Uitlegparty: Het nieuwe pinnen

Userpica

Pinnen met magneetstrip gaat eruit. Betalen gaat straks met de chip op de bankpas: insteken in plaats van doorhalen.

Dit jaar starten banken en betaalbedrijven in Nederland met de invoering van de Europese betaalstandaard EMV, wat staat voor Europay Mastercard Visa. Het systeem faciliteert betalen via chip, ter vervanging van de onveilige magneetstrip in je bankpas.

De magneetstrip wordt hierdoor in Nederland vanaf 2012 niet meer gebruikt bij het pinnen. In plaats daarvan gaan de transacties via de chip, die ook al op de meeste pasjes zit. Reden voor de invoering is een beveiliging tegen skimmen, waarbij criminelen de pinautomaten manipuleren om de gegevens van de magneetstrip te kopiëren. De EMV-chip voegt een vorm van versleuteling toe. Dat maakt het iets veiliger, maar helaas absoluut niet waterdicht.


Vanaf 1 januari 2012 is de invoering definitief, maar veel winkels beginnen eerder met de uitrol van chipbetalen. Alle pinautomaten moeten immers worden vervangen: dat kost maanden tijd. Tweederde van de betaalautomaten is al klaar voor de chip. PIN-eigenaar Currence verwacht dat dat deze zomer 90 procent van de apparaten is omgebouwd. Aan de betaalpassen zelf ligt het niet. Bijna alle Nederlandse bankpassen, meer dan 90 procent, hebben al een chip die voor EMV geschikt is. En wie een nieuwe pas ontvangt, krijgt er automatisch eentje die EMV-ready is.

Nog niet alles rond EMV in Nederland is helemaal rond. De brancheorganisatie van winkeliers wil bijvoorbeeld dat retourpinnen ook mogelijk wordt gemaakt. Het geld van geretourneerde aankoop wordt dan elektronisch teruggestort op de rekening van de klant. De EMV-partijen en de banken moeten hiervoor aanpassingen doorvoeren, maar dat is nog niet gebeurd. Veel winkeliers wachten daar niet op. Ze zullen steeds vaker de chiplezers in hun pinapparaat verplichten en klanten vragen de pas in het apparaat te steken in plaats van hem door de magneetstriplezer te halen. Dat overkwam ondergetekende onlangs al in een winkel in Amsterdam-Zuid.

Dat wordt voor veel mensen even wennen bij het betalen. Om voorlichting te geven is er de campagne Het Nieuwe Pinnen. Een speciaal campagnebureau komt in februari met een commercial. Ook gaan banken zelf hun klanten informeren via de eigen sites. De komst van EMV betekent eigenlijk ook het afscheid van het Nederlandse merk PIN. Maar voor de meeste Nederlanders zal het betalen per bankpas in winkels toch gewoon nog vele jaren 'pinnen' blijven heten.




Het in stand houden van de zwaar verouderde magneetstriptechniek voor PIN heeft de laatste jaren gezorgd voor een flinke stijging van pinpasfraude. Fraude was in 2005 goed voor 0,003 procent van de totale pin-omzet, nu is dat 0,032 procent geworden. De schade van skimming was in de eerste helft van 2010 zo'n 12 miljoen euro. In heel 2009 was dat 36 miljoen, in 2008 was het 31 miljoen.

Vooral Oost-Europese bendes zijn bij skimming betrokken. De vaak jonge criminelen laten zich bijvoorbeeld insluiten in een tuincentrum en na sluitingstijd kruipen ze tevoorschijn om aan het pinautomaat te sleutelen. Ze plaatsen een apparaatje dat de gegevens op de magneetstrip registreert en eventueel eentje die de pincode afvangt of filmt. De pincode is niet per se nodig. Een nagemaakte bankpas met de info van de magneetstrip is in sommige Zuid- of Oost-Europese landen ook te gebruiken om te betalen, zonder code. 




Is EMV echt zoveel veiliger? Misschien in eerste instantie. Maar het is een kwestie van tijd voordat criminelen ook pasjes met de nieuwe betaalstandaard weten te misbruiken. Het blijft een kat-en-muis-spel tussen skimmer en bank.

EMV voegt versleuteling toe. De gegevens over de rekening en de transactie worden gecodeerd. Maar de manier waarop is niet state-of-the-art. De huidige betaalpassen met chip hebben nog een verouderde authentificatiemethode (dynamische DDA). Er is een nieuwere methode (cryptografisch), maar zoals vaker in de financiële wereld wordt er getreuzeld met de invoering van 'nieuwe' technieken. Je bankpas is er dus nog niet klaar voor.

Al in 2007 toontde het BBC-programma Watchdog aan dat met de betaalpas met chip fraude is te plegen. VPRO-programma Goudzoekers deed hetzelfde met de Nederlandse betaalpas met chip. Het Nieuwe Pinnen is dus niet veilig, hooguit iets minder makkelijk te skimmen dan het oude pinnen.

Criminelen richten zich altijd op de zwakste schakel in het proces en hebben dus tal van kansen, niet alleen rond die authentificatiemethode. Andere fraudemethoden waar geen chip tegen werkt, zijn bij betalen op afstand of identiteitsfraude. Maar waarschijnlijk is het een kwestie van tijd voordat de Roemenen en Bulgaren ook EMV-machines hacken en de versleuteling op de EMV-chip kraken. Of dat ze betaalautomaten al direct in de fabriek manipuleren.

