image

ING hoeft WhatsAppfraude niet te vergoeden door ontbreken monitoringsplicht

vrijdag 3 juni 2022, 14:17 door Redactie, 18 reacties

ING hoeft twee slachtoffers van WhatsAppfraude geen 10.000 euro te vergoeden omdat er geen algemene transactiemonitoringsplicht voor de bank geldt. Dat stelt het financiële klachteninstituut Kifid in een klacht die twee ING-klanten hadden ingediend. De klanten werden op 2 en 3 augustus vorig jaar benaderd door iemand die zich voordeed als hun zoon. De oplichter wist de klanten zover te krijgen dat ze middels zeven transacties ruim 10.000 euro overmaakten.

Na ontdekking van de fraude vroegen de klanten aan ING om de geleden schade te vergoeden. De bank weigerde dit, waarop er een klacht bij het Kifid werd ingediend. Volgens de klanten had ING moeten ingrijpen. De bank had namelijk moeten weten dat een hoog bedrag en zeven overboekingen van in totaal meer dan 10.000 euro naar een aantal voor de klanten onbekende rekeningnummers zeer ongebruikelijk voor hen was. Het systeem van de bank herkende echter geen fraudepatroon.

Verder stellen de klanten dat ze beiden ernstige gezondheidsproblemen hebben, waardoor zij in sommige situaties - zo ook op 2 en 3 augustus vorig jaar - niet scherp reageren. Ook kwam het verhaal van de oplichter geloofwaardig op hun over, nu hun zoon sinds een aantal jaren in financiële problemen verkeert.

Het Kifid stelt dat uit de feiten blijkt dat de bank niet wist dat de zeven overboekingen ongebruikelijk waren en dat zij bewust was van het daaraan verbonden gevaar. Al eerder oordeelde het klachteninstituut dat er op de bank geen algemene transactiemonitoringsplicht rust. Die verplichting is er alleen voor de bank wanneer zij weet dat er sprake is van ongebruikelijke betalingen en zij zich bewust is van het daaraan verbonden gevaar.

"Uit de stellingen van de bank is naar voren gekomen dat de banksystemen het patroon van de overboekingen niet hebben aangemerkt als een patroon dat mogelijk zou kunnen wijzen op fraude of oplichting. Nu het niet is gebleken dat de bank zich daadwerkelijk bewust was van het aan de betalingstransacties verbonden gevaar, was de bank niet gehouden de consument te waarschuwen of de overboekingen tegen te houden" aldus het Kifid, dat de vordering van de ING-klanten afwijst (pdf).

Reacties (18)
03-06-2022, 14:34 door Anoniem
Verder stellen de klanten dat ze beiden ernstige gezondheidsproblemen hebben, waardoor zij in sommige situaties - zo ook op 2 en 3 augustus vorig jaar - niet scherp reageren. Ook kwam het verhaal van de oplichter geloofwaardig op hun over, nu hun zoon sinds een aantal jaren in financiële problemen verkeert.

Misschien was het echt wel hun zoon...
03-06-2022, 15:37 door _Martin_
Verder stellen de klanten dat ze beiden ernstige gezondheidsproblemen hebben, waardoor zij in sommige situaties - zo ook op 2 en 3 augustus vorig jaar - niet scherp reageren. Ook kwam het verhaal van de oplichter geloofwaardig op hun over, nu hun zoon sinds een aantal jaren in financiële problemen verkeert.
Geen idee hoe de klanten verwachten dat ING automatisch detecteert:
- dat iemand gezondheidsklachten heeft
- of iemand scherp reageert
- of het verhaal van de oplichter geloofwaardig overkwam
- of iemands zoon in financiële problemen verkeert

Overigens wel een pluspunt voor originaliteit, je moet zulke argumenten maar verzinnen en dan ook nog serieus aandragen ^_^

