die wordt niet genoemd! Dan deugt de procedure voor het koppelen aan Apple Pay niet, die is lek op een manier die je als klant makkelijk niet doorziet. Dat is een fout en de verantwoordelijkheid van de bank, niet van de klant.
Dan is wat nodig is om je rekening te beschermen niet alleen dat je je pincode geheim moet houden maar ook dat je nooit je telefoon een moment onbeheerd achter moet laten, ook niet bij mensen die je denkt te kunnen vertrouwen.
Kifid haalt het Burgerlijk wetboek aan, daarbij artikelnummers vermeldend. Als een consument niet met een transactie heeft ingestemd is die niet toegestaan (7:522 lid 2 BW), en dat moet de bank onmiddellijk terugbetalen (7:528 lid 1 BW), tenzij de klant frauduleus of in juridische zin opzettelijk of met grove nalatigheid verplichtingen niet is nagekomen (7:529 lid 1 BW) Die verplichtingen staan in 7:524 BW en Kifid verwijst naar lid 1 daarvan: de consument moet een betaalinstrument gebruiken overeenkomstig de voorwaarden die erop van toepassing zijn.
Ook verwijst Kifid naar artikel 43 van de algemene voorwaarden van Bunq, waarin staat dat de klant inlogcodes en andere beveiligingscodes strikt geheim moet houden. De klant geeft aan dat beveiligingscodes niet met anderen zijn gedeeld.
Vervolgens redeneert Kifid dat het weliswaar aan de bank is om dat de bewijzen maar dat de consument een "verzwaarde stelplicht" heeft en aanknopingspunten moet verschaffen over de wijze waarop een onbekende de mogelijkheid heeft gehad om de betaalpas aan een Apple Pay-wallet toe te voegen. Daartoe verwijzen ze niet naar het Burgerlijk wetboek maar naar eerdere eigen uitspraken.
Mij valt op dat de verwijzingen naar het Burgerlijk wetboek die ik hierboven herhaalde in de tekst zelf staan terwijl de verwijzing naar die eigen uitspraken in een voetnoot is ondergebracht. Het staat er, maar wel minder opvallend, het is geen onderdeel van de zinnen die je leest maar iets waar je een uitstapje voor moet maken naar de onderkant van de pagina.
Dus de klant schiet tekort door geen flauw benul te hebben hoe dit gebeurd kan zijn, maar is niet slordig geweest met het gebruiken van het betaalinstrument omdat die de pincode wel degelijk geheim heeft gehouden; en de bank schiet tekort door een heel systeem zo op te zetten dat de beveiliging omzeild kan worden. En wat weegt het zwaarst voor Kifid: de tekortkoming van de klant. Want "een andere regel zou banken voor onaanvaardbare risico's van misbruik plaatsen".
Ik hoop dat deze klant naar de rechter stapt, want wat hier gebeurt is dat klanten voor onaanvaardbare risico's van misbruik worden geplaatst door incompetentie van de bank.
In artikel 12.2 van de persoonlijke rekeningvoorwaarden stelt Bunq over onbevoegde transacties:
Als het verlies werd veroorzaakt door een medewerker, agent of procesfout van bunq, ben je niet aansprakelijk.
Ik zou zeggen dat dit een procesfout is. Niet in de zin dat Bunq een proces niet heeft uitgevoerd zoals het ontworpen is, maar in de zin dat het hele proces fout ontworpen is, en dat is ernstig.Vlak daaronder staat:
bunq gebruikt Strong Customer Authentication (SCA) om je account te beveiligen. Als SCA niet vereist is tijdens een niet-geautoriseerde transactie, word je niet aansprakelijk gesteld, tenzij je frauduleus hebt gehandeld.
Kan je nog zeggen dat de Apple Pay-koppeling een sterke vorm van klant-authenticatie genoemd kan worden als het leggen van de koppeling zelf rammelt? Duidelijk niet — garbage in, garbage out. Dan zou de klant niet aansprakelijk mogen worden gesteld voor de schade.
