De pinomzet wijkt opeens af: is dat fraude?

Financiële poortwachter Betaalinstellingen kammen net als banken transacties door op malversaties. Een kijkje achter de schermen bij pinautomatenbedrijf CCV. „De werklast is fors.”

Illustratie Sharon Crone

‘Voorkom stopzetting van jouw betalingsverkeer’. Klanten van het Nederlandse pinautomatenbedrijf CCV, zoals winkels, restaurants en vakantieparken of eigenaren van webshops met een digitale kassa van CCV, kregen in februari een ‘krant’ met deze alarmerende opening. Afzender: de betaalinstelling zelf.

De actie vloeit voort uit de Wet ter voorkoming van witwassen en terrorismefinanciering (Wwft). Die bepaalt dat betaalinstellingen net als banken ‘poortwachter’ zijn voor het financiële stelsel. En dus moet CCV, in 1958 ontstaan als ‘Computercentrum C. van der Velden’, ervoor zorgen dat het al haar klanten goed kent en alle transacties die het verwerkt doorkamt op mogelijke malversaties.

De ‘CCV Today’, zoals de papieren brochure heette, was onderdeel van een maanden durende poortwachterscampagne van het bedrijf uit Arnhem. NRC kreeg een kijkje achter de schermen van deze kostbare operatie.

Betaalinstellingen zoals CCV zijn, net als banken, hun rol als poortwachter de afgelopen jaren serieuzer gaan nemen, zo constateert De Nederlandsche Bank. CCV beaamt dit. „Twee jaar geleden hebben we een aparte afdeling opgericht, omdat de werkzaamheden tot dan toe versnipperd waren”, vertelt Erik Gerritsen, directeur risicomanagement en klantscreening, via de telefoon. „Mede door maatschappelijke ontwikkelingen, strenger toezicht en de media-aandacht werden we toen meer bewust van onze rol.”

Vast screeningsteam

Inmiddels werken er zo’n 30 mensen in een vast screeningsteam van CCV. Sinds eind vorig jaar huurt het bedrijf uit Arnhem nog eens tachtig mensen extra in. Zij worden tijdelijk ingehuurd om ook de dossiers van de bestaande klanten, bij wie CCV soms wel dertig jaar geleden een eerste pinautomaat installeerde, op een niveau te krijgen dat voldoet aan de Wwft.

Wat moeten die specialisten allemaal verzamelen? Belangrijk voor de inschatting van de risico’s is de vraag wie de hoofdeigenaar van het bedrijf is dat de pinautomaat op de toonbank heeft staan. Dat is niet altijd eenvoudig te achterhalen. Bij een filiaal van een Italiaanse kledingketen die een automaat wil, moet bijvoorbeeld de Italiaanse top van het bedrijf tegenover CCV bewijzen de ‘Ultimate Beneficial Owner’ te zijn: via een notaris in Italië.

Verder vraagt CCV zijn klanten om in te schatten wat de gemiddelde pinomzet zal zijn – om aan de bel te kunnen trekken als dat nu of later verdacht afwijkt van vergelijkbare bedrijven. Ook wordt gekeken of de dienst die geleverd wordt wel logisch is: heeft bijvoorbeeld een ‘taxichauffeur’ wel iets aan een niet-mobiele pinautomaat?

Inschatten risico

En net als banken moet een bedrijf als CCV een inschatting maken of een bedrijf een risicovolle klant is of in een risicovolle sector werkt. Hoe risicovoller, hoe regelmatiger de klant en zijn transacties doorgelicht moet worden. CCV schat in dat ongeveer 10 procent van het totaal aantal klanten dat gescreend moet worden onder de meer risicovolle categorie vallen. Die groep wordt nu het meest actief benaderd door CCV om gegevens aan te leveren.

Met de dertig vaste personeelsleden en tachtig man tijdelijke werknemers komt het CCV-personeel dat zich met de poortwachtersfunctie bezighoudt uit op zo’n 12 procent: in totaal werken er in Nederland ongeveer 800 mensen voor het bedrijf. Voor CCV, met een omzet in Nederland in 2018 van rond de 100 miljoen euro, is de poortwachtersfunctie daarmee een kostbare taak.

Het bedrijf heeft voor het aanleveren van de gegevens een speciaal webportaal laten maken. In de toekomst kunnen klanten op die plek ook nieuwe kassarollen bestellen of ander contact met CCV afwikkelen. Nu is na het tekenen van een contract vaak alleen nog contact bij storing of de aanvraag van een nieuw apparaat.

Mogelijk leveren al die extra aangeleverde klantgegevens in de toekomst dan ook een betere dienstverlening op, denkt commercieel directeur Miranda Aarnoudse. „Als je goed weet wie je klant is, kan je hem ook zo goed mogelijk helpen. Maar tegelijkertijd: de werklast en de kosten die het met zich meebrengt – dat kan ik niet ontkennen – is wel fors. Zeker bij een relatief kleine onderneming als CCV.”