Ik zou in ieder geval niet op basis van een berichtje (appje, SMS, e-mail) geld overmaken naar bekenden. Daar zou bij mij op z'n minst even een telefoongesprekje aan vooraf gaan, al is het maar om meteen even te informeren hoe het met die persoon gaat.
03-06-2022, 15:51 door Anoniem
Het was het proberen waard :-)
Maar als je zelf 7 overboekingen van in totaal 10.000 euro Naar een onbekend rekeningnummer niet verdacht vondt, waarom zou de bank dat dan als verdacht moeten beoordelen?
03-06-2022, 16:04 door Anoniem
Door _Martin_:
Ik zou in ieder geval niet op basis van een berichtje (appje, SMS, e-mail) geld overmaken naar bekenden. Daar zou bij mij op z'n minst even een telefoongesprekje aan vooraf gaan, al is het maar om meteen even te informeren hoe het met die persoon gaat.

Ja dat verbaast mij ook altijd zo bij dat WhatsApp fraude scenario. Dat er mensen zijn die na een appje "van hun zoon"
meteen allemaal geld gaan overmaken zonder eerst persoonlijk contact te hebben. Het gaat meestal zo van "ik ben
mijn telefoon verloren en nu heb ik een nieuw nummer" nou dan zou ik zeggen, bel dat nieuwe nummer.
Maar nee, dat doen ze dan niet.
03-06-2022, 16:51 door Anoniem
Ik word al geiriteerd wanneer ik de huur van mij garage wil betalen "u hebt in de afgelopen maand geen bedrag overgemaakt naar dit nummer, deze opdracht staat nu voor 24 uur in de hold"...

Alsof ik 4 keer per week maand huur betaal ofzo?

Bovendien moeten die banken dit erg gemakkelijk kunnen spotten...
Transacties als dit gaan altijd naar buitenlandse bankrekeningen of naar katvangers... en die doen dat niet voor 1 persoon alleen... Dus wanneer er binnen enkele uren, dagen of weken naar 1 bankrekening van totaal onbekende mensen diverse betalingen achter elkaar plaats vinden kan een bank dit ER GEMAKKELIJK spotten...

Maar dat zij jouw bankrekening scannen is niet voor jou, dat is voor de overheid en tegen terrorisme...
Niet voor de bescherming van de eigen klanten... Die hebben pech, zijn gedigitaliseerd tegen hun wil en plukken nu de vruchten van rennen in een kerncentrale met breinaalden...

Ik weet, WIJ hebben daar geen last van... Wij zijn technologisch aangelegd, anders had je security.nl niet eens gevonden...
Maar wij zijn de digibeten over 10-50 jaar wanneer de jongeren onder ons iets verzonnen hebben wat wij niet meer kunnen bevatten...
"oh, kan ik mijn bankrekening/huis/auto/baan/Euro-ID kwijt raken door naar een drone te kijken? ja opa, die drone heeft een WFC chip die je retina chip uitleest als je er naar kijkt, en die amerikaanse hackers trekken dan heel je EU-wallet leeg.. snap je dat nu nog steeds niet?"...
03-06-2022, 18:32 door Anoniem
Door Anoniem:
Verder stellen de klanten dat ze beiden ernstige gezondheidsproblemen hebben, waardoor zij in sommige situaties - zo ook op 2 en 3 augustus vorig jaar - niet scherp reageren. Ook kwam het verhaal van de oplichter geloofwaardig op hun over, nu hun zoon sinds een aantal jaren in financiële problemen verkeert.

Misschien was het echt wel hun zoon...
Via katvangers... :-)
03-06-2022, 18:48 door Anoniem
Door Anoniem: Ik word al geiriteerd wanneer ik de huur van mij garage wil betalen "u hebt in de afgelopen maand geen bedrag overgemaakt naar dit nummer, deze opdracht staat nu voor 24 uur in de hold"...

Alsof ik 4 keer per week maand huur betaal ofzo?
Inderdaad, moet er niet aan denken dat ik telkens zo'n melding krijg.