21-01-2025, 13:38 door
Anoniem
Ik sluit iet uit dat de klant slachtoffer is geweest van Sim Swapping. De vraag is wel hoe de malafide partij achter haar gegevens van de betaalpas is gekomen. Maar in theorie is deze oplichtersmethode wel degelijk mogelijk.
21-01-2025, 13:40 door
Anoniem
Door Anoniem: Veel mensen stoppen de betaalpas in het hoesje van de telefoon en hebben aan staan dat notificaties op het lockscreen worden weergegeven zonder te authenticeren. Dus dat maakt het redelijk eenvoudig dan om in een onbewaakt moment de boel te koppelen.
Bij iets wat een klant niet zelf geïnitieerd heeft en waar die zich vermoedelijk helemaal niet van bewust zal zijn. Waarom is de pincode van de pas niet vereist om de koppeling te maken? Dit is een zwakte in de koppelingsprocedure waar alle alarmbellen bij af zouden moeten gaan. Dat vind ik niet iets dat de klant maar moet opvangen, die is typisch geen expert in dit soort dingen. De bank zelf moet dit goed doen — of niet doen als het met Apple Pay niet goed te doen is.
21-01-2025, 13:53 door
Anoniem
Op de website "Types of Apple Pay Scams" lees ik het volgende:
Met andere woorden: het is wel degelijk mogelijk om de frauderen met Apple Pay indien men in een Phishing mail trapt met een kwaadaardige link.
Het hele verhaal staat hier te lezen:
https://www.certosoftware.com/insights/types-of-apple-pay-scams-and-how-to-spot-them/
In a recent Apple Pay phishing scam, users received a message saying that Apple Pay had been suspended on their device. The message included a link to a fake Apple Pay website, inviting people to input their card details again to reactivate their account. In reality, those card details were being used to commit fraud.
Met andere woorden: het is wel degelijk mogelijk om de frauderen met Apple Pay indien men in een Phishing mail trapt met een kwaadaardige link.
Het hele verhaal staat hier te lezen:
https://www.certosoftware.com/insights/types-of-apple-pay-scams-and-how-to-spot-them/
21-01-2025, 13:58 door
Anoniem
Door Anoniem: Om een betaalpas aan Apple Pay te koppelen moeten twee gegevens die zichtbaar op de betaalpas en een verificatiecode gebruikt worden, die per SMS wordt gestuurd naar het telefoonnummer dat de bank van de klant kent. En previews van berichten tonen op de lock screen van een iPhone is een optie, zie ik her en der op webpagina's beschreven worden.
Dan lijkt het erop dat als iemand die gegevens van je pas af kan kijken en ergens de gelegenheid krijgt om een telefoon die even ergens blijft liggen te observeren de koppeling tussen die pas en het eigen Apple Pay-account makkelijk is gemaakt, zonder dat daar de pincode van de pas bij nodig is. Die wordt niet genoemd! Dan deugt de procedure voor het koppelen aan Apple Pay niet, die is lek op een manier die je als klant makkelijk niet doorziet. Dat is een fout en de verantwoordelijkheid van de bank, niet van de klant.
Dan is wat nodig is om je rekening te beschermen niet alleen dat je je pincode geheim moet houden maar ook dat je nooit je telefoon een moment onbeheerd achter moet laten, ook niet bij mensen die je denkt te kunnen vertrouwen.
Kifid haalt het Burgerlijk wetboek aan, daarbij artikelnummers vermeldend. Als een consument niet met een transactie heeft ingestemd is die niet toegestaan (7:522 lid 2 BW), en dat moet de bank onmiddellijk terugbetalen (7:528 lid 1 BW), tenzij de klant frauduleus of in juridische zin opzettelijk of met grove nalatigheid verplichtingen niet is nagekomen (7:529 lid 1 BW) Die verplichtingen staan in 7:524 BW en Kifid verwijst naar lid 1 daarvan: de consument moet een betaalinstrument gebruiken overeenkomstig de voorwaarden die erop van toepassing zijn.
Ook verwijst Kifid naar artikel 43 van de algemene voorwaarden van Bunq, waarin staat dat de klant inlogcodes en andere beveiligingscodes strikt geheim moet houden. De klant geeft aan dat beveiligingscodes niet met anderen zijn gedeeld.
