Ton kwijt zonder contact met bank: alarm over bankhelpdeskfraude bij Bunq

Fijn dat jullie aandacht aan dit (grote!) probleem besteden. Phishing is sinds COVID aan een opmars bezig en alleen samen kunnen we er iets aan doen.

Dat betekent ons inziens: media die mensen waarschuwt, politie die fraudeurs opspoort en vervolgt, banken die transacties in de gaten houden en mensen waarschuwen, en telecom- en internetbedrijven die ook de boel in de gaten houden en ernaar handelen. Banken hebben een belangrijke rol in het waarborgen van veiligheid, maar met de opkomst van digitale technologieën is dit een gedeelde verantwoordelijkheid geworden: alleen als alle partijen samenwerken kunnen we bankfraude effectief tegengaan.

Puntsgewijs antwoord op je vragen:

Veiligheid staat bij ons op één. We kiezen daarom al jaren bewust voor GEEN telefonische support, juist om phishing te voorkomen. Al ons contact verloopt uitsluitend via de beveiligde app-omgeving. Het wordt gebruikers (herhaaldelijk) duidelijk gemaakt dat we nooit telefonisch contact opnemen:
- elke e-mail die we naar gebruikers sturen (automatische e-mails zoals bijvoorbeeld de welkomst e-mail)  
- bij sign-up in de app  
- wanneer je een overboeking doet (via app of web)  
- via nieuwsbrieven  
- en zelfs via werknemers hun LinkedIn foto.

De bunq-app is (heel) erg goed beveiligd, via zogenaamde '2 factor authentication'. Dat betekent dat je eerst je telefoon toegang moet geven via biometrische verificatie (bij nieuwe apparaten moet je je gezicht laten scannen voordat het nieuwe apparaat bij je rekening mag). Voor betalingen boven €100 (totaal per dag) moet je bovendien je persoonlijke pincode ingeven. Deze 2 tezamen zijn 2 factoren. Wanneer mensen slachtoffer worden van phishing betekent dit dat ze, tegen alle waarschuwingen in, zowel toegang hebben gegeven tot een nieuw apparaat (via een gezichtsscan), als ook hun pincode hebben overhandigd.

Bij het goedkeuren van een nieuwe telefoon krijg je bovendien een extra waarschuwing: zowel via een notificatie als via een e-mail. Zo kan de gebruiker alsnog onmiddellijk actie ondernemen als ze iemand anders toegang hebben gegeven tot hun rekening. De gebruiker heeft dan verschillende opties om hun rekening veilig te houden. Ze kunnen via de app toegang direct blokkeren, contact opnemen met ons noodnummer (waarna de rekening onmiddellijk wordt geblokkeerd) of ze kunnen contact opnemen via SOS-support (waarbij ze binnen 10 minuten worden geholpen).

Ondanks al deze voorzorgsmaatregelen worden sommige mensen helaas toch slachtoffer. Zodra dit bericht ons bereikt zetten we alles op alles om de schade te minimaliseren: we blokkeren direct alle rekeningen en proberen de reeds gedane overboekingen terug te halen. Voor dat laatste zijn we volledig afhankelijk van medewerking van andere banken. Wanneer er onverhoopt een rest-schade overblijft nemen we zowel de wettelijke voorschriften als de richtlijnen van de NVB mee voor het beoordelen van een eventuele compensatie. Hierbij is van belang in hoeverre mensen zelf (mede)verantwoordelijk zijn voor de ontstane schade.
Als voorbeeld: stel dat iemand aanbelt, om je pinpas én pincode vraagt, en je deze informatie daadwerkelijk verstrekt (nalatigheid), dan is dat een andere situatie - hoe spijtig ook - dan wanneer iemand je pinpas kopieert en je pincode afkijkt.

[Anydesk]

Anydesk is een uitstekend voorbeeld van waarom het zo belangrijk is samen te werken. Met deze software zet je namelijk je computer volledig open voor derden om alles te doen en laten wat ze maar willen: bankoverboekingen (van welke bank dan ook), je e-mails inzien, je gegevens kopiëren en/of aanpassen, je browsergeschiedenis inzien, je foto’s/filmpjes bekijken, etc.Wij hebben echter geen enkele invloed of toegang tot Anydesk. Het zou dus heel goed zijn om met de softwareontwikkelaar in contact te treden om te zien wat zij doen tegen fraude. Er is namelijk een enorme hoeveelheid fraude te zien via dit platform.

[Bereikbaarheid]

De bereikbaarheid langs diverse kanalen bij bunq heb ik reeds in m'n vorige e-mail toegelicht. Uiteraard zijn we altijd aan het kijken hoe we zaken nog beter en duidelijker kunnen maken, en treden daartoe vaak en graag in overleg.

Wat we merken is dat gebruikers vaak te laat beseffen dat ze ergens in zijn getrapt, en dan in blinde paniek niet goed weten hoe ze moeten handelen. Ook in die gevallen doen we ons best om duidelijk en onmiddellijk klaar te staan en de slachtoffers bij te staan, maar vaak is het dan al te laat.

[Limieten]

Voor wat betreft de wachttijd bij nieuwe limieten: dit heeft bunq een hele tijd geleden al ingevoerd, nog voordat het bij anderen op de radar stond. Evaluatie wees uit dat het geen verschil maakte voor de fraudegevallen, terwijl het wel leidde tot veel klachten van onze gebruikers.