Bovendien moeten die banken dit erg gemakkelijk kunnen spotten...
Transacties als dit gaan altijd naar buitenlandse bankrekeningen of naar katvangers... en die doen dat niet voor 1 persoon alleen... Dus wanneer er binnen enkele uren, dagen of weken naar 1 bankrekening van totaal onbekende mensen diverse betalingen achter elkaar plaats vinden kan een bank dit ER GEMAKKELIJK spotten...

Maar dat zij jouw bankrekening scannen is niet voor jou, dat is voor de overheid en tegen terrorisme...
Niet voor de bescherming van de eigen klanten... Die hebben pech, zijn gedigitaliseerd tegen hun wil en plukken nu de vruchten van rennen in een kerncentrale met breinaalden...

Doet me denken aan die case van Bunq bank. Volgens Bunq moet dat controleren op witwassen op een antieke wijze. Ik heb me er niet inhoudelijk in verdiept, maar Bunq heeft het aanhangig gemaakt: https://www.banken.nl/nieuws/23719/rechtszaak-bunq-zet-discussie-witwasaanpak-dnb-op-scherp. Zou dus ook zo maar kunnen dat voor dit soort controles banken gehouden zijn aan antieke werkmethodes.

Wat is zou willen zien is dat banken twee of drie niveaus van bescherming aan haar klanten aanbiedt. De klant maakt bij het afsluiten van een rekening een keuze in het beschermingsniveau dat hij wenst. Kies de klant 'superveilig', dan krijgt hij bij het overmaken van een maandelijkse huur voor een garagebox al een melding en wordt het overmaken 24 uur (of meer) vertraagd. Daar staat tegenover dat vreemde transacties worden dan ook afgevangen en als de bank die mist, de bank dan aansprakelijk is en de schade moet vergoeden.

Kies de klant 'losjes', dan controleert de bank alleen nog op excessen, dus niet op zeven transacties die samen 10.000 euro omvatten. Als het dan misgaat, is de schade ook voor de klant. Dan had je als klant zelf beter moeten opletten, niet het probleem van de bank.

Zo biedt je de mensen de optie: "De bank beschermt je, maar dan moet je wat hinder accepteren" versus "je let zelf op, maar moet dan niet gaan huilen bij de bank als het misgaat."
03-06-2022, 20:46 door Anoniem
Mensen verdienen het niet om opgelicht te worden, maar WhatsApp-fraude is inmiddels echt niet iets nieuws of onbekends te noemen.
Oplichting via WhatsApp is een van de meeste toenemende vormen van online criminaliteit. In de eerste helft van 2020 meldde de Fraudehelpdesk meer dan 6000 gevallen.
van: https://www.consumentenbond.nl/veilig-internetten/whatsapp-fraude
Dit geval van oplichting vond plaats begin Augustus 2021.