Vervolgens redeneert Kifid dat het weliswaar aan de bank is om dat de bewijzen maar dat de consument een "verzwaarde stelplicht" heeft en aanknopingspunten moet verschaffen over de wijze waarop een onbekende de mogelijkheid heeft gehad om de betaalpas aan een Apple Pay-wallet toe te voegen. Daartoe verwijzen ze niet naar het Burgerlijk wetboek maar naar eerdere eigen uitspraken.
Mij valt op dat de verwijzingen naar het Burgerlijk wetboek die ik hierboven herhaalde in de tekst zelf staan terwijl de verwijzing naar die eigen uitspraken in een voetnoot is ondergebracht. Het staat er, maar wel minder opvallend, het is geen onderdeel van de zinnen die je leest maar iets waar je een uitstapje voor moet maken naar de onderkant van de pagina.
Dus de klant schiet tekort door geen flauw benul te hebben hoe dit gebeurd kan zijn, maar is niet slordig geweest met het gebruiken van het betaalinstrument omdat die de pincode wel degelijk geheim heeft gehouden; en de bank schiet tekort door een heel systeem zo op te zetten dat de beveiliging omzeild kan worden. En wat weegt het zwaarst voor Kifid: de tekortkoming van de klant. Want "een andere regel zou banken voor onaanvaardbare risico's van misbruik plaatsen".
Ik hoop dat deze klant naar de rechter stapt, want wat hier gebeurt is dat klanten voor onaanvaardbare risico's van misbruik worden geplaatst door incompetentie van de bank.
In artikel 12.2 van de persoonlijke rekeningvoorwaarden stelt Bunq over onbevoegde transacties:
Vlak daaronder staat:
Dan lijkt het erop dat als iemand die gegevens van je pas af kan kijken en ergens de gelegenheid krijgt om een telefoon die even ergens blijft liggen te observeren de koppeling tussen die pas en het eigen Apple Pay-account makkelijk is gemaakt, zonder dat daar de pincode van de pas bij nodig is. Die wordt niet genoemd! Dan deugt de procedure voor het koppelen aan Apple Pay niet, die is lek op een manier die je als klant makkelijk niet doorziet. Dat is een fout en de verantwoordelijkheid van de bank, niet van de klant.
Dan is wat nodig is om je rekening te beschermen niet alleen dat je je pincode geheim moet houden maar ook dat je nooit je telefoon een moment onbeheerd achter moet laten, ook niet bij mensen die je denkt te kunnen vertrouwen.
Kifid haalt het Burgerlijk wetboek aan, daarbij artikelnummers vermeldend. Als een consument niet met een transactie heeft ingestemd is die niet toegestaan (7:522 lid 2 BW), en dat moet de bank onmiddellijk terugbetalen (7:528 lid 1 BW), tenzij de klant frauduleus of in juridische zin opzettelijk of met grove nalatigheid verplichtingen niet is nagekomen (7:529 lid 1 BW) Die verplichtingen staan in 7:524 BW en Kifid verwijst naar lid 1 daarvan: de consument moet een betaalinstrument gebruiken overeenkomstig de voorwaarden die erop van toepassing zijn.
Ook verwijst Kifid naar artikel 43 van de algemene voorwaarden van Bunq, waarin staat dat de klant inlogcodes en andere beveiligingscodes strikt geheim moet houden. De klant geeft aan dat beveiligingscodes niet met anderen zijn gedeeld.
Vervolgens redeneert Kifid dat het weliswaar aan de bank is om dat de bewijzen maar dat de consument een "verzwaarde stelplicht" heeft en aanknopingspunten moet verschaffen over de wijze waarop een onbekende de mogelijkheid heeft gehad om de betaalpas aan een Apple Pay-wallet toe te voegen. Daartoe verwijzen ze niet naar het Burgerlijk wetboek maar naar eerdere eigen uitspraken.
