Vorige week vrijdag waarschuwde De Nederlandse Bank voor nieuwe, onveilge betaaldiensten op het Internet. Volgens webwereld ging het om directebanking.nl van het Duitse bedrijf Payment Network AG. Met deze iDeal kloon kan (in tegenstelling tot iDeal zelf) ook bij buitenlandse webwinkels betaald worden, direct vanaf de eigen bankrekening. Voor dit soort betalingen is het dus een alternatief voor de creditcard. Dus vanwaar alle commotie?
Zo'n overlay betaaldienst werkt als volgt (zie afbeelding). De klant wil zijn bestelling bij de webwinkel afrekenen. Hij klikt op de betaalknop, die hem doorverwijst naar de website van de betaaldienst. De betaaldienst vraagt naar de naam zijn bank, en ook naar zijn inlog code en transactie (TAN) code. Vervolgens maakt de betaaldienst verbinding met de bank, en zorgt met de invoerde gegevens dat het bedrag van de rekening direct op de rekening van de winkelier wordt overgemaakt. Dit in tegenstelling tot iDeal, die niet zelf om de inlog en transactie code vraagt, maar de gebruiker enkel doorverwijst naar de website van de bank zelf. Dáár voert de gebruiker vervolgens zijn inlog code en transactie code in.
Payment Networks reageerde verontwaardigd op de aantijgingen. Volgens het bedrijf worden de gegevens van gebruikers niet opgeslagen, biedt zij zelfs een verzekering tegen datafraude aan, en is het systeem voorzien van een TÜV-certificaat voor bewezen databescherming.
Maar dat is het punt niet. Hoe veilig de overlay betaaldienst ook is, en hoeveel certificaten die ook mag hebben gekregen, het op deze manier inrichten van een betaaldienst is fundamenteel fout. Zoals de DNB stelt, moeten, om internetbankieren veilig te houden, consumenten inlog en transactie codes juist geheim houden en niet afgeven aan derden. Door een uitzondering te maken, zelfs voor de meest veilige overlay betaaldienst, wordt er onduidelijkheid voor de consumenten geschapen. Want dan mag de consument in sommige gevallen kennelijk wél zijn gegevens aan derden afgeven. De vraag is echter wanneer wel en wanner niet. En deze beslissing ligt nu bij de gebruiker zelf. Die moet nu zelf gaan bepalen of een bepaalde wesbite juist wel of juist niet een veilige betaaldienst is. En dit is juist iets waar consumenten notoir slecht in zijn. Wie in Nederland kent de TÜV?
Een goede overlay betaaldienst vraagt, net als iDeal, niet om inlog en transactie gegevens. Dat laat ze gewoon aan de bank zelf over. Dat is wel zo veilig en zo duidelijk.
Jaap-Henk, ben er helemaal mee eens, zie ook mijn (engelse) blog post http://maarten.wegdam.name/2009/11/18/overlay-banking-or-phishingman-in-the-middle-attack/