Zoals op https://www.seniorweb.nl/tip/oplichting-via-whatsapp en via andere wegen wordt aangeraden is het helemaal niet zo moeilijk te voorkomen:
- Maak nooit zomaar geld over.
- Bel de bekende op het bestaande nummer.
- Wacht tot u de bekende echt hebt gesproken.
Wat mij nog opvalt bij dit geval is, dat de mensen overtuigd zijn om via 7 transacties naar verschillende bankrekeningen over te maken.
03-06-2022, 21:05 door Anoniem
Door _Martin_:
Verder stellen de klanten dat ze beiden ernstige gezondheidsproblemen hebben, waardoor zij in sommige situaties - zo ook op 2 en 3 augustus vorig jaar - niet scherp reageren. Ook kwam het verhaal van de oplichter geloofwaardig op hun over, nu hun zoon sinds een aantal jaren in financiële problemen verkeert.
Geen idee hoe de klanten verwachten dat ING automatisch detecteert:
- dat iemand gezondheidsklachten heeft
- of iemand scherp reageert
- of het verhaal van de oplichter geloofwaardig overkwam
- of iemands zoon in financiële problemen verkeert
Ik weet zeker dat als de bank dat wel zou doen, de mensen hier over elkaar heen zouden buitelen huilend over hoe
hun privacy wordt aangetast door een computer bij de bank.
Aan de ene kant wil men dat alles maar gedetecteerd wordt door algorithmes, maar aan de andere kant wil men
algorithmes verbieden...
04-06-2022, 08:13 door Anoniem
Door Anoniem:
[...]
Wat mij nog opvalt bij dit geval is, dat de mensen overtuigd zijn om via 7 transacties naar verschillende bankrekeningen over te maken.
'Hè pa, kan je dit bedrag meteen overmaken naar mijn huurbaas? Als het via mij loopt duurt het een dag langer'
Vervang huurbaas voor ieder willekeurige doel en je hebt meerdere rekeningen waar je geld heen overmaakt voor je 'zoon'.
04-06-2022, 18:38 door Anoniem
Door Anoniem:Bovendien moeten die banken dit erg gemakkelijk kunnen spotten...
Transacties als dit gaan altijd naar buitenlandse bankrekeningen of naar katvangers... en die doen dat niet voor 1 persoon alleen...
De bank heeft vast geen lijst met alle katvangers.

Maar de banken zouden in het algemeen veel beter moeten meewerken om dit soort transacties terug te kunnen draaien en alles doen om het onterecht verdwenen geld te traceren en terug te halen en samen met justitie de criminelen in het gevang te krijgen. Nu lijkt het erop dat de banken alleen roepen ' lekker pech' en verder gaan hun winsten te tellen.
04-06-2022, 18:42 door Anoniem
Door Anoniem:
Door Anoniem: Ik word al geiriteerd wanneer ik de huur van mij garage wil betalen "u hebt in de afgelopen maand geen bedrag overgemaakt naar dit nummer, deze opdracht staat nu voor 24 uur in de hold"...
Inderdaad, moet er niet aan denken dat ik telkens zo'n melding krijg.
Ach, dan slaap je er een nachtje over en dan is de betaling alsnog gedaan...
04-06-2022, 20:33 door Anoniem
Door Anoniem: Ja dat verbaast mij ook altijd zo bij dat WhatsApp fraude scenario. Dat er mensen zijn die na een appje "van hun zoon"
meteen allemaal geld gaan overmaken zonder eerst persoonlijk contact te hebben. Het gaat meestal zo van "ik ben
mijn telefoon verloren en nu heb ik een nieuw nummer" nou dan zou ik zeggen, bel dat nieuwe nummer.
Maar nee, dat doen ze dan niet.
Dat doen ze inderdaad niet. Maar onderschat niet hoezeer de fraudeurs in weten te spelen op zwakheden in de menselijke psychologie.

Als ze meteen via een onbekend nummer om geld zouden vragen zou het wantrouwen bij de meeste mensen echt wel gewekt worden. Maar ze maken er twee stappen van. In de eerste stap melden ze dat ze een nieuw nummer hebben en praten ze over koetjes en kalfjes. Dat zijn geen onderwerpen met een hoog risico, het doet bij het slachtoffer geen alarmbellen afgaan, het is een soort communicatie dat op zich geen risico's oplevert en waar je veilig aan kan deelnemen. Het slachtoffer kan best een moment hebben van: "oké, hij zegt wel dat hij mijn zoon is, maar klopt dat ook?", maar door over koetjes en kalfjes te praten gaat het niet verder dan dat, is de communicatie veilig, en ontstaat er vertrouwen bij het slachtoffer. En als het vertrouwen eenmaal is gewekt met ongevaarlijke onderwerpen komt opeens de vraag om geld. En dan reageert het slachtoffer niet op basis van rationeel dingen op een rijtje zetten maar op het gevoelsmatig opgebouwde vertrouwen.