Mij valt op dat de verwijzingen naar het Burgerlijk wetboek die ik hierboven herhaalde in de tekst zelf staan terwijl de verwijzing naar die eigen uitspraken in een voetnoot is ondergebracht. Het staat er, maar wel minder opvallend, het is geen onderdeel van de zinnen die je leest maar iets waar je een uitstapje voor moet maken naar de onderkant van de pagina.
Dus de klant schiet tekort door geen flauw benul te hebben hoe dit gebeurd kan zijn, maar is niet slordig geweest met het gebruiken van het betaalinstrument omdat die de pincode wel degelijk geheim heeft gehouden; en de bank schiet tekort door een heel systeem zo op te zetten dat de beveiliging omzeild kan worden. En wat weegt het zwaarst voor Kifid: de tekortkoming van de klant. Want "een andere regel zou banken voor onaanvaardbare risico's van misbruik plaatsen".
Ik hoop dat deze klant naar de rechter stapt, want wat hier gebeurt is dat klanten voor onaanvaardbare risico's van misbruik worden geplaatst door incompetentie van de bank.
In artikel 12.2 van de persoonlijke rekeningvoorwaarden stelt Bunq over onbevoegde transacties:
Als het verlies werd veroorzaakt door een medewerker, agent of procesfout van bunq, ben je niet aansprakelijk.
Ik zou zeggen dat dit een procesfout is. Niet in de zin dat Bunq een proces niet heeft uitgevoerd zoals het ontworpen is, maar in de zin dat het hele proces fout ontworpen is, en dat is ernstig.Vlak daaronder staat:
bunq gebruikt Strong Customer Authentication (SCA) om je account te beveiligen. Als SCA niet vereist is tijdens een niet-geautoriseerde transactie, word je niet aansprakelijk gesteld, tenzij je frauduleus hebt gehandeld.
Kan je nog zeggen dat de Apple Pay-koppeling een sterke vorm van klant-authenticatie genoemd kan worden als het leggen van de koppeling zelf rammelt? Duidelijk niet — garbage in, garbage out. Dan zou de klant niet aansprakelijk mogen worden gesteld voor de schade.Een serieuze vraag:
Is Bunq verantwoordelijk voor de werking van Apple Pay, of is Apple dat?
Apple Pay vraagt (blijkbaar) alleen om twee gegevens die zichtbaar op de betaalpas staan. En om een verificatiecode die per SMS gestuurd is.
Allemaal zaken die afgekeken kunnen worden.
En hoe hadden Apple en Bunq (of een andere bank) dit dan wel moeten ondervangen om het veilig te maken voor "schoudersurfers" oid.
21-01-2025, 16:07 door
Anoniem
Klant had er beter aan gedaan een advocaat in de arm te nemen. Bank had vergoeding moeten betalen en vervolgens zelf met Apple moeten steggelen over de schuldvraag onderling hoe het kan dat de koppeling is gebeurd als er geen redelijke aanwijzigingen zijn van nalatigheid.
SMS voor verificatie en dan nog durven zeggen dat gegevens strikt geheim dienen te worden gehouden. Wens de bank veel succes om te bewijzen aan een rechtbank dat SMS in deze tijd gezien wordt als een veilig protocol voor dit soort verificaties.
Maar ja KIFID ofwel WC eend.
SMS voor verificatie en dan nog durven zeggen dat gegevens strikt geheim dienen te worden gehouden. Wens de bank veel succes om te bewijzen aan een rechtbank dat SMS in deze tijd gezien wordt als een veilig protocol voor dit soort verificaties.
Maar ja KIFID ofwel WC eend.
21-01-2025, 16:07 door
Anoniem
Door Anoniem: Een serieuze vraag:
Is Bunq verantwoordelijk voor de werking van Apple Pay, of is Apple dat?
Apple Pay vraagt (blijkbaar) alleen om twee gegevens die zichtbaar op de betaalpas staan. En om een verificatiecode die per SMS gestuurd is.
Allemaal zaken die afgekeken kunnen worden.
En hoe hadden Apple en Bunq (of een andere bank) dit dan wel moeten ondervangen om het veilig te maken voor "schoudersurfers" oid.
