Een 70‑jarige vrouw, Hannie, is in Nederland duizenden euro’s kwijtgeraakt door bankfraude. Criminelen gebruikten een nieuwe werkwijze die inspeelt op de bevestiging in de bankapp. Het ging om telefoontjes en berichten die leken te komen van haar bank. De zaak onderstreept dat digitalisering van betalingen nieuwe risico’s meebrengt voor consumenten en banken.
Nieuwe fraudevorm treft senioren
De oplichters bouwden vertrouwen op met een zogenaamd spoedtelefoontje over “verdachte transacties”. Daarna vroegen zij Hannie om een “veiligheidsstap” in haar bankapp te bevestigen. Die stap gaf juist de oplichters ruimte om geld weg te sluizen. Zo zetten zij tweestapsverificatie, bedoeld als extra beveiliging, tegen de gebruiker in.
Bij deze variant combineren criminelen vaak sms-berichten en pushmeldingen met een telefoontje. De berichten komen in dezelfde conversatie als eerdere bankberichten terecht, wat echt lijkt. Vervolgens sturen zij een QR‑code of een link om te “verifiëren”. Wie die actie goedkeurt, autoriseert in feite zelf een betaling of toegang.
De Fraudehelpdesk en Betaalvereniging Nederland waarschuwen al langer voor bankhelpdeskfraude. Het patroon is steeds hetzelfde: hoge druk, urgentie en schijnbare hulp. Vooral ouderen en mensen die snel willen handelen, lopen risico. Dit incident laat zien dat ook ervaren smartphonegebruikers slachtoffer kunnen worden.
Spoofing bemoeilijkt herkenning
Criminelen maken gebruik van spoofing, waarbij een telefoonnummer of afzender wordt nagemaakt. Daardoor lijkt een sms of gesprek echt van de bank te komen. Dit maakt controle lastig, ook voor alerte klanten. Smishing (nep-sms) en vishing (nep-telefoontje) worden vaak gecombineerd.
Spoofing is het namaken van een afzender of nummer, zodat een bericht of oproep lijkt te komen van een vertrouwde partij.
Telecomproviders werken met de Autoriteit Consument & Markt aan maatregelen tegen nummermisbruik. Het blokkeren van duidelijk vervalste Nederlandse nummers is een stap vooruit. Maar internationale routes en doorsturen blijven zwakke plekken. Hierdoor blijft het voor consumenten belangrijk om zelf te verifiëren via het officiële banknummer op hun pas of website.
Bovendien wordt misbruik steeds geraffineerder. Criminelen gebruiken gestolen persoonsgegevens om controlevragen te doorstaan. Zo krijgen zij extra geloofwaardigheid in het gesprek. Dat vergroot de kans dat een slachtoffer een verificatie in de bankapp goedkeurt.
Europese regels en aansprakelijkheid
Onder PSD2 moeten banken sterke klantauthenticatie (SCA) toepassen. Dat werkt met iets wat je weet, iets wat je hebt of iets wat je bent, zoals een pincode, telefoon of gezichtsherkenning. Social engineering omzeilt dit niet technisch, maar misleidt de gebruiker zelf. De zwakste schakel is dus vaak het menselijk besluit op het laatste moment.
Wie betaalt de schade is onderwerp van discussie in Nederland. Het Klachteninstituut Financiële Dienstverlening (Kifid) beoordeelt zaken per geval. Soms weegt mee of de bank voldoende waarschuwde en of de klant redelijke zorg betrachtte. De uitkomsten lopen op het moment van schrijven uiteen per situatie.
Europa scherpt de regels verder aan met PSD3 en de Payment Services Regulation (PSR). Daarnaast verplicht de nieuwe Instant Payments-verordening een naam‑nummercontrole bij directe overboekingen. Nederlandse banken gebruiken hiervoor al systemen zoals de IBAN-Naam Check. Doel is om vergissingen en fraude sneller te herkennen voordat geld verdwijnt.
Banken scherpen processen aan
Nederlandse banken zoals ING, Rabobank en ABN AMRO intensiveren waarschuwingen in apps en e‑mail. Steeds vaker verschijnt een duidelijke melding bij het toevoegen van een nieuwe ontvanger of het verhogen van limieten. Ook algoritmen letten op ongewoon gedrag, zoals plotselinge grote overboekingen. Toch kan geen enkel systeem menselijke toestemming volledig vervangen.
Betaalvereniging Nederland coördineert publiekscampagnes als “Eerst checken, dan klikken”. Die campagnes leggen uit dat een bank nooit om codes vraagt en nooit software op afstand laat installeren. Ook benadrukken zij dat het officiële nummer van de bank altijd door de klant zelf gebeld moet worden. Terugbellen via een kliklink in een sms is onveilig.
Technisch voeren banken wachttijden in voor nieuwe begunstigden en beperken zij daglimieten. Dat geeft detectiesystemen meer tijd om alarm te slaan. Het nadeel is vertraging bij legitieme betalingen. Die afweging tussen gemak en veiligheid blijft een punt in de Europese digitalisering met gevolgen voor het bedrijfsleven en consumenten.
Wat consumenten nu kunnen doen
Verbreek direct elk gesprek waarin “de bank” om codes, QR‑scans of schermdeling vraagt. Bel daarna zelf het nummer op uw bankpas of de officiële website. Keur geen onbekende meldingen in uw bankapp goed. Een echte bankmedewerker zal nooit aandringen op haast of geheimhouding.
Beveilig uw toestel met een pincode of biometrie en installeer updates. Verwijder software voor schermdeling of “hulp op afstand” die u niet kent. Zet meldingen van uw bankapp aan, zodat u ongewenste acties snel ziet. Overweeg lagere standaardlimieten en melding bij elke betaling.
Is er toch geld weg? Bel direct uw bank om rekeningen en bankapp te blokkeren. Doe aangifte bij de politie en meld het bij de Fraudehelpdesk. Bij snelle actie kan een transactie soms worden teruggedraaid, zeker als het geld nog niet is doorgeboekt. Wacht daarom niet en documenteer alle stappen en tijdstippen.