Artikel

Mobiel bankieren zonder fraude?

Wim Assink, 28-04-2016

 

Het aantal internetbetalingen stabiliseert terwijl mobiel bankieren juist blijft groeien. Niet voor niets zetten banken vooral daar op in als we het hebben over ‘digital banking’. Maar hoe zit het met de beveiliging? Banken werken intensief samen om fraude zo veel mogelijk te voorkomen. Mede daardoor is het bestrijden van allerlei vormen van malware succesvol gebleken. Phishing blijkt echter een lastiger probleem. Het verder verhogen van de beveiliging bij digitale transacties gaat al snel ten koste van de gebruikersvriendelijkheid. Hoe fantastisch zou het zijn als we een maximale beveiliging zouden kunnen combineren met een klantvriendelijke gebruikservaring. Is dat utopisch? Schalk Nolte, CEO van Entersekt beweert van niet: “Security hoeft geen belasting te zijn, als de oplossing maar intuïtief en eenvoudig werkt. Dan voelt een klant zich juist meer erkend en ´empowered´ als hij zonder moeite veilig kan communiceren met zijn bank.”

 

Het verhaal van Entersekt leest als een spannend boek. Vier studievrienden staan aan het begin van hun carrière wanneer een van hen in de familie te maken krijgen met internetfraude. Dat zou toch te voorkomen moeten zijn met moderne technologie, denken ze. Ze besluiten het uit te zoeken en verdiepen zich in Authenticatiemogelijkheden. Zo ontstaat in 2008 vanuit een garage het bedrijf Entersekt. Twee jaar later raken ze uit de start-up fase en betrekken ze een volwaardig kantoor in Stellenbosch.

Nedbank, één van de grootste banken van Zuid-Afrika, onderkent het groeiende belang van het mobiele kanaal voor klantcontact en de beveiliging van dat kanaal is voor hen cruciaal. Immers alleen als een klant vertrouwen krijgt in het mobiele kanaal, kunnen er diensten aan worden toegevoegd. Ondanks het partnership met M-Pesa, raken ze onder de indruk van de jonge honden van Entersekt en hun ‘push authentication’-oplossing. Nedbank wordt ‘lead customer’ voor Entersekt en opent daarmee deuren naar andere Zuid-Afrikaanse banken. Nu, zes jaar later, bedient het bedrijf 20 banken die actief zijn in 45 landen. Inmiddels werken er ongeveer 100 professionals en zijn er al meer dan een miljard transacties verwerkt. Zonder incidenten…

 

“In het begin viel het niet mee om banken te overtuigen. Bankmensen zijn van nature behoudend en kiezen voor ‘proven technology’ die –bij voorkeur- ook door anderen worden gebruikt. Als je in beveiliging zit zoals wij, moet je altijd vóór de ontwikkelingen uit willen lopen. Jaren geleden voorzagen wij bijvoorbeeld dat ‘One Time Passwords’, ofwel OTP’s, en SMS-berichten, op termijn zouden worden gecompromitteerd. Dat hebben we breed uitgedragen. Als dat dan werkelijk gebeurt, ben je een gerede partij om te laten zien dat beveiliging langs andere wegen beter kan worden georganiseerd. Naar mate meer banken met onze oplossing werken, krijgen andere banken meer incidenten. Fraude gaat immers nooit weg; het verandert van vorm en zoekt de weg van de minste weerstand. Inmiddels bedienen we vrijwel alle grote banken in Zuid Afrika”, aldus Nolte.

 

Het Afrikaanse continent blijkt al snel niet voldoende voor de ambities van Entersekt. Het Zwitserse SwissCard wordt in 2014 de eerste Europese opdrachtgever en meer recent FirstBank in de staat Colorado (USA).


Wat maakt jullie oplossing bijzonder voor Europese partijen?
Claudius van der Meulen, VP Business Development Europe neemt het woord: “In tegenstelling tot de Verenigde Staten, hebben vrijwel alle banken hier al jaren een of andere vorm van tweede factor authenticatie. Dat kan een kaartlezer zijn of een ander token dat een code genereert die de klant als OTP invoert en weer via het primaire kanaal terugstuurt ter verificatie. Deze vorm van twee factor authenticatie is relatief kwetsbaar omdat de uitwisseling van informatie via hetzelfde kanaal gaat. Door het invoeren van de code, geeft de klant eigenlijk een blanco cheque af. Immers, een fraudeur die zich via bijvoorbeeld via de browser in dit primaire kanaal heeft genesteld en de code in handen krijgt, kan de betalingsopdracht op dat moment ongemerkt naar zijn eigen rekening leiden. Misbruik kan worden voorkomen door een extra kanaal te creëren tussen de bankserver en de mobiele telefoon van de rekeninghouder, waarop zowel het verificatieverzoek als de bevestiging, in welke vorm dan ook, versleuteld worden uitgewisseld.”


