Reactie Bunq op fraudezaak

Bunq Bank Fraude 2

De spaarrekening van Carla wordt geplunderd nadat ze reageert op een sms van een fraudeur. De fraudeur sluist het geld van Carla weg én vraagt ruim 80 betaalpassen aan. Bunq reageert op het voorval.

'We begrijpen volledig dat mevrouw geraakt is en staan nauw in contact met haar om de passende nazorg te bieden. Dit proces neemt tijd in beslag, omdat we afhankelijk zijn van derden. 

In ons onderzoek hebben wij de mogelijke compensatie in overweging genomen. In het beoordelingsproces bekijken we verschillende factoren: de mate van medeplichtigheid ofwel nalatigheid van het slachtoffer (bijvoorbeeld, het weggeven van inlogcodes: dit zou je kunnen zien als het overhandigen van je huissleutel aan een willekeurige voorbijganger), de toetsingscriteria voor coulance van de NVB, wettelijke voorschriften en de omstandigheden van de specifieke zaak. Hoewel bunq niet altijd direct verantwoordelijk is voor de geleden schade, nemen we in sommige gevallen toch het besluit om een coulancebetaling te doen.

Mevrouw werd slachtoffer van een zogenaamde phishing link, een vorm van oplichting waarbij de oplichter zich voordoet als een officiële instelling (in dit geval een bank) om zo gevoelige informatie proberen te verkrijgen. Mevrouw klikte op de valse link en koos er vervolgens voor om haar inloggegevens te delen. Daarna maakte ze bovendien een gezichtsscan. Hierdoor hadden de fraudeurs direct toegang tot haar rekening. Dit is overigens exact de reden waarom we er al jaren bewust voor kiezen om het contact met onze gebruikers via de beveiligde app-omgeving te laten verlopen en daarbuiten nooit om gevoelige informatie te vragen (niet per e-mail, niet per SMS en niet telefonisch).

Daarnaast is er de 2-factor authentication van bunq (bij nieuwe apparaten moet je gezicht scannen voordat het nieuwe apparaat bij je rekening mag, en moet er voor betalingen boven €100 per dag een pincode ingegeven worden). Als er een nieuw toestel gelinkt wordt aan je account, sturen we bovendien een extra waarschuwing via zowel een app-notificatie als per e-mail, zodat er onmiddellijk actie ondernomen kan worden. Ook in deze zaak was dat het geval, zowel de e-mail als de app-notificatie zijn verstuurd. Vijf dagen nadat de toegang verleend was, nam mevrouw voor het eerst zelf contact met ons op. Zij deed dit per telefoon, maar koos vervolgens niet voor de SOS-optie in het keuzemenu (voor de beeldvorming: zij koos in het menu niet voor ‘heb je dringend hulp nodig’ of ‘vermoed je dat je gehackt bent’), maar koos voor de enige optie in het menu waar SOS-support niet getriggerd wordt (‘heb je een andere vraag?’). Als gevolg van deze keuze werd de rekening niet meteen bevroren. Het had in dit geval echter niets uitgemaakt, omdat er zoveel tijd overheen was gegaan, was het geld al geruime tijd weggeboekt.

Om contact op te nemen met ons noodnummer, heb je geen toegang tot de app nodig: het enige vereiste is dat je contact opneemt vanaf een telefoonnummer dat gelinkt is aan je account (zodat we zeker weten dat jij het bent voordat we je rekening blokkeren). Uiteindelijk, na een aantal pogingen, opende mevrouw wel een SOS-ticket. Zij ontving toen binnen een paar minuten een e-mail met vervolgstappen. 

Wat betreft de bestelde passen, kunnen we niet ingaan op de exacte triggers (vanwege eerder genoemde redenen ter voorkoming van het tippen van fraudeurs), maar kunnen we wel verzekeren dat we bij bunq continu de rekeningen monitoren - onder andere met behulp van AI - om zo snel mogelijk in te grijpen bij opvallend gebruik van de rekening. Ook in dit geval waren er meldingen in ons systeem, het grootste bedrag was echter al van de rekening afgeschreven.

Dan de wachttijd na een limietswijziging: dit heeft bunq een geruime tijd geleden al ingevoerd. Evaluatie wees echter uit dat het geen enkel verschil maakte voor de fraudegevallen in de praktijk, terwijl het wel leidde tot veel klachten van gebruikers die direct over hun geld wilden beschikken. Daarom hebben wij het maanden na de introductie weer teruggedraaid. Het is wat ons betreft daarom misplaatst dat dit in de media nu wordt aangemerkt als een van de meest effectieve maatregelen.

Het is overigens goed om te beseffen hoe dit soort fraude werkt. Bijvoorbeeld bij helpdeskfraude als er een “bankmedewerker”, oftewel een fraudeur, contact opneemt met een gebruiker om gevoelige informatie te verkrijgen. Vaak gaat dit per telefoon en zijn ze ook juist voorbereid op concepten zoals de wachttijd. De fraudeur zegt dan simpelweg: “dank u voor uw medewerking, ik bel u morgen terug om zeker te weten dat u veilig bent.” Mensen worden er dan alsnog (een dag later) ingeluisd.En daar zit nu dus exact de crux. Als bank doen wij er alles aan om gebruikers zo veilig mogelijk te houden. Helaas worden bij veel gevallen mensen met een overtuigend verhaal overgehaald om zelf de handeling uit te voeren (bijvoorbeeld zelf in te loggen en zelf de betaling uit te voeren). De consument is in dit geval helaas ongewild de zwakste schakel.

Online fraude is al jaren een groot probleem: het zou enorm helpen als we ons meer richten op hoe mensen hun veiligheid kunnen waarborgen in een vrijwel volledig digitale wereld. Niet voor niets is maar liefst 1 op de 6 (een op de zes!) Nederlanders in aanraking gekomen met online criminaliteit in 2023.

Ook voor het verhogen van limieten; hier is een goedgekeurd apparaat voor nodig voor nodig én de logincode. Verhogen van limieten is dus niet mogelijk als het slachtoffer geen privacygevoelige gegevens deelt. Elke slachtoffer is er een te veel en bij bunq gebruiken we dan ook álle gevallen om te kijken hoe en wat we kunnen verbeteren. Dit geldt ook voor dit geval. Een van die punten is de nazorg. We betreuren het dat mevrouw zich genoodzaakt voelde om naar het hoofdkantoor af te reizen. We zijn aan het kijken hoe dat beter kan, zonder afbreuk te doen aan de (vele) preventieve veiligheidsmaatregelen die we nemen.'