Dit is een artikel uit het NRC-archief De artikelen in het archief zijn met behulp van geautomatiseerde technieken voorzien van metadata die de inhoud beschrijven. De resultaten van deze technieken zijn niet altijd correct, we werken aan verbetering. Meer informatie.

Winkels

Google Wallet, een nieuwe klus voor cyberskimmers

Internetbedrijf Google neemt het initiatief voor mobiel betalen met Google Wallet. Je portemonnee is niet meer nodig als de smartphone de rol van je creditcard en pinpas overneemt.

Snel een rondje bier afrekenen door je smartphone op de toonbank van de kroeg te leggen, dat is een van de zeer praktische voordelen van Google Wallet. Maar het nieuwe betaalsysteem van de internetgigant heeft ook nadelen: anoniem boodschappen doen is er niet meer bij. En een mobieltje met internetverbinding is kwetsbaarder voor inbraak op afstand dan contant geld.

Google stelde afgelopen week zijn elektronische portemonnee voor (zie google.com/wallet) . In de Nexus S, een toestel dat Google samen met Samsung ontwikkelde, zit een NFC-chip (near field communication) die draadloos contact maakt met de betaalterminal van de winkel. Je voert een pincode in en betaalt zo niet alleen de rekening, maar spaart ook bonuspunten of doet mee aan een kortingsactie. De telefoon wordt dus meteen een bonnenboekje. Vooralsnog werkt Google Wallet alleen in de VS met een creditcard van Citi Mastercard of virtuele prepaid tegoeden van Google. De deur staat open voor andere partijen.

Het regent straks betaal-apps

De verwachting is dat er de komende jaren een hoop apps verschijnen die je als elektronische portemonnee kunt gebruiken. Want naast Google gaan ook alle concurrerende telefoonmakers (Apple, Nokia, RIM BlackBerry) NFC-chips toepassen.  Telecomproviders willen NFC graag als betaalmiddel inzetten. In Nederland zijn KPN, Vodafone en T-Mobile bezig in samenwerking met ABN-Amro, ING en de Rabobank. Ook Visa heeft een mobiel betaalsysteem ontwikkeld, net als Paypal. Paypals moederbedrijf, eBay, klaagde Google meteen na de aankondiging van Google Wallet aan wegens diefstal: het product is ontwikkeld door twee oud-medewerkers die door Google zijn weggekocht. Zoals gewone skimmers telkens nieuwe manieren vinden om je pincode bij de pinautomaat af te troggelen, zo zullen cyberskimmers hun tanden zetten in de nieuwe draadloze betalingsmethode.

Even veilig als pinnen?

Volgens Google is de betaalactie veilig omdat de belangrijkste gegevens bewaard worden op een afgeschermd gedeelte, het secure element van de NFC-chip. De chip die Google gebruikt is gemaakt door het Nederlandse bedrijf NXP. Dat verzorgde ook de – inmiddels gekraakte – OV-chipkaart. De betaalchips die in smartphones zitten gebruiken voor betaling wel veel betere encryptie: even goed als die van nieuwe pinpas, de EMV-chip.

Maar Google Wallet heeft risico’s die niet voor je gewone portemonnee gelden. Al was het maar omdat hackers op afstand kunnen binnendringen op een smartphone, als je bijvoorbeeld kwaadaardige software via de Android Market. Google garandeert dat malware niet bij het beschermde element van de NFC-chip kan. Voor de zekerheid mogen andere apps NFC niet gebruiken voor betalingsverkeer. Het is onduidelijk of die beperking ook geldt voor mensen die hun telefoon kraken.

Backoffice is zwakke schakel

Je moet er op vertrouwen dat Google en andere toekomstige betaalaanbieders hun data veilig opslaan. Experts zoals de Delftse hoogleraar  Michel van Eeten waarschuwen dat, naarmate het aantal tussenliggende partijen in het betalingsverkeer groeit, ook de kans op fouten toeneemt in de backoffice (de systemen die de bank op de achtergrond gebruikt). Het gekraakte Sony PlayStation netwerk staat nog vers in het geheugen. Net als het de webaanval op de Rabobank, die het internetbetalingsverkeer dagenlang verstoorde. Google zegt dat de risico’s voor misbruik door de bank gedekt worden. Maar in Nederland geven banken nog geen standaard garantie af voor fraude met elektronisch bankieren. In  de praktijk wordt schade meestal vergoed maar je moet als klant zelf actie ondernemen.

Meekijken met aankoopgedrag

En dan is er de kwestie van de  privacy: Google Wallet is gratis in gebruik want het bedrijf verwacht geld te verdienen aan advertenties, met name lokale kortingsacties zoals Groupon die nu aanbiedt (‘Google Offers’). Een koppeling met prijsvergelijkingssite Google Shopping ligt voor de hand en ook de locatie van de Wallet-gebruiker is relevant. Zeker volgens het voorbeeld dat voormalig Google topman Eric Schmidt onlangs gaf: een klant staat op het punt een spijkerbroek te kopen en op dat moment ‘tipt’ een andere winkel in de buurt dat dezelfde broek in de aanbieding is, inclusief kortingsbon.

Momenteel, zegt Google, slaat de Wallet nog niet op welke producten je koopt. Maar dat lijkt een kwestie van tijd:  koopgedrag zegt veel over je interesses en maakt nog veel nauwkeurig gerichte – en dus duurdere – advertenties  mogelijk. Daar moet je wel tegen kunnen. Wie nu al ‘nee!’ roept als -ie bij de kassa van de Mediamarkt om z’n postcode gevraagd wordt, zal waarschijnlijk ook niet in de rij staan voor Google Wallet.