Nolte verduidelijkt: “De mobiele telefoon is een persoonlijk device en klanten hebben het vrijwel altijd bij zich. In onze oplossing wordt voor iedere opdracht dan ook een bericht verzonden aan de mobiele telefoon van de klant met de details van de opdracht en de vraag of dit moet worden uitgevoerd. Een simpele bevestiging of verwerping volstaat. Mocht iemand bijvoorbeeld het bedrag of de begunstigde hebben gewijzigd, is dat voor de klant meteen duidelijk.”

 

“Voor banken is regelgeving zeer belangrijk. Voor ons in het dus cruciaal dat onze oplossing voldoet aan de hoogste eisen. In Duitsland bijvoorbeeld is er recente wetgeving die bepaalt dat betaaltransacties moeten zijn beveiligd met ‘strong authentication’. En dat is geen OTP die wordt ingevoerd in het primaire kanaal. Alle Duitse banken zullen dus hun beveiliging moeten opwaarderen. Inmiddels is Entersekts’ Transakt , de app die gebruikt wordt in onze authenticatieoplossing, goedgekeurd door BaFin, de Duitse toezichthouder.

 

De oplossing die wij banken aanbieden, is gebouwd om compliant te zijn met regelgeving, de infrastructuur is flexibel en kan eenvoudig worden aangepast aan de cultuur van een land en de wensen van een bank”, aldus Van der Meulen.

Nolte neemt over: “Wij willen banken een oplossing bieden die betrouwbaar is en geen problemen geeft. De architectuur is geheel nieuw en de infrastructuur blijkt in de praktijk buitengewoon stabiel. Wij doen wat we beloven.”


En hoe zit het nu echt met de incidenten?
“Het tweede kanaal is ‘end-to-end’ versleuteld en heeft bewezen een zeer effectieve oplossing te zijn. doen nu ongeveer 54 miljoen transacties per maand en hebben er tot nu toe in totaal ongeveer 1 miljard gedaan. Daar zat geen enkel fraudegeval bij. En wij doen er alles aan om dat zo te houden. Regelmatig huren we ‘White Hat Hackers’ in om onze code en nieuwe releases te testen. Beveiliging is immers de kern van wat wij doen. Het bijzondere is dat als je het aantal incidenten kunt reduceren, dat niet alleen een besparing betekent maar bovendien schept het mogelijkheden om nieuwe diensten aan te bieden via een vertrouwd kanaal”, aldus Nolte.

 

Hoe zit het in Nederland?
Van der Meulen: “Alle grootbanken in Nederland hebben hun eigen oplossingen. De een werkt met SMS en TAN-codes, de ander met een kaartlezer of scanner Maar veranderingstrajecten en zeker die rond beveiliging, doorlopen een lang traject. Bij de huidige oplossingen kennen de banken de fraudepatronen die horen bij de beveiliging. Nieuwe oplossingen moeten dan ook uitgebreid getest worden. En ook al doen de Nederlandse banken het internationaal relatief goed qua beveiliging, er is zeker ruimte voor verbetering. Dat geldt voor de beveiliging, maar vooral in het gebruiksgemak. En dit gaat dan nog alleen over traditioneel internetbankieren. Voor mobiel betalen is het helemaal lastig om met een kaartlezer of iets dergelijks te werken”.

 

Nolte voegt toe: “In Groot Brittannië zagen we in 2015 al dat het aantal transacties met het mobiele kanaal hoger was dan het internet bankieren via de desktop. Die trend zet alleen maar verder door. De mobiele telefoon is zo persoonlijk dat het, met de transactie-app die wij hebben ontwikkeld, de gebruiker weinig merkt van beveiliging.”

 

Alle banken ontwikkelen nu mobiele betaaloplossingen op basis van de NFC-chiptechnologie. Ook dat is fraudegevoelig, al gaat het vaak om kleine bedragen. Van der Meulen beaamt dat: “Eigenlijk geldt hier hetzelfde als voor phishing. In beide gevallen moet er via een apart kanaal een bevestiging worden gevraagd voor de transactie. Of het nu gaat om online betalen, mobiel bankieren of NFC transacties, met onze oplossing kan de gebruiker al die handelingen extra beveiligen. En wat we niet moeten vergeten is dat het vertrouwen van de klant in het kanaal wordt geschaad als er een keer sprake is van fraude. Dat zou je als bank niet moeten willen want daar heb je nog jaren last van. Als je het snel groeiende mobiele kanaal op een consument vriendelijke manier weet te beveiligen, biedt het juist unieke kansen om een lange termijn relatie met de klant te onderhouden.”

 

Hoe zien de plannen er voor de komende jaren uit?
Nolte: “In Europa hebben we nieuwe opdrachtgevers in onder meer Duitsland en Groot Brittannië die momenteel in hun test fase bevinden. Daarnaast zijn we in Europa en ook daarbuiten in gesprek met banken en andere financiële instellingen om transacties te beveiligen. Maar uiteindelijk hebben we het over 7 miljard mobiele telefoons die we willen beveiligen.”

 

 

print

Reacties

Er is nog niet gereageerd op dit artikel

Om te kunnen reageren moet u ingelogd zijn

 

  [ Inloggen / Registreren ]