Banken monitoren hun geldverkeer vierentwintig uur per dag, om zowel hacks als fraude tegen te gaan. Toch gaat het regelmatig mis. Dit is opmerkelijk, want banken houden ongelofelijk veel aanvallen, fraude, list en bedrog tegen. Tegelijk willen banken het de klant, uit commerciële overwegingen zo makkelijk mogelijk maken. Maar er zijn grenzen.
Wie een groot bedrag wil overmaken, moet waarschijnlijk eerst een paar uur wachten voordat de bank de betaallimiet verhoogt. Erg hinderlijk voor de klant, maar daar staat tegenover dat een oplichter niet na een geslaagde babbeltruc de rekening meteen kan leeghalen. Veiligheid zónder dit soort hindernissen – ‘frictie’ – bestaat niet.
Er is een precaire balans tussen het gemak dat klanten verwachten en de veiligheid van hun geld. Bovendien komen er voortdurend nieuwe aanvals- en fraudetrucs bij, waartegen je als bank vaak niet van tevoren kunt wapenen. Er zijn nog maar weinig bedrijven waar je zomaar naar binnen kan stappen. Eerst van te voren verplicht aanmelden door een werknemer, alleen dan door slagboom voor de parkeerplaats, daarna aanmelden bij de receptie, het bezoekerspasje opspelden en verplichte begeleiding door een werknemer. Er is behoorlijk wat frictie voor je binnen bent. Digitaal werkt dat ook zo. Gebruikersnaam en wachtwoord invoeren, two-factor code ontvangen en die invoeren, vingerafdruk of gezicht checken, email ontvangen voor bevestiging, etc. Toch verdwijnt er – ondanks al die maatregelen – nog altijd veel geld in de zakken van oplichters. Hoe kan dat?
Vertrouwen
De balans tussen veiligheid en gemak slaat vaak door in het voordeel van het klantgemak. De apps worden steeds gelikter, de mogelijkheden zijn eindeloos, je geld vliegt met een swipe van rekening naar rekening. De ‘klantervaring’ staat voorop, alles werkt voor de klant probleemloos, maar juist dat is waar de criminelen slim op inspelen.
Zo maakten klanten van internetbank bunq – die zich als ‘Easy bank’ profileert – op verzoek van een ‘bankmedewerker’ in allerijl hun spaargeld over naar ‘een veilige rekening om ‘problemen’ met hun eigen rekening te voorkomen’. Of ze moesten die ‘medewerker’ hoge ‘onderzoekskosten’ betalen om hun gestolen geld terug te krijgen. Net zo makkelijk. Klanten verwachten volledige autonomie op hun eigen rekening en kregen die ook, met alle verantwoordelijkheden en risico’s die daarbij horen.
Casinobank
Een bank die zijn klanten niets in de weg wil leggen, wordt een ‘casinobank’. Eén verkeerde klik, één keer het verkeerde telefoontje aannemen en al je geld is weg. Elke beveiligingsmaatregel die je hier neemt zit het klantgemak in de weg en niet alle banken zijn happig om maatregelen te nemen die voor frictie zorgen en dus de klant afremmen.
Hier speelt bovendien een maatschappelijk belang. Net zoals bij brandpreventie is er een rol voor de overheid om ervoor te zorgen dat klanten goed beschermd worden, dus ook tegen fraude. Dit geldt natuurlijk niet alleen voor banken, maar voor elk bedrijf. Want zij zijn vooral gebaat bij een zo gestroomlijnd mogelijke ervaring voor hun klanten. Ironisch genoeg lijnen ze hiermee op met de fraudeurs die het gemunt hebben op hun klanten. Oplichters zijn gebaat bij haast. Ze gunnen hun slachtoffers geen tijd om na te denken over beslissingen, snel dat geld overmaken, want anders…!
Frictie
Het is hoog tijd voor meer frictie. Online bank Revolut is hier al mee aan het experimenteren. Als ze fraude vermoeden word je verplicht om ‘stories’ te bekijken over oplichting. Een soort Instagram-achtige fotoreeks waarin ze nogmaals uitleggen dat je je niet moet laten foppen. Kinderlijk en een beetje belerend. Je scrolt er bovendien meteen doorheen.
Ook Rabobank heeft vertragingen geïntroduceerd. Het ophogen van je betaallimiet duurt vier uur! Dat is niet omdat de techniek zo traag is: het is kunstmatig tijd rekken voor het geval jij je bedenkt en bij de bank aan de bel kan trekken als je het bij nader inzien niet vertrouwt. Ook ABN AMRO speelt hier op in. Ze stellen vragen, rekken tijd en trekken alle registers open om jou uit die ‘haast’-stand te krijgen.
Alles kan, alles mag in ruil voor hoge rente
Dit alles roept de vraag op hoever je hier moet gaan. Wellicht moeten we het over een heel andere boeg gooien. Online-only banken mogen er hun businessmodel van maken: geen fraudebescherming, geen controles en zeker geen frictie. Alles kan en alles mag in ruil voor hoge rente – de bank heeft immers veel minder kosten – en een makkelijk te bedienen app. Daartegenover staat dat de klant er zelf voor verantwoordelijk is als al zijn geld in een oogwenk naar de rekening van een oplichter in een ver buitenland verdwijnt. Je had kunnen weten waar je aan begon, toen je hier een rekening opende om te profiteren van die hoge rente en het gebruiksgemak.
Geen haalbare kaart
Voor iedereen die weet dat ze best weleens in de val zouden kunnen trappen, introduceren andere banken dan wederom de papieren overschrijving. Als je met pen moet opschrijven dat je 5000 euro naar een onbekende rekening in China wil sturen, zal – hopelijk – snel het kwartje vallen dat er iets niet helemaal klopt. Want hoe vaak mensen ook roepen dat zij er nooit in zullen trappen, zullen zij nog liever een papieren overschrijving invullen, dan dat ze daadwerkelijk alle risico bij zichzelf neerleggen. Natuurlijk is dit geen haalbare kaart in de digitale wereld van vandaag.
Bovendien hebben klanten hoe dan ook een eigen verantwoordelijkheid. Tot hoever die gaat en waar dus de balans ligt met de verantwoordelijkheid van banken – dus tot hoever zij juridisch geacht worden te gaan met beveiligingsmaatregelen – is uiteindelijk een zaak van wetgeving en jurisprudentie. Een recente uitspraak in een rechtszaak tussen bunq en opgelichte klanten laat zien dat die klanten nalatig waren en dat de ‘bank die nooit belt’ niet verantwoordelijk was voor de schade.
Er is geen ontkomen aan: als het gaat over beveiliging, gaat het altijd over frictie, zowel in de fysieke wereld als in de digitale wereld. Bedrijven die beveiliging en fraudebestrijding én hun klanten serieus nemen, moeten zich realiseren dat een veilige klantbeleving zonder frictie niet mogelijk is. Dat beveiliging en fraudebestrijding ook commercieel verstandig is heeft bunq inmiddels aangetoond, door na een aanvankelijk afwijzing van schadeclaims na fraude deze bij nader inzien toch maar te honoreren.
Lees ook: “Bedrijven zonder inzicht in IT-systemen brengen zichzelf en partners in gevaar”