Daarom hebben wij het toen teruggedraaid. Het is denk ik goed te beseffen hoe dit soort fraude werkt: als er een vertraging in zit zegt de zogenaamde "bankmedewerker" simpelweg: dank u voor uw medewerking, ik bel u morgen terug om zeker te weten dat u veilig bent. Mensen worden er dan alsnog (een dag later) ingeluisd.
De limieten zoals je die stelt zijn onvolledig:- tot €100 per dag: goedgekeurd apparaat- tot €5000 per dag: goedgekeurd apparaat én logincode- voor kaarten: tot €1000 per dag, kaart en pincode nodig- cash opnames: €250/dag.- om je limiet te wijzigen: goedgekeurd apparaat én logincode

[Cijfers]

De NVB vraag heb ik volgens mij in mijn vorige antwoord reeds toegelicht. Sinds jaar en dag geeft bunq geen cijfers vrij die direct herleidbaar zijn tot onze gebruikers om hun privacy te beschermen. Toegang tot gegevens van de fraudehelpdesk heb ik niet, maar eergister las ik bijvoorbeeld dat er vorig jaar 28 miljoen buit is gemaakt. Dat bunq gebruikers oververtegenwoordigd zouden zijn lijkt dus haaks te staan op de werkelijke situatie.Tot slot: we zouden heel graag aandacht willen vragen voor meer samenwerking. Als bank doen wij er alles aan om mensen zo veilig mogelijk te houden. Het zou ontzettend helpen als media meer aandacht aan dit probleem besteden, en deze criminele bendes opgespoord en opgepakt worden. Misdaad zou niet moeten lonen.

Aanvullende vraag redactie Kassa:

"Wij hebben genoteerd dat jullie standaardlimiet voor overboekingen naar IBANS van derden 5000 euro bedraagt en dat de maximale limiet 1000.000 euro bedraagt (voor persoonlijk gebruik want ons programma richt zich op consumenten). Bron: bunq. Mocht dat niet kloppen, horen wij het graag uiterlijk vandaag."

Antwoord bunq:

Het klopt dat voor wat betreft bancaire overboekingen de limiet te veranderen is. Naar aanleiding van gebruikersverzoeken is het maximum verhoogd omdat velen grote bedragen overmaken van en naar bunq, bijvoorbeeld bij aan- of verkoop van een huis. Voor kaarten gelden overigens andere limieten (zoals eerder aangegeven). En bij spaarrekeningen geldt het maximum van 2 overboekingen per maand.

1. Hoeveel klachten (ivm oplichting, slachtoffer zijn van spoofing, bankhelpdeksfraude, phishing) tegen Bunq heeft Kifid ontvangen in respectievelijk 2022 en in 2023 en in 2024 (tot nog toe)?

2022: 6 klachten, zijn alle 6 door de bank met de klanten geschikt.
2023: 4 klachten, waarvan 2 met bemiddeling opgelost, 1 niet-behandelbaar omdat het een zakelijke rekening is (Kifid alleen bevoegd dit soort klachten van consumenten te behandelen) en 1 nog in behandeling.
2024: 7 klachten, waarvan 1 afgerond, 6 klachten nog in behandeling.

2. Is er sprake van een toename van dit soort klachten tegen Bunq bij Kifid?

Nee, het beeld is wisselvallig.  In 2024 zien we in een periode van 3-4 maanden evenveel klachten als in heel 2022; in 2023 waren er slechts 4 van dit soort klachten tegen Bunq.  

3. Wat is de aard van de klachten tegen Bunq die Kifid ziet?

Divers: spoofing, bankhelpdeskfraude, phishing, boilerroomfraude. Het gaat in de klachten wel direct over grote schades, variërend van 11.000 tot 71.000 euro schade. In meerdere klachten komt terug dat oplichters gebruikmaken van sms-berichten met een link; consumenten ontvangen van hun Bunq ook sms-berichten en kunnen de sms-berichten van de criminelen (die er uit zien als een bericht van de bank) niet onderscheiden van de sms-berichten van Bunq zelf.

Meerdere Consumenten beklagen zich dat zodra zij zich bewust zijn dat ze slachtoffer zijn van oplichting en contact zoeken met de bank, het dan lastig is om snel met de bank in contact te komen en/of iemand te spreken te krijgen in het Nederlands.

4.  In welke mate zijn deze klachten tegen Bunq opgelost met bemiddeling en/of een coulanceregeling?
 
In 2022 en 2023 zijn de klachten over bankhelpdeskfraude/spoofing/phishing tegen Bunq meestal opgelost met bemiddeling (8x). 

5. En in hoeverre zijn er uitspraken gedaan over dit soort zaken?

In 2022 t/m heden is in 4 klachtzaken een uitspraak gedaan.
- 2024: 1 uitspraak (GC 2024-0124: vordering afgewezen, consument grof nalatig geweest en bunq hoeft niet te vergoeden)
- 2023: 2 uitspraken (GC 2023-0832: vordering afgewezen; GC 2023-0531: vordering toegewezen)
- 2022: 1 uitspraak (GC 2022-0562; vordering afgewezen).

Wanneer de klacht van Bunq-klanten niet naar tevredenheid door de bank wordt opgelost, dan kunnen mensen met hun klacht terecht bij Kifid. Mogelijk kan Kifid met inzet van bemiddeling een oplossing vinden, of we doen uitspraak.