Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Mogelijk grote gevolgen advies EU-rechtbank ingeval van Phishing - schuld
Gisteren, 18:01 door Anoniem, 6 reacties
1. Wat het EU-advies precies zegt (zie link BleepingComputer)
De advocaat-generaal vindt dat banken onmiddellijk geld moeten terugbetalen bij ongeautoriseerde transacties (bijvoorbeeld phishing waarbij iemand jouw rekening leegmaakt).
Belangrijk punt uit het advies:
De bank moet eerst onmiddellijk terugbetalen.
Daarna mag de bank onderzoek doen.
Als later blijkt dat de klant frauduleus handelde of “grof nalatig” was, mag de bank het geld alsnog terugvorderen.
Kort gezegd:
“Refund first, argue later.”
2. Hoe het nu meestal werkt (ook in Nederland)
Momenteel maken regels uit de Europese Payment Services Directive 2 (PSD2) een onderscheid:
Ongeautoriseerde betaling (bijv. hacker maakt zelf een betaling)
1. bank moet meestal terugbetalen.
Geautoriseerde betaling door de klant zelf (bijv. je maakt zelf geld over na phishing)
2. klant is vaak zelf aansprakelijk.
Veel phishing-scams vallen juridisch in die tweede categorie, omdat het slachtoffer zelf op “verzenden” klikt.
3. Wat dit specifiek voor Nederlandse banken kan veranderen.
Als het EU-hof het advies volgt (wat vaak gebeurt), kan dit betekenen dat banken in Nederland:
1 Sneller moeten terugbetalen
Ze mogen niet eerst uitgebreid onderzoeken of de klant fout zat.
+ Ze moeten eerst het geld terugstorten.
2 Minder ruimte hebben om direct te weigeren
Nu zeggen banken soms: “u was grof nalatig, dus geen vergoeding.”
Met dit oordeel moeten ze eerst betalen en daarna eventueel procederen.
3 Meer financieel risico krijgen
Omdat phishing groeit, kan dat leiden tot:
hogere fraude-kosten voor banken
meer investeringen in fraudedetectie
mogelijk strengere beveiliging (extra verificaties)
Daarom weigeren banken soms terugbetaling.
4. Maar: dit betekent niet dat banken altijd moeten betalen
Er blijven belangrijke uitzonderingen:
Een bank kan geld terugvorderen als bewezen wordt dat de klant:
A. bewust meewerkte aan fraude
B. extreem onzorgvuldig was (bijv. codes delen ondanks waarschuwingen)
Dus klanten krijgen niet automatisch altijd hun geld terug.
5. Hoe Nederland nu al deels afwijkt
In Nederland vergoeden banken soms al phishing-schade:
A. vaak via goodwill-regelingen, niet via wetgeving
B. bijvoorbeeld bij bank-impersonatie (“spoofing”).
Als het EU-hof dit advies volgt, kan dat betekenen dat Nederlandse banken phishing-slachtoffers sneller moeten compenseren, zelfs als er twijfel is over schuld van de klant. De discussie over schuld verschuift dan naar ná de terugbetaling.
https://www.bleepingcomputer.com/news/legal/eu-court-adviser-says-banks-must-immediately-refund-phishing-victims/
De advocaat-generaal vindt dat banken onmiddellijk geld moeten terugbetalen bij ongeautoriseerde transacties (bijvoorbeeld phishing waarbij iemand jouw rekening leegmaakt).
Belangrijk punt uit het advies:
De bank moet eerst onmiddellijk terugbetalen.
Daarna mag de bank onderzoek doen.
Als later blijkt dat de klant frauduleus handelde of “grof nalatig” was, mag de bank het geld alsnog terugvorderen.
Kort gezegd:
“Refund first, argue later.”
2. Hoe het nu meestal werkt (ook in Nederland)
Momenteel maken regels uit de Europese Payment Services Directive 2 (PSD2) een onderscheid:
Ongeautoriseerde betaling (bijv. hacker maakt zelf een betaling)
1. bank moet meestal terugbetalen.
Geautoriseerde betaling door de klant zelf (bijv. je maakt zelf geld over na phishing)
2. klant is vaak zelf aansprakelijk.
Veel phishing-scams vallen juridisch in die tweede categorie, omdat het slachtoffer zelf op “verzenden” klikt.
3. Wat dit specifiek voor Nederlandse banken kan veranderen.
Als het EU-hof het advies volgt (wat vaak gebeurt), kan dit betekenen dat banken in Nederland:
1 Sneller moeten terugbetalen
Ze mogen niet eerst uitgebreid onderzoeken of de klant fout zat.
+ Ze moeten eerst het geld terugstorten.
2 Minder ruimte hebben om direct te weigeren
Nu zeggen banken soms: “u was grof nalatig, dus geen vergoeding.”
Met dit oordeel moeten ze eerst betalen en daarna eventueel procederen.
3 Meer financieel risico krijgen
Omdat phishing groeit, kan dat leiden tot:
hogere fraude-kosten voor banken
meer investeringen in fraudedetectie
mogelijk strengere beveiliging (extra verificaties)
Daarom weigeren banken soms terugbetaling.
4. Maar: dit betekent niet dat banken altijd moeten betalen
Er blijven belangrijke uitzonderingen:
Een bank kan geld terugvorderen als bewezen wordt dat de klant:
A. bewust meewerkte aan fraude
B. extreem onzorgvuldig was (bijv. codes delen ondanks waarschuwingen)
Dus klanten krijgen niet automatisch altijd hun geld terug.
