Echt veilig is je pinpas nooit

Skimming en phishing lukken minder vaak. Maar het aantal pogingen blijft enorm. Criminelen geven niet op. En ze stelen ook weer ouderwets bankpassen.

Ouderwets stelen is weer in

De e-mail ziet er echt uit. Het logo van de Rabobank, de tekst in foutloos en netjes geformuleerd Nederlands. Yvonne Mol (58) heeft de dag ervoor op tv iets gezien over skimming. Dus als ze een e-mail krijgt over extra beveiliging om pasfraude te voorkomen, vult ze haar gegevens in.

De mevrouw die haar even later belt, spreekt normaal Nederlands. „Met een beetje Twents accent misschien”, zegt Mol. Ze vraagt geen pincode. Alleen de verificatiecode van Mols random reader, het apparaatje waarmee je moet inloggen om online te kunnen bankieren. „Maar het inloggen mislukte een paar keer. Dacht ik althans”, zegt Mol nu. Als ze even later zelf belt naar de bank, is met die codes bijna 10.000 euro van haar rekening gehaald.

Yvonne Mol is slachtoffer geworden van phishing, een vorm van fraude waarmee criminelen geld van je rekening proberen te halen.

Volgens cijfers van Betaalvereniging Nederland, de organisatie die verantwoordelijk is voor het nationale betalingsverkeer, komt betalingsfraude de laatste jaren steeds minder voor. Was het bedrag in 2012 nog 81,8 miljoen euro, vorig jaar leden Nederlandse banken voor 33,3 miljoen euro schade. Over de eerste helft van dit jaar gaat het om 9,5 miljoen euro. Maar dat betekent niet dat ons geld veiliger op de rekening staat.

Voorlopig is het gat gedicht, zegt directeur Gijs Boudewijn van Betaalvereniging Nederland, maar „deze cijfers zijn slechts een momentopname”. Dat er minder betalingsfraude is, komt door nieuwe technologie en voorzorgsmaatregelen, maar volgens Boudewijn is het een kwestie van tijd voordat die nieuwe technologie ook gekraakt wordt.

Ondergrondse digitale economie

Neem skimming, waarbij de magneetstrip op een betaalpas wordt gekopieerd. Skimming veroorzaakte de afgelopen jaren de meeste schade – op het hoogtepunt in 2011 38,9 miljoen euro. Tot nu toe werden dit jaar pas duizend passen geskimd, met 640.000 euro schade. Reden voor de daling is is de beter beveiligde EMV-chip, geïntroduceerd door de maatschappijen Europay, Mastercard en Visa. Bovendien doen Nederlandse banken aan ‘geoblocking’, het standaard blokkeren van pinpassen buiten Europa. Boudewijn: „We merkten dat criminelen gegevens snel overhevelden naar andere pasjes en daarmee in landen gingen pinnen waar de chip nog geen gemeengoed is.” Maar de chip kan worden gekraakt, aldus Boudewijn. En skimming is bovendien niet meer voorbehouden aan Oost-Europese criminele bendes. Zij hadden het geld, de kennis en de middelen. Tegenwoordig kan iedereen de benodigde spullen op internet krijgen. Boudewijn: „Skimmen was een Roemeense specialiteit. Nu kan je de software en apparatuur zelf kopen. Er is een hele ondergrondse digitale economie ontstaan.”

Onverminderd veel pogingen

Voor phishing zijn de cijfers ook gedaald – de eerste helft van dit jaar met 47 procent ten opzichte van dezelfde periode vorig jaar. Reclamecampagnes om het publieke bewustzijn te vergroten – zoals de ‘Hang op, klik weg, bel uw bank’-reclames – hebben effect gehad. Daarnaast houden banken intensief opvallende activiteiten op bankrekeningen in de gaten. Rekeningen of betaalpassen waarmee vreemde dingen gebeuren, worden geblokkeerd. Maar het aantal pogingen tot betalingsfraude is onverminderd hoog.

De Fraudehelpdesk, het nationale meldpunt voor fraude, kreeg dit jaar al ruim 72.000 phishing-meldingen binnen. De e-mails worden bovendien steeds professioneler en zijn niet alleen meer namens banken geschreven. „Ze komen van bol.com, Ikea, noem maar op”, zegt een woordvoerster van de Fraudehelpdesk. Daardoor wordt de kans steeds groter dat mensen erin tuinen.

Wie slachtoffer wordt van betalingsfraude, zoals Rose Zeijl (25), maakt goede kans op volledige compensatie van de bank. De pas van Zeijl werd geskimd in Haarlem, waarna iemand in Brazilië 1.700 euro pinde. „Ik was zelf net op vakantie geweest. Die afschrijvingen kunnen wat langer duren, dus eerst merkte ik er niks van. Maar opeens was mijn rekening leeg”, zegt Zeijl. Ze belde haar bank, vertelde haar verhaal en kreeg binnen twee weken haar geld terug.

Zo gaat het bijna altijd, zegt Boudewijn. „Je moet grof nalatig zijn of het met opzet gedaan hebben, wil je geen geld terug krijgen.” Dat staat in een Europese richtlijn die mensen beschermt tegen elke vorm van betalingsfraude en recht geeft op compensatie. De richtlijn is opgenomen in de Nederlandse wet en vermeldt ook een eigen risico van 150 euro – een financiële prikkel om consumenten ondanks de ‘geld terug’-garantie doordacht met geld te laten omgaan. Dat risico wordt echter door geen enkele bank gehanteerd. „De banken zien het als een service”, zegt Boudewijn.

Eeuwige strijd

Wat grove nalatigheid is, mochten banken tot voor kort zelf bepalen. Maar sinds januari van dit jaar zijn er vijf ‘uniforme’ regels opgesteld, gebaseerd op het gezonde verstand. „Je moet echt je pincode door de telefoon roepen,” zegt Boudewijn. „Daar trekken banken de grens.” En als dat gebeurt, ligt de bewijslast ook nog eens bij de banken. Daarom krijgt bijna iedereen in de praktijk zijn geld terug.

Dat blijkt ook uit het verhaal van Yvonne Mol, die zelf haar verificatiecode weggaf. Ze kreeg aanvankelijk niets terug van de bank. „Ze zeiden dat het mijn eigen schuld was.” Pas nadat ze de bank een aantal maanden had bestookt met telefoontjes en brieven werd het geld teruggestort. De bank noemde de „goede verstandhouding” als reden. Maar ook het feit dat Mol de publiciteit zocht met haar verhaal – het geld was voor de begrafenis van haar terminaal zieke partner – kan een rol hebben gespeeld.

Criminele zoeken intussen andere wegen. Boudewijn: „Nu er minder mogelijkheden zijn om te skimmen en online geld te stelen, richten criminelen zich weer op primitieve methoden als het stelen en verwisselen van pinpassen en het afkijken van pincodes.” Voor het eerst sinds jaren is de schadepost van banken door ouderwetse diefstal van betaalpassen het hoogst van allemaal. In de eerste helft van dit jaar wisten criminelen op de manier 3,5 miljoen euro te stelen. Het is een „eeuwige strijd”, zegt Boudewijn. „De oorlog duurt voort.”