Dit is ontzettend slinks. Denk niet dat je er niet in kan trappen, er zijn al enkele keren verslagen van securitymensen verschenen die beroepsmatig hierop verdacht zijn, maar die er toch gewoon in bleken te trappen toen het hen zelf overkwam. Het punt is dat je vertrouwen niet op rationele gronden maar op basis van emotionele impulsen wordt opgebouwd. Die emotionele impulsen negeren doodleuk wat je rationeel donders goed weet — ook bij mij, ook bij jou. Niet op elk moment, maar een moment waarop het toch gebeurt kan zich gewoon voordoen, net als je er niet op verdacht bent.

Dit vergt mensenkennis en zelfkennis op een niveau dat helemaal niet zo rationeel is. Dat is iets waar IT'ers en IT-securitymensen vaak helemaal niet zo sterk in zijn. Overschat jezelf dus niet.
05-06-2022, 09:14 door Anoniem
Door _Martin_:
Geen idee hoe de klanten verwachten dat ING automatisch detecteert:
- dat iemand gezondheidsklachten heeft
- of iemand scherp reageert
- of het verhaal van de oplichter geloofwaardig overkwam
- of iemands zoon in financiële problemen verkeert
Dat hoeft ook helemaal niet. Een overboeking van >1000 euro (of instelbaar) naar een rekeningnummer wat je in de afgelopen 5 jaar nog niet gebruikt hebt zou wat mij een trigger mogen zijn voor een check-belletje naar de rekeninghouder.

Ik vind het op zich wel positief dan mensen leren dat ze zelf verantwoordelijk zijn voor de transacties die ze doen ipv. de kosten van hun fouten te verhalen op de overige klanten van dezelfde bank.
05-06-2022, 12:39 door Anoniem
Door Anoniem:
Als ze meteen via een onbekend nummer om geld zouden vragen zou het wantrouwen bij de meeste mensen echt wel gewekt worden. Maar ze maken er twee stappen van. In de eerste stap melden ze dat ze een nieuw nummer hebben en praten ze over koetjes en kalfjes. Dat zijn geen onderwerpen met een hoog risico, het doet bij het slachtoffer geen alarmbellen afgaan, het is een soort communicatie dat op zich geen risico's oplevert en waar je veilig aan kan deelnemen. Het slachtoffer kan best een moment hebben van: "oké, hij zegt wel dat hij mijn zoon is, maar klopt dat ook?", maar door over koetjes en kalfjes te praten gaat het niet verder dan dat, is de communicatie veilig, en ontstaat er vertrouwen bij het slachtoffer. En als het vertrouwen eenmaal is gewekt met ongevaarlijke onderwerpen komt opeens de vraag om geld. En dan reageert het slachtoffer niet op basis van rationeel dingen op een rijtje zetten maar op het gevoelsmatig opgebouwde vertrouwen.

Dat lijkt me sterk dat dat zo gaat. JUIST in een gesprek over koetjes en kalfjes blijkt in no-time dat het niet je zoon is
waar je mee communiceert! Het zou erg dom zijn om in zo'n gesprek te gaan, je moet het juist zakelijk houden en to
the point komen dan heb je kans.

Door Anoniem:
De bank heeft vast geen lijst met alle katvangers.