5. Hoe Nederland nu al deels afwijkt
In Nederland vergoeden banken soms al phishing-schade:
A. vaak via goodwill-regelingen, niet via wetgeving
B. bijvoorbeeld bij bank-impersonatie (“spoofing”).
Als het EU-hof dit advies volgt, kan dat betekenen dat Nederlandse banken phishing-slachtoffers sneller moeten compenseren, zelfs als er twijfel is over schuld van de klant. De discussie over schuld verschuift dan naar ná de terugbetaling.
https://www.bleepingcomputer.com/news/legal/eu-court-adviser-says-banks-must-immediately-refund-phishing-victims/
Reacties (6)
Vandaag, 07:55 door
Anoniem
zelfs als er twijfel is over schuld van de klant. De discussie over schuld verschuift dan naar ná de terugbetaling.
Wat misschien de deur opent voor nieuwe scams.
Vandaag, 08:11 door
Anoniem
Nou, dan zie ik mijn maandbijdrage, die de afgelopen jaren al flink omhoog is gegaan, nog VEEL verder omhoog gaan, want dit gaat banken miljoenen kosten. Dit zal stellig een reactie uit gaan lokken bij banken. Denk aan zwarte lijsten die bij verzekeraars al worden gebruikt. Fraudeer je daar, dan kom je nergens meer binnen. Klik je maar wat omdat het risico toch bij de bank ligt en de omgekeerde bewijslast veel mensen wel goed uitkomt: uw maandbijdrage gaat met 25 euro omhoog.
Dit gaat mogelijk een hoop gedoe opleveren, zoals ontevredenheid bij mensen die wel voorzichtig zijn, doordat hun betalingen uit voorzorg onder een vergrootglas komen te liggen. Denk aan vertragingen van een paar uur boven een x bedrag, maximale overboekingen om klanten te beschermen etc. Nog meer regels...
Dit gaat mogelijk een hoop gedoe opleveren, zoals ontevredenheid bij mensen die wel voorzichtig zijn, doordat hun betalingen uit voorzorg onder een vergrootglas komen te liggen. Denk aan vertragingen van een paar uur boven een x bedrag, maximale overboekingen om klanten te beschermen etc. Nog meer regels...
Vandaag, 08:56 door
Anoniem
Blijkbaar legt de EU ook regels op over extra ENTERS in een post.
Ik heb mijn twijfels of dit inderdaad of dit echt positief gaat zijn. Ik verwacht dat dit juist veel meer ellende gaat opleveren voor ons als consument. Ook bij fraude, want ALS de bank direct terug moet betalen, dan zal waarschijnlijk de consument dit geld direct ergens anders stallen, waarna de bank met rechtzaken zal beginnen en de kosten voor de coonsument alleen maar groter zijn/worden.
Maar belangrijk is wel:
Het gaat om een opinie van een Advocaat-Generaal;
niet om een bindend arrest van het Hof van Justitie zelf.
Ik heb mijn twijfels of dit inderdaad of dit echt positief gaat zijn. Ik verwacht dat dit juist veel meer ellende gaat opleveren voor ons als consument. Ook bij fraude, want ALS de bank direct terug moet betalen, dan zal waarschijnlijk de consument dit geld direct ergens anders stallen, waarna de bank met rechtzaken zal beginnen en de kosten voor de coonsument alleen maar groter zijn/worden.
Maar belangrijk is wel:
Het gaat om een opinie van een Advocaat-Generaal;
niet om een bindend arrest van het Hof van Justitie zelf.
Vandaag, 10:14 door
Anoniem
Dat zou betekenen dat veel onrecht kan worden hersteld.
Mijn vraag is echter, wat gebeurt er met de klanten die al jaren of maanden terug slachtoffer zijn geweest en met een tussentijdse verandering van de wet te maken krijgen? Worden zij dan ook gecompenseerd na een eerste afwijzing door het Kifid?
Ik voorzie nogal wat rechtszaken komen hier.
Mijn vraag is echter, wat gebeurt er met de klanten die al jaren of maanden terug slachtoffer zijn geweest en met een tussentijdse verandering van de wet te maken krijgen? Worden zij dan ook gecompenseerd na een eerste afwijzing door het Kifid?
Ik voorzie nogal wat rechtszaken komen hier.
Vandaag, 11:11 door
Anoniem
Door Anoniem: Dat zou betekenen dat veel onrecht kan worden hersteld.
Nee. dat zal waarschijnlijk alleen maar voor meer problemen zorgen bij de consumenten. Banken zullen gewoon hard gaan proceduren om hun geld terug te eisen. Als de consument dan niet mee werkt, zal dit juist grote gevolgen hebben voor hun. Nog afgezien het de extra stress zal geven van dit soort rechtzaken.
Mijn vraag is echter, wat gebeurt er met de klanten die al jaren of maanden terug slachtoffer zijn geweest en met een tussentijdse verandering van de wet te maken krijgen? Worden zij dan ook gecompenseerd na een eerste afwijzing door het Kifid?
Dit zijn JUIST de voorbeelden, waarvan de bank gewoon correct heeft gehandeld en de klant grote fouten heeft gemaakt.
Vandaag, 12:45 door
Anoniem
Nee. dat zal waarschijnlijk alleen maar voor meer problemen zorgen bij de consumenten. Banken zullen gewoon hard gaan proceduren om hun geld terug te eisen. Als de consument dan niet mee werkt, zal dit juist grote gevolgen hebben voor hun.
Dat kan zeker, maar de juridische medaille heeft ook twee kanten.Het is daarom nog maar afwachten waar de bal naar toe gaat rollen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Product Owner / Senior Security Officer
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.