8 min Security

Focus op gemak bij Bunq maakt klanten doelwit voor cybercriminelen

Focus op gemak bij Bunq maakt klanten doelwit voor cybercriminelen

Bunq presenteerde zich ooit als het hippe, duurzame alternatief voor ouderwetse banken. Een techbedrijf met Silicon Valley-achtige aspiraties, waar de ‘gebruikerservaring’ belangrijker is dan alleen geld verdienen. Dat imago is de afgelopen dagen aan gruzelementen gegaan, juist ómdat het bedrijf zijn service uitbesteedt aan chatbots of zaken via zijn app neerlegt bij de eigen klanten. Slachtoffers van oplichting voelen zich daardoor alsof ze nergens terecht kunnen.

De NOS en dagblad NRC berichtten gezamenlijk over de lijdensweg die meerdere klanten van Bunq hebben moeten ondergaan nadat ze via bankfraude gemiddeld 60.000 euro per persoon kwijtraakten aan oplichters. Daaronder bevinden zich uitschieters tot 200.000 euro. Hele pensioenen zijn door deze oplichterspraktijken verdwenen.

De criminelen kregen onder meer toegang tot bankrekeningen via sms’jes met daarin een link, zogenaamd van Bunq afkomstig. Klikte een klant daarop, dan volgde een ‘verontrust’ telefoontje van een medewerker, in werkelijkheid de oplichter, over een mogelijke poging tot fraude.

Rekeningen leeggeplunderd

De behulpzame stem aan de andere kant van de lijn zou de klant wel door de stappen loodsen die nodig waren om de rekening te herstellen. Waarna de gedupeerde live kon meekijken hoe diens rekening werd leeggeplunderd.

De diefstal gebeurde op verschillende manieren. Soms werd gezichtsherkenning misbruikt, of werden inlogcodes afgestaan via phishingtactieken. Andere keren wisten de criminelen malware te installeren op het device van de gebruiker om zo de controle over te nemen. De verzamelterm is bankhelpdeskfraude.

Wat de zaken gemeen hebben: de Bunq-klanten hebben zélf gegevens verstrekt aan de criminelen. Daardoor kan hen in theorie nalatigheid worden verweten. Dat zou betekenen dat ze kunnen fluiten naar compensatie, gedeeltelijk of niet.

Bijna onmogelijk om een mens te spreken

En dat is in principe ook de lijn die Bunq tot nu toe aanhoudt. Geen van de slachtoffers is volledig schadeloos gesteld. Maar dé reden waarom Bunq nu de schijnwerpers op zich gericht ziet, is vooral omdat de slachtoffers zich door hun bank in de steek gelaten voelen. Zo was het bijvoorbeeld knap lastig om een mens van vlees en bloed te spreken te krijgen.

Lukte dat wel, dan moest de communicatie vaak in het Engels, zonder dat er bij de medewerker honderden kilometers ver weg een gevoel van urgentie of medeleven te bespeuren was. Berichtjes werden met een standaard ‘have a nice day’ afgesloten of godbetert met juich-emoji’s.

Uit de interviews met gedupeerden blijkt dat ze eigenlijk veel kwader zijn op de manier waarop Bunq hun gevallen heeft behandeld dan op de criminelen zelf. Van oplichters weet je wat je kunt verwachten, maar van je bank verwacht je behulpzaamheid. Zeker een bank als Bunq, die zich erop laat voorstaan de klantervaring centraal te stellen en bij de oprichting beloofde het helemaal anders te doen dan de grote jongens. Geen risicovolle investeringen en niet gokken met andermans geld in het casino van de aandelenbeurs.

Nooit geloofd in fysieke kantoren

Bunq zou de klantervaring altijd op de eerste plaats zetten, geholpen door innovatieve technologie. De online klantervaring, wel te verstaan, want de bank heeft nooit in fysieke kantoren geloofd, en eigenlijk ook niet in telefoonverbindingen.

Doel was gewoon goede betaaldiensten leveren, waarbij de bank dankbaar gebruikmaakte van de mogelijkheden van mobiel internet, chatbots en de App Stores van deze wereld. Als klant heb je nooit veel meer nodig gehad dan die app om al je bankzaken te regelen. Daarin was Bunq echt een voorloper.

Een rekening openen is sneller gepiept dan een pizza bestellen. Betalingen verrichten, spaarpotjes maken of -geheel in stijl- je uitgavenpatroon ‘CO2-neutraal maken’, alles kun je zelf regelen, via de app of online. Vele banken volgden de afgelopen jaren dit voorbeeld. Dat gedupeerde rekeninghouders dan nergens meer met vragen terecht kunnen wanneer de nood het hoogst is, toont de grenzen van deze benadering.