 

Een extra probleem is dat huidige betaalpassen naast de chip ook nog steeds een magneetstrip hebben, omdat niet alle betaalsysteem in de wereld zijn overgestapt naar de chip. Het skimmen van magneetstrips en het betalen met de vervalste passen in magneetstriplanden heeft dus voor criminelen nog steeds zin. In Groot-Brittannië en Frankrijk, waar EMV al is ingevoerd, neemt de totale fraude met betaalpassen dan ook niet af, alleen die bij binnenlandse winkeliers en geldautomaten. Maar daar staat een groei van fraude vanuit het buitenland tegenover. 

De beveiliging van betalen moet de komende jaren nog verder omhoog. Die EMV-chip is maar een tijdelijke oplossing om de toename van de fraude te verminderen, maar het is geen oplossing voor de lange termijn. Dat kan wel liggen in het toepassen van meerdere beveiligingslagen. Niet alleen een pincode, maar bijvoorbeeld ook nog een andere code of wachtwoord. Of biometrie. Zo zijn er al experimenten met betalen met herkenning van bloedvaten. Wie weet.

Dat biedt ook kansen voor mobiel betalen, dat in meerdere opzichten veiliger zou kunnen zijn dan via pasjes. De NFC-techniek voor contactloos betalen met smartphones is klaar om door te breken, maar het zal nog jaren duren voordat financiële partijen en consumenten eraan gewend zijn. Duidelijk is wel dat die EMV-chip alleen uiteindelijk weinig zal helpen. Er zijn meer maatregelen nodig om veilig betalen te garanderen.


@Roosch, 3 jaren geleden
afbeelding van @Roosch

Goed artikel. Waar ik alleen geneigd ben 2010 te schrijven ipv 2011 hebben jullie dat probleem andersom:

'De schade van skimming was in de eerste helft van 2011 zo'n 12 miljoen euro.'

Zou wel heel hard gaan als het 12 miljoen is in de eerste drie dagen van het jaar. ;-)

iOS BRIGHT.app gebruiker, 3 jaren geleden
afbeelding van iOS BRIGHT.app gebruiker

In Frankrijk doen ze dat allang.

ToMiKoN, 3 jaren geleden
afbeelding van ToMiKoN

In België "pinnen" we al jaren met de chip. Ik kan me het niet herinneren wanneer het gestart is, maar al meer dan 5 jaar.

joris, 3 jaren geleden
afbeelding van joris

Bij de Jumbo (Tilburg) en alle BP's is het volgens mij al een maand of 6 op deze manier. En ik pin tegenwoordig overal op deze manier en bijna overal werkt het ook eigenlijk... Soms kijkt een cassière me aan van wat doe jij nou, maar zelfs dan wil het nieuwe pinnen vaak nog gewoon werken..

Raven, 3 jaren geleden
afbeelding van Raven

In Zuid-Afrika wordt al minstens een jaar zo betaald.

iOS BRIGHT.app gebruiker, 3 jaren geleden
afbeelding van iOS BRIGHT.app gebruiker

Slimmers zijn idd bijna altijd Roemenen, kijk maar naar alle arrestaties in Nederland http://www.google.nl/search?q=skimmer+roem...

Bezoeker, 3 jaren geleden
afbeelding van Bezoeker

Hier is de Smart Card Detective, een DIY device waarmee je EMV transacties kunt onderscheppen, monitoren en wijzigen.

http://www.cl.cam.ac.uk/~osc22/scd/

Simon90, 3 jaren geleden
afbeelding van Simon90

Ik denk wel dat het in het begin regelmatig zal voorkomen dat mensen per ongeluk hun pinpas in het apparaat laten steken. Met het huidige systeem houd je je pas immers in je hand.

HTC gebruiker Reneng, 3 jaren geleden
afbeelding van HTC gebruiker  Reneng

dat is mij laatst overkomen; kwam een medewerker mij de pas achterna brengen.

hansdegebruiker, 3 jaren geleden
afbeelding van hansdegebruiker

Een nagemaakte bankpas met de info van de magneetstrip is in sommige Zuid- of Oost-Europese landen ook te gebruiken om te betalen, zonder code.

eeeehhh volgens filmpje hebben ze dit in Engeland getest en word het daar ook door criminelen misbruikt.

Arjan, 3 jaren geleden
afbeelding van Arjan

Toch best jammer dat er niet een manier bedacht is waarmee je de pas wel meteen weer kan verwijderen. Of in ieder geval direct na het intikken van je pincode.

Niet langer meer "u kunt al beginnen met pinnen" en dan op het apparaat "wacht op bedrag" als je aan het eind van de band al bezig bent met het inpakken van je boodschappen terwijl de rest van de boodschappen nog gescand wordt. :-(

Arjan, 3 jaren geleden
afbeelding van Arjan

Oei, en natuurlijk ook nog:

In sommige gevallen, bij betaalautomaten die naast pinnen ook betalen met de Chipknip accepteren, kan het zijn dat bij het insteken van de pas de betaalautomaat vraagt of een betaling vanuit de Chipknip of als pinbetaling verwerkt moet worden.

Veel veiliger allemaal, maar ook véél onhandiger, zoals wel uit de instructievideo blijkt.


NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.

The Bright Bunch
inloggen aanmelden

Wie is nu Hier?

Er zijn momenteel 0 Bright Bunch leden en 45 bezoekers online.