Net zoals andere banken dat doen? Die vereisen dat je voor de koppeling inlogt op online bankieren en de digipassen, scanners, apps etc. daarvoor gebruikt. En als dit betekent dat Bunq dat soort dingen niet gebruikt maar overal een SMS voor stuurt* dan lopen ze qua beveiliging verder achter dan ze zelf al bestaan. Ik had niet eens aan die mogelijkheid gedacht, ik dacht dat banken dat al heel lang achter zich hadden gelaten.Is Bunq verantwoordelijk voor de werking van Apple Pay, of is Apple dat?
Apple Pay vraagt (blijkbaar) alleen om twee gegevens die zichtbaar op de betaalpas staan. En om een verificatiecode die per SMS gestuurd is.
Allemaal zaken die afgekeken kunnen worden.
En hoe hadden Apple en Bunq (of een andere bank) dit dan wel moeten ondervangen om het veilig te maken voor "schoudersurfers" oid.
* Ik denk dat je ongelijk hebt dat de SMS door Apple is gestuurd, hij is namelijk gestuurd aan het telefoonnummer dat Bunq van de klant heeft.
21-01-2025, 16:07 door
Anoniem
Door Anoniem: Ik sluit iet uit dat de klant slachtoffer is geweest van Sim Swapping. De vraag is wel hoe de malafide partij achter haar gegevens van de betaalpas is gekomen. Maar in theorie is deze oplichtersmethode wel degelijk mogelijk.
In theorie kon er ook een wapen op hem gericht zijn. De kans is echter zeer klein.
22-01-2025, 06:17 door
Anoniem
Door Anoniem:
* Ik denk dat je ongelijk hebt dat de SMS door Apple is gestuurd, hij is namelijk gestuurd aan het telefoonnummer dat Bunq van de klant heeft.
Door Anoniem: Een serieuze vraag:
Is Bunq verantwoordelijk voor de werking van Apple Pay, of is Apple dat?
Apple Pay vraagt (blijkbaar) alleen om twee gegevens die zichtbaar op de betaalpas staan. En om een verificatiecode die per SMS gestuurd is.
Allemaal zaken die afgekeken kunnen worden.
En hoe hadden Apple en Bunq (of een andere bank) dit dan wel moeten ondervangen om het veilig te maken voor "schoudersurfers" oid.
Net zoals andere banken dat doen? Die vereisen dat je voor de koppeling inlogt op online bankieren en de digipassen, scanners, apps etc. daarvoor gebruikt. En als dit betekent dat Bunq dat soort dingen niet gebruikt maar overal een SMS voor stuurt* dan lopen ze qua beveiliging verder achter dan ze zelf al bestaan. Ik had niet eens aan die mogelijkheid gedacht, ik dacht dat banken dat al heel lang achter zich hadden gelaten.Is Bunq verantwoordelijk voor de werking van Apple Pay, of is Apple dat?
Apple Pay vraagt (blijkbaar) alleen om twee gegevens die zichtbaar op de betaalpas staan. En om een verificatiecode die per SMS gestuurd is.
Allemaal zaken die afgekeken kunnen worden.
En hoe hadden Apple en Bunq (of een andere bank) dit dan wel moeten ondervangen om het veilig te maken voor "schoudersurfers" oid.
* Ik denk dat je ongelijk hebt dat de SMS door Apple is gestuurd, hij is namelijk gestuurd aan het telefoonnummer dat Bunq van de klant heeft.
Dat de SMS niet door Apple gestuurd is (dat bedoelde ik ook niet, mijn fout), betekent nog niet dat Apple het niet als een geldlige verificatievorm ziet voor haar betaaldienst.
Daar is dan ook iets van te vinden.
In dit specifieke geval is Apple Pay het betaalsysteem en dat heeft ook te voldoen aan de Nederlandse/EU (security-)eisen voor betaaldiensten.
Ik weet niet welke verschillende registratieeisen Apple hanteert als mogelijkheden voor haar betaalsysteem, maar daar ging ook iets mis.
