Uitlegparty: Het nieuwe pinnen

Uitlegparty: Het nieuwe pinnen

03-01-2011 15:10 Laatste update: 29-04-2018 01:56
Author profile picture

Tonie van Ringelestijn

Eindredacteur

Pinnen met magneetstrip gaat eruit. Betalen gaat straks met de chip op de bankpas: insteken in plaats van doorhalen.

Dit jaar starten banken en betaalbedrijven in Nederland met de invoering van de Europese betaalstandaard EMV, wat staat voor Europay Mastercard Visa. Het systeem faciliteert betalen via chip, ter vervanging van de onveilige magneetstrip in je bankpas.

De magneetstrip wordt hierdoor in Nederland vanaf 2012 niet meer gebruikt bij het pinnen. In plaats daarvan gaan de transacties via de chip, die ook al op de meeste pasjes zit. Reden voor de invoering is een beveiliging tegen skimmen, waarbij criminelen de pinautomaten manipuleren om de gegevens van de magneetstrip te kopiëren. De EMV-chip voegt een vorm van versleuteling toe. Dat maakt het iets veiliger, maar helaas absoluut niet waterdicht.


Vanaf 1 januari 2012 is de invoering definitief, maar veel winkels beginnen eerder met de uitrol van chipbetalen. Alle pinautomaten moeten immers worden vervangen: dat kost maanden tijd. Tweederde van de betaalautomaten is al klaar voor de chip. PIN-eigenaar Currence verwacht dat dat deze zomer 90 procent van de apparaten is omgebouwd. Aan de betaalpassen zelf ligt het niet. Bijna alle Nederlandse bankpassen, meer dan 90 procent, hebben al een chip die voor EMV geschikt is. En wie een nieuwe pas ontvangt, krijgt er automatisch eentje die EMV-ready is.

Nog niet alles rond EMV in Nederland is helemaal rond. De brancheorganisatie van winkeliers wil bijvoorbeeld dat retourpinnen ook mogelijk wordt gemaakt. Het geld van geretourneerde aankoop wordt dan elektronisch teruggestort op de rekening van de klant. De EMV-partijen en de banken moeten hiervoor aanpassingen doorvoeren, maar dat is nog niet gebeurd. Veel winkeliers wachten daar niet op. Ze zullen steeds vaker de chiplezers in hun pinapparaat verplichten en klanten vragen de pas in het apparaat te steken in plaats van hem door de magneetstriplezer te halen. Dat overkwam ondergetekende onlangs al in een winkel in Amsterdam-Zuid.

Dat wordt voor veel mensen even wennen bij het betalen. Om voorlichting te geven is er de campagne Het Nieuwe Pinnen. Een speciaal campagnebureau komt in februari met een commercial. Ook gaan banken zelf hun klanten informeren via de eigen sites. De komst van EMV betekent eigenlijk ook het afscheid van het Nederlandse merk PIN. Maar voor de meeste Nederlanders zal het betalen per bankpas in winkels toch gewoon nog vele jaren 'pinnen' blijven heten.




Het in stand houden van de zwaar verouderde magneetstriptechniek voor PIN heeft de laatste jaren gezorgd voor een flinke stijging van pinpasfraude. Fraude was in 2005 goed voor 0,003 procent van de totale pin-omzet, nu is dat 0,032 procent geworden. De schade van skimming was in de eerste helft van 2010 zo'n 12 miljoen euro. In heel 2009 was dat 36 miljoen, in 2008 was het 31 miljoen.

Vooral Oost-Europese bendes zijn bij skimming betrokken. De vaak jonge criminelen laten zich bijvoorbeeld insluiten in een tuincentrum en na sluitingstijd kruipen ze tevoorschijn om aan het pinautomaat te sleutelen. Ze plaatsen een apparaatje dat de gegevens op de magneetstrip registreert en eventueel eentje die de pincode afvangt of filmt. De pincode is niet per se nodig. Een nagemaakte bankpas met de info van de magneetstrip is in sommige Zuid- of Oost-Europese landen ook te gebruiken om te betalen, zonder code.




Is EMV echt zoveel veiliger? Misschien in eerste instantie. Maar het is een kwestie van tijd voordat criminelen ook pasjes met de nieuwe betaalstandaard weten te misbruiken. Het blijft een kat-en-muis-spel tussen skimmer en bank.

EMV voegt versleuteling toe. De gegevens over de rekening en de transactie worden gecodeerd. Maar de manier waarop is niet state-of-the-art. De huidige betaalpassen met chip hebben nog een verouderde authentificatiemethode (dynamische DDA). Er is een nieuwere methode (cryptografisch), maar zoals vaker in de financiële wereld wordt er getreuzeld met de invoering van 'nieuwe' technieken. Je bankpas is er dus nog niet klaar voor.

Al in 2007 toontde het BBC-programma Watchdog aan dat met de betaalpas met chip fraude is te plegen. VPRO-programma Goudzoekers deed hetzelfde met de Nederlandse betaalpas met chip. Het Nieuwe Pinnen is dus niet veilig, hooguit iets minder makkelijk te skimmen dan het oude pinnen.

Criminelen richten zich altijd op de zwakste schakel in het proces en hebben dus tal van kansen, niet alleen rond die authentificatiemethode. Andere fraudemethoden waar geen chip tegen werkt, zijn bij betalen op afstand of identiteitsfraude. Maar waarschijnlijk is het een kwestie van tijd voordat de Roemenen en Bulgaren ook EMV-machines hacken en de versleuteling op de EMV-chip kraken. Of dat ze betaalautomaten al direct in de fabriek manipuleren.

Een extra probleem is dat huidige betaalpassen naast de chip ook nog steeds een magneetstrip hebben, omdat niet alle betaalsysteem in de wereld zijn overgestapt naar de chip. Het skimmen van magneetstrips en het betalen met de vervalste passen in magneetstriplanden heeft dus voor criminelen nog steeds zin. In Groot-Brittannië en Frankrijk, waar EMV al is ingevoerd, neemt de totale fraude met betaalpassen dan ook niet af, alleen die bij binnenlandse winkeliers en geldautomaten. Maar daar staat een groei van fraude vanuit het buitenland tegenover.

De beveiliging van betalen moet de komende jaren nog verder omhoog. Die EMV-chip is maar een tijdelijke oplossing om de toename van de fraude te verminderen, maar het is geen oplossing voor de lange termijn. Dat kan wel liggen in het toepassen van meerdere beveiligingslagen. Niet alleen een pincode, maar bijvoorbeeld ook nog een andere code of wachtwoord. Of biometrie. Zo zijn er al experimenten met betalen met herkenning van bloedvaten. Wie weet.

Dat biedt ook kansen voor mobiel betalen, dat in meerdere opzichten veiliger zou kunnen zijn dan via pasjes. De NFC-techniek voor contactloos betalen met smartphones is klaar om door te breken, maar het zal nog jaren duren voordat financiële partijen en consumenten eraan gewend zijn. Duidelijk is wel dat die EMV-chip alleen uiteindelijk weinig zal helpen. Er zijn meer maatregelen nodig om veilig betalen te garanderen.