Actieplan

Waar veel uren van CCV-personeel in gaan zitten, is het activeren van klanten en hen ervan overtuigen dat het aanleveren van gegevens écht moet. Aarnoudse: „Waar het door alle media-aandacht voor de boetes bij banken nu best wel geaccepteerd is, vinden onze klanten het wat minder vanzelfsprekend dat we allemaal bedrijfs- en persoonsgegevens vragen. Onze klanten herkennen ons minder als onderdeel van de financiële sector.”

En dus maakte CCV een actieplan om klanten in beweging te krijgen. Voor de brochure met de dreigende boodschap werd verstuurd in februari, was al drie keer een e-mail verstuurd met dezelfde melding. Tussendoor werden de klanten via een extern callcentrum benaderd. Elk contactmoment leverde zo’n 20 procent aan respons op.

Wat niet meehelpt: bedrijven vertrouwen de berichten van CCV niet altijd, merken de medewerkers als ze klanten spreken „Wij horen steeds dat er oplichters aan het werk zijn die net als wij rekeningen verifiëren door overmaking van een cent”, vertelde Marit Mol, teamleider customer due diligence, op de werkvloer in Arnhem voor de uitbraak van Covid-19. „Dat maakt het niet makkelijker. We moeten het vertrouwen echt winnen – je moet redelijk wat persoonlijke gegevens opgeven.”

Frustratie

Daar komt bij dat veel bedrijven hun gegevens vaak net ook al aan de banken hebben gegeven. Dat levert nog wel eens frustratie op. Commercieel directeur Aarnoudse: „Het is voor een ondernemer soms wel dubbel werk. Ik kan de ondernemer geen ongelijk geven als die hierover gefrustreerd raakt.” „Ze hebben er niet altijd zin in merken we”, aldus compliancemedewerker Nadine Heeneweer. „Maar na uitleg dat het wettelijk moet is er meestal wel begrip.”

Na het versturen van de brochure in februari kregen de klanten nog een keer een mail opgestuurd. Klanten die dan nog niet gereageerd hebben, krijgen nog een brief waarin wordt aangekondigd dat de pinterminal na drie weken zal worden afgekoppeld, als geen actie wordt ondernomen.

Op 1 juli wil CCV de meest risicovolle groep, zo’n 20.000 klanten, zoveel als mogelijk hebben doorgelicht. Het komt volgens CCV maar incidenteel voor, maar dan kan eventueel afscheid van een klant worden genomen. Als een bedrijf zijn gegevens echt niet inlevert, of als na onderzoek blijkt dat de klant niet binnen het beleid van CCV past.

Compliancemedewerker Heeneweer: „Bij de oude klanten die we doorlichten komen we weinig klanten tegen waarvan we afscheid moeten nemen. Bij nieuwe klanten gebeurt het wel. Je bent dan echt blij als je voorkomen hebt dat een verkeerde klant in de boeken zou zijn gekomen.”

Als alle oude klanten van CCV goed in het systeem staan, betekent dat einde opdracht voor de tachtig extra ingehuurde mensen. De dertig CDD-specialisten die overblijven houden zich dan alleen nog maar bezig met screening van nieuwe klanten en met transactiemonitoring.

Dubbel werk?

In feite bekijkt CCV daarbij dezelfde transacties als banken: die zien geld verschijnen of verdwijnen op een rekening, betaalinstellingen zien zowel de rekening waar geld vanaf komt als waar het naartoe gaat. Het doorlichten van de onderneming is als het goed is ook al gedaan door de huisbank van de ondernemer.

Lees ook: Die verdachte miljoenen deden bij ABN Amro geen lampje branden

Bij CCV worden daar geen vraagtekens bij gezet. Gerritsen: „We vallen gewoon onder de wet, daarmee is het vanzelfsprekend dat we moeten voldoen aan de regels. Het is ook een maatschappelijke verantwoordelijkheid die we hebben om Nederland en het financiële systeem veilig te houden.”

Wel zijn er initiatieven om samen te gaan werken binnen de koepelorganisatie VBIN, vertelt commercieel directeur Aarnoudse, al staat dat wel in de kinderschoenen. „We weten dat het enorm gaat helpen als we gaan samenwerken, omdat het begrip kan kweken bij de ondernemers en aan de andere kant ons werk uit handen kan nemen.”

„Maar wat steeds meespeelt: iedereen heeft zijn eigen verantwoordelijkheid om te voldoen aan de regelgeving. Daar komt bij dat er al heel veel geïnvesteerd is – ons systeem is ook speciaal voor ons gemaakt. Dat kunnen we moeilijk delen met anderen.”

Correctie (20 juni 2020): In dit artikel werd gesproken over brancheorganisatie VIBN, dat moet VBIN zijn.