Onveilige creditcards

BANKEN ZIJN instellingen met een enorme verantwoordelijkheid. Rekeninghouders vertrouwen hun hele financiële hebben en houden aan ze toe. Valt de bank om, dan gaan de klanten onherroepelijk mee kopje onder. Succesvolle banken zijn daarom bolwerken van bedachtzaamheid, voorzichtigheid en conservatisme, wat als voordeel heeft dat je geld er redelijk veilig is.

Maar er zijn ook nadelen. Bijvoorbeeld dat banken nieuwe ontwikkelingen in het betalingsverkeer vaak maar heel langzaam oppikken. Zo ging de ontwikkeling van het girale geld in Nederland aanvankelijk helemaal aan de banken voorbij. Dat werd het domein van een aparte instelling. Eerst, in 1907, een girobank. In 1916 richtte Amsterdam zijn eigen Gemeentegiro op. En in 1918, nadat de girobank was geliquideerd, kwam de Postcheque en Girodienst (PCGD) tot stand. Tegenwoordig heet de PCGD allang Postbank, en is hij een bank als alle andere, maar nog altijd zie je de gevolgen van de warsheid van nieuwigheden van de banken van toen, in de afwijkende rekeningnummers, in de extra dievendagen die het overmaken van geld tussen Postbank en andere banken nog altijd kenmerken, en tot voor kort in het feit dat Postbankklanten bij de flappentappen van de rest niet welkom waren.

Een ander voorbeeld is de creditcard. Ook die ontstond buiten de banken om, als gevolg van de achterlijke organisatie van het Amerikaanse bankwezen. De diepere oorzaak lag in de Amerikaanse wet die het tot in de jaren tachtig banken verbood zaken te doen buiten de staat waarin zij gevestigd waren. Amerika was daardoor een land van heel veel kleine, lokale banken. Het gevolg was dat Amerikanen buiten hun eigen staat en soms zelfs buiten hun eigen stad geen contant geld konden krijgen. Iedereen liep daarom met cheques van zijn eigen bank rond die een eind verderop niemand kende, en er werd dan ook heel wat afgezwendeld. Nog steeds kun je in Amerika bij vrijwel elke kassa een bordje 'no personal cheques' zien staan. Slimmeriken verzonnen toen de creditcard: een pasje waarvan de uitgever zich garant stelde voor de verplichtingen die toonder aanging. Dat kaartje kon overal gebruikt worden, want formeel was de uitgever ervan geen bank. Het werd na een aarzelende start, zoals bekend, een wereldsucces.

En nu is er het Internet, en gloort aan de einder volgens sommigen zelfs een Internet-economie, maar opnieuw laten de banken het grotendeels afweten. Het nog altijd experimentele I Pay-systeem, bijvoorbeeld, is op zijn best een eerste vingeroefening, de voorzichtige teen in het water van iemand zonder zwemdiploma.

Noodgedwongen betaalt dus iedereen ook op het net met zijn creditcard. Maar alweer jaren geleden werd daartegen ernstig gewaarschuwd: creditkaartnummers over het Internet sturen zou vragen om misbruik. Immers, iedere onverlaat die dat nummer en de bijbehorende vervaldatum onderweg van dat openbare net afplukte, kon op kosten van de eigenaar van de kaart zijn slag slaan.

Op zichzelf is dat juist, maar hetzelfde risico bestaat bij elke betaling per creditcard. De winkelier, de ober in het restaurant, de juffrouw aan de telefoon van het theater of autoverhuurbedrijf, allemaal kunnen ze die cruciale gegevens noteren en misbruiken. Het probleem van het Internet zat hem in de schaal. Een slimme onverlaat kon immers een programmaatje maken dat ergens op een knooppunt continu luisterde naar langskomende creditkaartnummers, en daarvan lijsten aanlegde. Tienduizenden nummers per dag! En dan één gigaslag slaan, en wegwezen.

Er is door de Internethandel goed naar die waarschuwing geluisterd. Vrijwel alle transacties verlopen inmiddels via zogeheten 'secure servers', waarbij de gegevens in versleutelde vorm reizen. Afluisteren is daardoor uiterst lastig geworden. Je kunt je bij Internetbetalingen beter zorgen maken over de betrouwbaarheid van de onbekende partner dan over het afgetapt worden van je creditcardnummer. Maar helaas is die oude waarschuwing in de journalistiek een eigen leven gaan leiden, waardoor het betalen via het net telkens weer ten onrechte in een kwade reuk gezet wordt. Zoals onlangs weer, toen twee mannen werden opgepakt wegens 'Internetfraude'. Ze hadden een Internetwinkeltje in computerspullen opgericht, en bestelden zelf bij hun eigen winkel enorme hoeveelheden, waarbij ze gebruik maakten van een lijst creditcardnummers van anderen. Er werd natuurlijk niets geleverd, maar er werd wel, door de nietsvermoedende houders van de creditcards, betaald. Maar de nummers kwamen niet van het net, maar uit een lijst die een van de oplichters bij zijn vorige werkgever, IBM, gestolen had. Gewoon, heel ouderwets: floppie in je zak, en fluitend naar buiten.

Het Internet betekende voor deze mannen alleen maar gemak. Een Internetwinkel is goedkoper en gemakkelijker op te zetten dan een echte winkel, en een simpel programmaatje kan duizenden bestellingen voor je doen terwijl je zelf ontspannen een uiltje knapt. Tegelijkertijd liepen ze juist daardoor tegen de lamp: het softwarebedrijfje dat ze hadden ingehuurd om hun winkel technisch te beheren kreeg argwaan door die enorme stroom bestellingen, en waarschuwde de politie. Het Internet bleek op een onverwachte manier dus juist hartstikke veilig!

Rest nog één vraag: waarom lag er bij IBM een lijst met creditcardnummers van hun eigen klanten? Navraag leert dat het om klanten ging die een abonnement hebben op Internetdiensten van IBM. Om die klanten ter wille te zijn, verzorgt IBM zelf de incasso van de abonnementsgelden. Heel eenvoudig: IBM geeft gewoon het nummer van de creditcard van de klant door aan de creditcardmaatschappij, en betaling volgt. Daar was die lijst voor nodig. Het was dus niet het Internet dat onveilig bleek, ook al riep creditcardmaatschappij Visa naar aanleiding van deze kwestie luidkeels van wel, maar juist de creditcard. Die is domweg niet geschikt voor periodieke betalingen. Abonnementen moet je betalen met een automatische periodieke afschrijving van de bank. Dan hebben leveranciers geen lijsten met creditcardnummers van hun abonnees nodig, en kunnen ze ook niet gestolen worden.