Dat valt me tegen want dit is wel zo ongeveer de gemakkelijkste lijst om te maken natuurlijk... heel wat makkelijker dan
een lijst van verdachte transacties in je grote groep klanten.
Ok, je moet altijd wel eerst 1 of 2 slachtoffers maken, maar als er ergens iemand geld op een rekening overmaakt waar
die nooit eerder geld naar overmaakte, en dit wordt binnen een half uur ergens uit een pinautomaat getrokken, dan
weet je: katvanger.
05-06-2022, 16:13 door Anoniem
ING wint dan wel de rechtszaak - het doet hun imago m.b.t. de beperkte mogelijkheden en het slecht implementeren van klantenbeschermingen geen deugd. Ipv A.I. implementeert men blijkbaar I.A. systemen. Met een eenvoudige patroonherkenning had men dit moeten onderscheppen - en zijn er ook geen dag en weeklimieten - die maken dat er goedkeuringen moeten komen???
Dit zit in elk geval in mijn dossiertje onder de folder banking/ing... Jawel ik heb een eigen archiefje.
Zelf heb ik zwaar van mijn neus gemaakt tegen mijn bank toen bleek dat ik tot 15000€ per verrichting kon onverschrijven via de telefoon - terwijl ik dat nooit doe. Men heeft toen duidelijk te horen gekregen dat ik dat nooit wil gebruiken en dat dit UITGESCHAKELD moest worden. ik wil hardere, strengere limieten!
Kaffer uw bank gerust uit als u geen apps gelinkt wil zien met uw bankrekening. Maar gebruik vooral hun intern-berichtensysteem om dat meermaals te vragen. Doet men dat niet - schuif gerust de verantwoordelijkheid bij hen - u heeft dan nl. te kennen gegeven dat u dat niet wil gebruiken - en dan kan men dat gebruiken om onregelmatigheden te bestrijden. Doet men dat niet - dan is de BANK in fout, dan zijn ze onzorgvuldig geweest - er mag dan staan in de regeltjes wat men wil...!
Wees ook streng wat biometrie betreft - dat kan GEEN bewijs vormen voor de wil tot het overgaan van een transactie - ook niet op een Apple-toestel! Dat is extreem onveilig - niet omdat ik het jullie zeg - maar omdat de CCC het al meermaals heeft aangetoond. En toch gaat de IT-wereld door op dit elan? Toch gaan de banken daar mee akkoord! Wel nu - ZIJ nemen dat risico. Niet ik. Dus nee - geen koppelingen met die rommel van apple, google, facebook, amazon, itsme, en andere broker-apps enz... tegenover MIJN bankrekeningen. Het mag gewoon niet gekoppeld kunnen worden - doet men dat toch - dan is het risico voor de bank. De dag dat ik MFA kan doen - met niet-biometrische methodes - dan verandert mijn houding mogelijks.
06-06-2022, 10:41 door Anoniem
Door Anoniem: ING wint dan wel de rechtszaak - het doet hun imago m.b.t. de beperkte mogelijkheden en het slecht implementeren van klantenbeschermingen geen deugd.
Je moet wel bedenken dat tegenover de klanten die beschermd zouden worden door dergelijke systemen ook klanten
staan die er agressief op reageren, op de manier waarop jij dat kennelijk ook doet. Ook "in de samenleving" zie je
groot wantrouwen tegen wat men daar inmiddels "algorithmes" noemt om het gedrag van mensen te karakteriseren.
Dus het is best voorstelbaar dat een bank niet vol enthousiasme allerlei systemen gaat bouwen die precies het gedrag
van alle klanten in kaart brengen en bij afwijkingen alarm slaan. Voor je het weet heb je kamervragen en een slechte naam.

De dag dat ik MFA kan doen - met niet-biometrische methodes - dan verandert mijn houding mogelijks.
Dat heb ik wel bij ING. Met een apart kastje wat ik bij iedere transactie moet gebruiken en wat uniek geconfigureerd is
voor mijn rekening (dwz niet zoals bij ABN en RABO waar alle kastjes hetzelfde zijn).
Maar ik geloof dat je indertijd het recht om dit kastje te krijgen verspeelde door de APP te gaan gebruiken. Dat heb ik
niet gedaan en toen kreeg ik dit ding. Maar of dat handig zou zijn in combinatie met de APP weet ik niet, want je moet
em dus wel altijd erbij hebben. In geval van gebruik met de computer is dat niet zo erg, dat ding ligt hier gewoon thuis,
maar APP gebruikers vinden vaak dat ze deze overal moeten kunnen gebruiken...
06-06-2022, 16:42 door Anoniem
10.000 is de prijs voor je associale houding op social media, had je maar de moeite moeten nemen om elkaar te spreken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.