De door Crimesite geconstateerde zwakte in het betalingsysteem was allang bij ING bekend. Was dit lek de reden dat de bank geregeld waarschuwde voor phishing-aanvallen van criminelen die op wachtwoorden uit zijn. Als het TAN-systeem de klant  zou vrijwaren van illegale overboekingen dan was phishing immers ook zinloos?

Een rekeninghouder kan een illegale overboeking “storneren”, terugdraaien. ING zegt dat de klant zelf verantwoordelijk is voor de beveiliging van zijn pc. Maar wie ook verantwoordelijk is, vaststaat dat het probleem pas over een paar jaar verholpen kan zijn.

Om een bedrag over te boeken is een TAN-code nodig, die een gebruiker strikt persoonlijk krijgt en gescheiden is van een gekraakte rekening. Dat lijkt in orde. Maar ieder bedrijf met een bankrekening kan zonder meer geld laten afboeken door een incasso.

In deze incasso, die zonder veiligheidcheck mogelijk is, ligt de basis van nu aangetoonde zwakte.

Waarom geen TAN-code voor het goedkeuren van incassobetalingen? Vraag voor de woordvoerder van Currence.

Currence is door grote banken opgericht met als doel de kwaliteit en veiligheid van het betalingsverkeer in Nederland te stimuleren en te vergroten. 

Bob Goulooze beaamt dat deze fraude nu mogelijk is doordat er een automatische incasso wordt gedaan door bijvoorbeeld Paypal bij ING-klanten:

‘De klant geeft toestemming aan Paypal om te incasseren, maar hoeft dat niet nogmaals aan zijn bank te doen. Vanaf 2013 gaat er iets veranderen, omdat er dan een zogenaamde ‘pre-annotering’ komt. Voor elke automatische incasso gaat er dan een waarschuwingsbericht naar de klant. Dat kan door middel van een SMS, een email of iets dergelijks. Hoe het precies zal gaan wordt nog overlegd tussen de banken in SEPA-verband (Single European Payment Area, red. CS). Maar deze vorm van fraude is vanaf 2013 dus niet meer zo eenvoudig.’