Betalen met je selfie - cool, maar is het ook veilig?

Beeld NRCQ

Online boodschappen betalen met je selfie. Dat wordt de toekomst, volgens MasterCard en de Nederlandse creditcarduitgever ICS. De betaalbedrijven willen een “coole” methode ontwikkelen om nieuwe klanten te trekken en een groter aandeel in het online betalingsverkeer te veroveren. Morgen start een tijdelijk experiment met 750 vrijwillige klanten van ABN-Amro.

Ze gebruiken een foto van zichzelf als extra beveiliging – een alternatief voor pincodes, wachtwoorden of de driecijferige CVC-code die op de achterkant van je creditcard staat. Als de test slaagt, zal MasterCard biometrische beveiliging ook in andere landen gebruiken. Nederland is het eerste testland omdat hier alle creditcards een beveiligde chip hebben en het fraudepercentage laag is ten opzichte van de bijvoorbeeld de VS. Er is een levendige online handel in gestolen creditcardgegevens. Die zijn waardeloos als er een extra niet uitwisselbare identificatie wordt gevraagd. De selfie zou misbruik dus terug kunnen dringen.

Eerst even knipperen

Hoe werkt betalen met je selfie?

Je stuurt niet daadwerkelijk je foto op; de selfie is de basis van een digitale handtekening. Je stuurt een foto naar MasterCard en elke keer dat je een betaling accordeert, moet je een selfie maken om die handtekening te creëren: zo weet de creditcardmaatschappij zeker dat jij het bent. De gegevens van je gezicht worden gecombineerd met informatie over je apparaat. Bij radicale veranderingen, een baard bijvoorbeeld, werkt identificatie niet. Dan moet je eerst weer een nieuwe foto opsturen. Brildragers moeten sowieso een selfie zonder bril maken.

Is dat veilig?

Android gebruikte ooit een selfie om telefoons te ontgrendelen maar dat systeem bleek weinig betrouwbaar en te omzeilen door een foto voor de camera te houden. Bij de test van MasterCard moet je eerst met je ogen knipperen voordat er een foto gemaakt wordt. Dat moet fraude met nep-selfies voorkomen, hoewel dat wellicht te omzeilen is met een video. MasterCard zegt ook zulke nep-selfies te kunnen blokkeren. Als het niet betrouwbaar was zouden we het niet doen, zo zeggen MasterCard en ICS.

Biometrische beveiliging is gebruiksvriendelijker dan wachtwoorden en codes onthouden, denkt MasterCard. Vandaar dat tijdens de test behalve selfies ook vingerafdrukken gebruikt kunnen worden om te bewijzen dat je bent wie je bent. Daarvoor moet je wel een toestel hebben met een vingerafdrukscanner. Daarnaast wil MasterCard in de toekomst proeven gaan houden met stemherkenning en hartslagpatronen - die zijn voor elk mens uniek.

Winkeliers hoeven voor de test, die tot november duurt, geen aanpassingen te doen. Ze zijn erbij gebaat dat klanten niet op het laatste moment afhaken - bijvoorbeeld doordat ze hun betalingsgegevens niet kunnen vinden of herinneren. Hoe laagdrempeliger de betalingsmethode, des te groter de kans op een succesvolle verkoop.

Geen creditcardcultuur

Van de 300 miljoen online betalingen die jaarlijks in Nederland plaatsvinden (ter vergelijking: 6 miljard betalingen gaan in Nederland nog ‘via de toonbank’) wordt iets meer dan 10 procent met een creditcard gedaan, aldus Arjan Bol van MasterCard Nederland. Bankenconsortium iDeal is in Nederland de grootste partij als het gaat om onlinetransacties. Nederland heeft, vergeleken met het buitenland, geen echte creditcard-cultuur.

Weet je wat nog erger is dan een selfie? Nu ook in Nederland