ING schaft de TAN codes af

Al geruime tijd worden klanten van ING bank langs diverse wegen geïnformeerd over het afschaffen van TAN codes voor het bevestigingen van transacties. TAN staat voor Trans­actie Autorisatie Nummer. Dit is een eenmalig te gebruiken code waarmee de klant een transactie bevestigt. Oorspronkelijk werden TAN codes in grote aantallen tegelijk op papier verstrekt, tegenwoordig meestal per stuk middels een SMS bericht. In dat SMS bericht staat - ter controle - ook het totaal bedrag van de transactie.

ING bank is van plan het gebruik van TAN codes nog in 2018 af te schaffen. Het alter­natief dat ING propageert is bevestigen van transacties met de ING app (op een smart phone dus). ING verkondigt ook dat er voor klanten die geen gebruik willen of kunnen maken van een app op een smart phone een alternatief komt.

Op de web site van ING is (eind september 2018) geen informatie over dat alternatief te vinden. Ik heb hierover contact gehad middels de chat functie op de ING web site en ook de medewerkers achter die chat functie hebben mij niet wijzer gemaakt. Ze weten alleen dat er een alternatief komt. Kennelijk houdt ING dat alternatief ook geheim voor haar eigen medewerkers. In het enquêteformulier (na afloop van de chat) heb ik aangegeven dat ik het vreemd vind dat ING haar eigen klantencontact medewerkers in het ongewis laat over zaken die binnen enkele maanden gaan gebeuren.

Wie wil er nu geen gebruik maken van de ING app?

• Sommige mensen hebben geen smart phone.
• Veel smart phones krijgen al geruime tijd geen updates meer van de fabrikant en zijn daardoor niet veilig genoeg voor geldzaken.
• Sommige mensen vinden bevestigen van transacties op een apparaat waarmee ze ook transacties (kunnen) invoeren onvoldoende veilig.

Persoonlijk val ik in de laatste groep. Met de ING app op mijn smart phone zou een hacker die - zonder dat ik dat weet - controle heeft over die smart phone kunnen wachten tot ik de ING app start en dan allerlei transacties kunnen invoeren en die ook gelijk bevestigen.

Voor mijn eigen veiligheid voer ik transacties altijd in via de ING web site die ik benader met een PC en bevestig ze met een TAN code die ik per SMS ontvang en waarin - ter controle - het totaalbedrag van de transactie staat. Een hacker zou dus zowel mijn PC als mijn mobiele telefoon onder controle moeten hebben, of op een of andere manier het SMS bericht met TAN code moeten onderscheppen. Die 2-factor beveiliging is een stuk moeilijker te doorbreken dan alleen de beveiliging van mijn smart phone.

Die ING app komt beslist niet op mijn smart phone.

Wat zou toch dat alternatief van ING zijn?

Ik vermoed dat ING nog geen goed werkend alternatief heeft en op het laatste moment zal besluiten het gebruik van TAN codes via SMS voort te zetten voor die klanten die geen gebruik willen of kunnen maken van de ING app.

Maar ING kan natuurlijk ook terug gaan naar TAN codes op papier. Dat is minder veilig en de klanten moeten die lijst echt goed opbergen. TAN codes via SMS zijn veiliger dan TAN codes op papier omdat de klant het bedrag van de transacties in het SMS bericht kan controleren en doordat de code maar beperkte tijd geldig is.

Als ING autorisatie met TAN codes via SMS toch afschaft zonder een goed alternatief te bieden dan moet ik op zoek naar een andere bank.

Aanvulling 2018-11-12

ING gaat voor klanten die niet met de ING app willen of kunnen werken de ING scanner beschikbaar stellen. Uit de aankondiging maak ik op dat dit een apparaatje is dat een kleurpatroon op het scherm van de computer leest en de gebruiker vraagt een (geheim? persoonlijk?, gegenereerd?) getal in te toetsen. Het is ook onduidelijk of dat getal ingetoetst moet worden op een toetsenbord op de scanner, dan wel op de PC. Invoering is voorjaar 2019; we gaat het zien.

Nederlandse steun voor Islamitische strijders

In Syrië is de Islamitische strijdgroep Jabhat al-Shamiya actief. Volgens het openbaar ministerie (OM) is die groep salafistisch, jihadistisch en een criminele organisatie met een terroristisch oogmerk. Desondanks steunde het ministerie van Buitenlandse Zaken deze strijdgroep met pick-up-trucks, satelliettelefoons, uniformen, matrassen, rugzakken, camera's en laptop computers.

Tegenstrijdige signalen

Kennelijk denken ze bij Buitenlandse Zaken anders over Jabhat al-Shamiya (en andere soortgelijke groepen) dan bij het OM. Nu zijn het ministerie BZ en het OM natuurlijk twee verschillende organisaties, maar ze vallen wel beide onder de Nederlandse staat. De advocaten van teruggekeerde Syrië gangers hebben er nu een fantastisch argument bij voor de verdediging van hun cliënten: Als het ministerie van BZ niet weet dat X een terroristische organisatie is; dan kunt u mijn cliënt toch niet verwijten dat die dat ook niet wist?

Als de rechter daarin meegaat wordt het moeilijk die teruggekeerde strijders langdurig uit de samenleving te houden. En voor de daaruit voortvloeiende onveiligheid mogen we dan een stel eigenwijze losgeslagen idioten bij ons eigen ministerie van Buitenlandse Zaken bedanken.

Wat zou er nog meer kunnen gebeuren?

Ik voorzie een parlementaire enquête en een minister of staatssecretaris die het boetekleed aantrekt en vertrekt.

Dat lost het onderliggende probleem natuurlijk niet op. Er lag jaren geleden al een motie die het ministerie van BZ afraadde om steun te geven aan gewapende strijders in Syrië. Ook heeft het kabinet een Extern Volkenrechtelijk Adviseur die geraadpleegd had moeten worden alvorens dit soort steun te geven. Maar dat is niet gebeurd. Tenslotte zijn er volkenrechtelijke problemen met elke steun aan opstandelingen die een gewapende strijd voeren tegen de regering van een soevereine staat.

Kennelijk is het bij het ministerie van BZ normaal om gewoon te doen wat men leuk vindt; ongeacht hoe gevaarlijk het is. Dat wijst op een cultuurprobleem bij het ministerie van BZ. En dat soort problemen lost geen enkele minister binnen één kabinetsperiode op. Dit soort ongelukjes gaan we de komende 10 jaren nog wel vaker zien.