Niet veilig gebankierd? Jammer dan

Je bent sinds kort zelf verantwoordelijk voor een goede beveiliging van je computer. Als je die niet hebt, krijg je geen vergoeding als een cybercrimineel je bankrekening leegrooft. Maar wat geldt als ‘veilig’?

Het is de angst van menig internetbankier: spookafschrijvingen. En daarna de vraag: vergoedt de bank de schade? Dat is altijd ruimhartig gedaan door de banken, maar wel op grond van regels die niet helder waren en per bank verschilden. Zo deed ABN Amro moeilijk als een gedupeerde geen virusscanner had. Rabobank vergoedde niet gemakkelijk gevallen van phishing, want de bank vond dat de klant hoorde te weten dat de bank via e-mail geen gegevens vraagt.

Na een uitzending van het programma Kassa, eind 2012, over een geval van phishing dat niet werd vergoed door de Rabobank, zijn de banken met de Consumentenbond op zoek gegaan naar een eenvoudig en duidelijk stel regels voor alle banken. Die zijn er nu. Ze zijn te vinden op de site van de Consumentenbond bij de Nederlandse Vereniging van Banken (NVB). Zo moet de klant zijn inlogcodes geheimhouden, mag hij zijn pasjes niet door anderen laten gebruiken en moet hij minstens een keer per twee weken zijn saldo bekijken. „Wie deze en veel andere voorschriften niet naleeft, loopt het risico bij diefstal of verlies met lege handen achter te blijven. Volgens de bank is er dan namelijk sprake van grove nalatigheid”, aldus de website van de Consumentenbond. Ook aan de beveiliging van de computer of het mobieltje worden nu eisen gesteld. Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken, is het devies. Daar kan niemand tegen zijn, maar wat is ‘goede beveiliging’ dan precies?

De NVB beschrijft de nieuwe regels uitgebreider dan de Consumentenbond. Er staan bepalingen in die veel Nederlanders waarschijnlijk nog ter harte moeten nemen, zoals: beveilig de toegang tot computers en gadgets met een wachtwoord of pincode, installeer geen illegale software en log altijd uit na het thuisbankieren. Een pagina wegklikken zonder officieel uit te loggen, is zoiets als je kantoor verlaten en de deur open laten staan.

Virusscanner niet verplicht

Opmerkelijk genoeg ontbreekt een aantal essentiële zaken. De banken eisen niet dat er antivirussoftware is geïnstalleerd, wat ABN Amro in het verleden nog wel van haar klanten vroeg, en ook niet dat de firewall actief is. Geen woord over beveiliging van wifi, het draadloze internet.

„We hebben ons afgevraagd wat je van de klant kunt eisen en wat niet”, zegt Gijs Boudewijn, adjunct-directeur van de Betaalvereniging, een organisatie van de aanbieders van betaaldiensten. Hij was tot voor kort hoofd betalingsverkeer van de NVB. „Een paar jaar geleden was wifi nog iets bijzonders en mocht je alleen internetbankieren via beveiligde wifi. Nu gebruikt iedereen het, maar hoe moet de klant weten of het beveiligd is? We hebben advies gevraagd aan hackers, en hebben het toen geschrapt.”

Op die manier zijn ook de virusscanners gesneuveld: „Natuurlijk gaan we ervan uit dat iedereen een virusscanner installeert. Maar de gemiddelde leek koopt een laptop met een probeerversie van Norton of McAfee en snapt niet dat-ie na dertig dagen geen updates meer krijgt.”

„Je kunt nooit zeggen: doe dit en dat, dan krijg je altijd je geld terug. We vragen niet het uiterste, maar een redelijke mate van beveiliging, ook als je van toeten noch blazen weet”, zegt Boudewijn.

In laatste instantie beslist de rechter. En die zal altijd aannemen dat de bank de schade moet vergoeden, tenzij wordt bewezen dat de klant „grof nalatig” was, zegt Boudewijn.

Tegenstrijdigheden zijn er ook. ‘Zorg dat de geïnstalleerde software [...] is voorzien van actuele (beveiligings)updates’, luidt een van de regels van de banken in de gedetailleerde versie. Maar op 8 april stopt Microsoft met het updaten van Windows XP. „Als je software-updates eist, kun je geen Windows XP meer gebruiken”, zegt Ralph Moonen, directeur van securitybedrijf ITSX. Beveiligingsexperts die Windows XP nog verantwoord vinden, zijn niet te vinden. Toch ben je met Windows XP niet per se „grof nalatig”, zegt Boudewijn van de Betaalvereniging. „Het is geen groen vinkje, dat klopt. Je begeeft je in de gevarenzone. Het gaat om een stapeling van factoren; soms zul je bijvoorbeeld ook via phishing verleid zijn om je code te geven. Het maakt ook verschil of je een computernerd bent of een oude dame van 85. De eerste moet beter weten. Zo genuanceerd is de afweging.”

Onzorgvuldig of nalatig?

In het toekennen van schuld aan de klant zijn twee gradaties. Is er sprake van ‘onzorgvuldigheid’, dan geldt voor de klant een eigen risico van 150 euro. Vindt de bank dat ‘grove nalatigheid’ aan de orde is, dan kan de hele schadevergoeding worden geweigerd. Volgens Boudewijn wordt de schade in 98 à 99 procent van de gevallen vergoed. Statistieken zijn er nog niet.

Publicatie van de regels leidde eind vorig jaar tot grote verontwaardiging, omdat de indruk bestond dat banken strenger werden. Dat is niet het geval, zegt de woordvoerder van de Consumentenbond. „Je mocht niet internetbankieren via wifi, je moest bij sommige banken elke dag je saldo checken, en vooral verschilden de regels per bank. Wij hebben gepleit voor uniforme regels.”

Boudewijn: „Uiteindelijk is er niet zoveel veranderd, we hebben vooral geprobeerd de lat lager te leggen. Dat dit onbegrip leidt tot publiciteit over de regels is wel weer positief.”