ING schaft de TAN codes af

Al geruime tijd worden klanten van ING bank langs diverse wegen geïnformeerd over het afschaffen van TAN codes voor het bevestigingen van transacties. TAN staat voor Trans­actie Autorisatie Nummer. Dit is een eenmalig te gebruiken code waarmee de klant een transactie bevestigt. Oorspronkelijk werden TAN codes in grote aantallen tegelijk op papier verstrekt, tegenwoordig meestal per stuk middels een SMS bericht. In dat SMS bericht staat - ter controle - ook het totaal bedrag van de transactie.

ING bank is van plan het gebruik van TAN codes nog in 2018 af te schaffen. Het alter­natief dat ING propageert is bevestigen van transacties met de ING app (op een smart phone dus). ING verkondigt ook dat er voor klanten die geen gebruik willen of kunnen maken van een app op een smart phone een alternatief komt.

Op de web site van ING is (eind september 2018) geen informatie over dat alternatief te vinden. Ik heb hierover contact gehad middels de chat functie op de ING web site en ook de medewerkers achter die chat functie hebben mij niet wijzer gemaakt. Ze weten alleen dat er een alternatief komt. Kennelijk houdt ING dat alternatief ook geheim voor haar eigen medewerkers. In het enquêteformulier (na afloop van de chat) heb ik aangegeven dat ik het vreemd vind dat ING haar eigen klantencontact medewerkers in het ongewis laat over zaken die binnen enkele maanden gaan gebeuren.

Wie wil er nu geen gebruik maken van de ING app?

• Sommige mensen hebben geen smart phone.
• Veel smart phones krijgen al geruime tijd geen updates meer van de fabrikant en zijn daardoor niet veilig genoeg voor geldzaken.
• Sommige mensen vinden bevestigen van transacties op een apparaat waarmee ze ook transacties (kunnen) invoeren onvoldoende veilig.

Persoonlijk val ik in de laatste groep. Met de ING app op mijn smart phone zou een hacker die - zonder dat ik dat weet - controle heeft over die smart phone kunnen wachten tot ik de ING app start en dan allerlei transacties kunnen invoeren en die ook gelijk bevestigen.

Voor mijn eigen veiligheid voer ik transacties altijd in via de ING web site die ik benader met een PC en bevestig ze met een TAN code die ik per SMS ontvang en waarin - ter controle - het totaalbedrag van de transactie staat. Een hacker zou dus zowel mijn PC als mijn mobiele telefoon onder controle moeten hebben, of op een of andere manier het SMS bericht met TAN code moeten onderscheppen. Die 2-factor beveiliging is een stuk moeilijker te doorbreken dan alleen de beveiliging van mijn smart phone.

Die ING app komt beslist niet op mijn smart phone.

Wat zou toch dat alternatief van ING zijn?

Ik vermoed dat ING nog geen goed werkend alternatief heeft en op het laatste moment zal besluiten het gebruik van TAN codes via SMS voort te zetten voor die klanten die geen gebruik willen of kunnen maken van de ING app.

Maar ING kan natuurlijk ook terug gaan naar TAN codes op papier. Dat is minder veilig en de klanten moeten die lijst echt goed opbergen. TAN codes via SMS zijn veiliger dan TAN codes op papier omdat de klant het bedrag van de transacties in het SMS bericht kan controleren en doordat de code maar beperkte tijd geldig is.

Als ING autorisatie met TAN codes via SMS toch afschaft zonder een goed alternatief te bieden dan moet ik op zoek naar een andere bank.

Aanvulling 2018-11-12

ING gaat voor klanten die niet met de ING app willen of kunnen werken de ING scanner beschikbaar stellen. Uit de aankondiging maak ik op dat dit een apparaatje is dat een kleurpatroon op het scherm van de computer leest en de gebruiker vraagt een (geheim? persoonlijk?, gegenereerd?) getal in te toetsen. Het is ook onduidelijk of dat getal ingetoetst moet worden op een toetsenbord op de scanner, dan wel op de PC. Invoering is voorjaar 2019; we gaat het zien.