Dat een iemand een ongerelateerde betaalpas/bankrekening aan diens Apple Pay kon toevoegen, zonder uitvoerige verificatie,
0:-)
22-01-2025, 07:30 door
Anoniem
Door Anoniem:
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
Omdat de klant niet heeft uitgelegd hoe de gegevens van de betaalpas en de verificatiecode kennelijk in handen van een derde zijn gekomen, concludeert het Kifid dat de klant onvoldoende zorgvuldig is geweest.
Wie is hier nu de rechercheur? Want hoe kan een klant dit aantonen? Ik heb mijn tel, pas en rekening info niet gedeeld. En dus is er toch geen manier om aan te tonen dat ik data gelekt heb? Ik als klant weet dat niet.
Moet de klant alle manieren weten van social engineering, (email/sms) phishing? Sim swapping?
Het kan toch niet zo zijn, dat een klant dus een lijstje met hack technieken moet overhandigen en zeggen dat ie daar geen slachtoffer van is... omgekeerde wereld..
TheYOSH
Of ik zal het verkeerd lezen...
De bank en klant hebben een contract. Dat is dus civiel recht. En geen strafrecht. Om de recherche 'aan het werk te zetten' zal de kamer aangifte moeten doen. Als de ernst van de zaak groot genoeg is (en dat is het niet) zal het OM opdracht geven aan de politie om een strafrechtelijk onderzoek te starten. Maar gezien het aanbod aan zaken en de beperkte politiecapaciteit zal die niet gebeuren.
Ik mis in dit verhaal of de klant aangifte deed. Gedurende dat proces zou de klant zijn telefoon uitgelezen kunnen worden. Vervolgens had de klant de aangifte en uitkomt van het onderzoek kunnen delen met de bank. Dan had de klant en stuk sterker gestaan.
De bank kan geen én gaat geen recherche-onderzoek starten. Die houdt zich aan de contractvoorwaarden. En reken maar dat dat (behoorlijk) waterdicht is. De bank ziet aan wie zij de sms code verstuurd hebben. Daarna is het aan de klant om te bewijzen hoe het kan dat die code in handen van een ander komt. Notabene samen met de gegevens die van de pas van de klant afkomstig zijn.
22-01-2025, 11:14 door
Anoniem
Door Anoniem:
[..]
Ik mis in dit verhaal of de klant aangifte deed. Gedurende dat proces zou de klant zijn telefoon uitgelezen kunnen worden. Vervolgens had de klant de aangifte en uitkomt van het onderzoek kunnen delen met de bank. Dan had de klant en stuk sterker gestaan.
[..]
Ik mis in dit verhaal of de klant aangifte deed. Gedurende dat proces zou de klant zijn telefoon uitgelezen kunnen worden. Vervolgens had de klant de aangifte en uitkomt van het onderzoek kunnen delen met de bank. Dan had de klant en stuk sterker gestaan.
In de basis blijft de feitelijke dader aansprakelijk.
De klant heeft alleen _recht_ op een schadevergoeding van de bank als de schade door nalatigheid van de bank ontstaan is.
Of - "valt binnen het coulance kader" (wat ietsje minder hard recht is) als op de een of andere manier blijkt dat de klant niet , formeel gesteld , "grof nalatig" geweest is.
Maar heel waarschijnlijk zou alleen maar blijken dat de klant gewoon precies gedaan heeft wat afgeraden is.
Ik denk eigenlijk dat "ik weet niet of niet meer wat ik gedaan heb toen de kaart gekoppeld werd" gewoon een leugentje is om wat meer kans op schadevergoeding te krijgen, en de klant doodgewoon die koppelcode ontfutseld is met een lulverhaal in app, in email of in een voice gesprek.
De klant (of handige adviseur op de achtergrond) voelt ook wel aan dat "ik werd gebeld en toen moest ik de sms code oplezen" meteen een afwijzing betekent, en dus wordt er gelogen "ik heb niks gezegd en ik weet niks" .
Niet ethisch, maar ja voor een kans op 5800 euro wordt de moraal wel vaker flexibel.
De bank kan geen én gaat geen recherche-onderzoek starten.
Ik weet niet eens of de bank wel aangifte zou kunnen doen voor (vermeende) diefstal bij een derde.
Als de bank het idee zou hebben dat er super bijzondere malware gebruikt is , kunnen ze de telefoon kopen van de klant en laten onderzoeken.
Die houdt zich aan de contractvoorwaarden. En reken maar dat dat (behoorlijk) waterdicht is. De bank ziet aan wie zij de sms code verstuurd hebben. Daarna is het aan de klant om te bewijzen hoe het kan dat die code in handen van een ander komt. Notabene samen met de gegevens die van de pas van de klant afkomstig zijn.
22-01-2025, 12:32 door
Anoniem
De bank ziet aan wie zij de sms code verstuurd hebben. Daarna is het aan de klant om te bewijzen hoe het kan dat die code in handen van een ander komt.
Een juist adres gebruiken ontslaat de verzender niet van onjuiste bezorging door de bezorgende bedrijven. Bij post bestaat daarom verzending met extra voorwaarden tot controle of de juiste persoon het ontvangt. Bij berichten via sms is al sinds het ontwerp in de vorige eeuw bekend dat sms dat soort zekerheid niet geeft. Het is dus aan de bank om aan te tonen dat het verzenden per sms bij de juiste persoon is aangekomen. Dat bewijzen ze niet met een 06-nummer gebruiken. Dat is onvoldoende bewijs om uit te sluiten dat ze het niet bij een crimineel hebben laten afleveren.
22-01-2025, 14:46 door
Anoniem
Door Anoniem:
De bank ziet aan wie zij de sms code verstuurd hebben. Daarna is het aan de klant om te bewijzen hoe het kan dat die code in handen van een ander komt.
Een juist adres gebruiken ontslaat de verzender niet van onjuiste bezorging door de bezorgende bedrijven. Bij post bestaat daarom verzending met extra voorwaarden tot controle of de juiste persoon het ontvangt. Bij berichten via sms is al sinds het ontwerp in de vorige eeuw bekend dat sms dat soort zekerheid niet geeft. Het is dus aan de bank om aan te tonen dat het verzenden per sms bij de juiste persoon is aangekomen. Dat bewijzen ze niet met een 06-nummer gebruiken. Dat is onvoldoende bewijs om uit te sluiten dat ze het niet bij een crimineel hebben laten afleveren.Helemaal niet.
civielrechtelijk is het typisch "gesteld en niet of onvoldoende weersproken" in een vonnis.
Plus - 'wie eist , bewijst' .
De bank hoeft helemaal _aan te tonen_ dat de SMS bij de juiste persoon is aangekomen.
22-01-2025, 19:54 door
Anoniem
Door Anoniem:
Helemaal niet.
civielrechtelijk is het typisch "gesteld en niet of onvoldoende weersproken" in een vonnis.
Plus - 'wie eist , bewijst' .
De bank hoeft helemaal _aan te tonen_ dat de SMS bij de juiste persoon is aangekomen.
Door Anoniem:
De bank ziet aan wie zij de sms code verstuurd hebben. Daarna is het aan de klant om te bewijzen hoe het kan dat die code in handen van een ander komt.
Een juist adres gebruiken ontslaat de verzender niet van onjuiste bezorging door de bezorgende bedrijven. Bij post bestaat daarom verzending met extra voorwaarden tot controle of de juiste persoon het ontvangt. Bij berichten via sms is al sinds het ontwerp in de vorige eeuw bekend dat sms dat soort zekerheid niet geeft. Het is dus aan de bank om aan te tonen dat het verzenden per sms bij de juiste persoon is aangekomen. Dat bewijzen ze niet met een 06-nummer gebruiken. Dat is onvoldoende bewijs om uit te sluiten dat ze het niet bij een crimineel hebben laten afleveren.Helemaal niet.
civielrechtelijk is het typisch "gesteld en niet of onvoldoende weersproken" in een vonnis.
Plus - 'wie eist , bewijst' .
De bank hoeft helemaal _aan te tonen_ dat de SMS bij de juiste persoon is aangekomen.
domme type van mezelf : hoeft helemaal NIET _aan te tonen_ .
Aantonen dat die verzonden is naar het door de klant opgegeven telefoonnummer zal (al) voldoende zijn .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?