Daglimiet afgeschaft

De hang naar een optimale klantervaring heeft er zelfs toe geleid dat Bunq de afkoelingsperiode afschafte voor het overmaken van grote bedragen. De meeste banken hanteren een daglimiet voor zulke handelingen, die je als klant eventueel (tijdelijk) kunt ophogen wanneer grote betalingen nodig zijn. Dat vonden klanten alleen maar lastig, aldus de bank. Zo’n afkoelingsperiode zou bovendien niet helpen, omdat “criminelen dan een paar uur later, de volgende dag of week weer terugbellen”.

In sommige gevallen wisten criminelen het ontbreken van zo’n hinderlijke afkoelingsperiode te misbruiken door snel een spaarrekening om te zetten in een betaalrekening -kan gemakkelijk bij Bunq- en deze vervolgens te plunderen.

Geen vluchtheuvels bij ongeregeldheden

Het klantenbestand is de afgelopen tijd flink gegroeid, met name omdat Bunq schermt met hogere rentepercentages op spaarrekeningen, tot wel 2,46 procent. Dat trok nieuwe klanten. De typische klant voor Bunq is de ijkpersoon Eva. Dat klinkt als een zelfbewuste, hippe jonge vrouw. In de praktijk zitten tussen de nieuwe klanten waarschijnlijk ook aardig wat vermogenden, soms wat ouder, van het type dat zonnepanelen op hun dak hebben gelegd en in een elektrische auto rijden. Die indruk wordt versterkt door de hoge organisatiegraad van de gedupeerde klanten, die zich inmiddels opmaken voor een juridisch gevecht tegen de bank.

Het is goed voor te stellen hoe criminelen deze klanten als aantrekkelijke doelwitten zien. Omdat Bunq geen fysieke kantoren heeft en de enige servicemedewerkers in Turkije en Bulgarije zitten om de chatbots aan te sturen, hebben de klanten weinig vluchtheuvels in het geval van serieuze ongeregeldheden. Dat maakt hen kwetsbaar voor criminelen.

Een zo goed mogelijk product aanbieden aan klanten lijkt bij Bunq op gespannen voet te staan met security. Een dergelijke gemak-dient-de-mens-houding is tot daar aan toe, maar wanneer klanten daardoor hun geld kwijtraken, toont Bunq zich ineens een ouderwets strenge bewaker van de eigen spaarkas en luidt het ‘eigen schuld’.

‘Alsof je je autosleutels weggeeft’

Bij de laatste Bunq update (wat traditionelere banken wellicht een jaarvergadering zouden noemen) in het DeLaMar Theater in Amsterdam, wist één van de gedupeerden zich onuitgenodigd naar binnen te praten. Na de mededeling van Bunq-CEO Ali Niknam dat zijn bank voor het eerst winst had gemaakt, confronteerde ze hem met de vraag wat Bunq voor haar en de andere gedupeerden kon betekenen. “Niks”, luidde het antwoord. “Het is alsof je buiten op straat iemand je autosleutels geeft. Dan is je auto weg.”

In een tijd waarin cybercriminelen steeds slimmer en brutaler te werk gaan, kun je eigenlijk niet verwachten dat klanten alle trucs te allen tijde doorhebben. Die hebben gewoon een baan, moeten de (klein)kinderen van school halen, boodschappen doen en de was opvouwen. Per ongeluk op een link klikken of niet helemaal scherp opletten bij een verdacht telefoontje kan iedereen overkomen.

Oók security hoort bij de klantbeleving

Klanten hebben in het huidige security-landschap de expertise en veiligheidsmaatregelen nodig die ze zelf niet uit de hoge hoed kunnen toveren. Een bank, zeker een die het klanten anderszins zo makkelijk maakt, zou daarin moeten voorzien, of dat láten doen door een security-expert. Dus niet alleen makkelijk maken om een rekening te openen, maar ook ijzeren security leveren zonder de klantervaring te schaden. Dat zou pas innovatief zijn.

De communicatiestrategie die CEO Niknam hanteert na de storm van kritiek over de manier waarop het bedrijf met gedupeerde klanten omgaat, is het veralgemeniseren van het probleem. In een post op LinkedIn naar aanleiding van de negatieve berichtgeving schrijft hij: “Online fraude is een enorm probleem. Geen bunq- of bankenprobleem, maar een maatschappelijk probleem. Een probleem dat we alleen samen kunnen oplossen, mits we durven kijken naar de objectieve feiten.” Hij stelt vervolgens dat onder de 10.000 mensen die vorig jaar slachtoffer werden van bankfraude in Nederland, ‘maar’ 85 Bunq-klanten waren.

Probleem algemeen maken

Dergelijk veralgemeniseer zie je wel vaker wanneer er problemen zijn bij een bedrijf of sector. ‘Wij zijn het niet alleen, het ligt aan iedereen.’ Maar ja, diefstal of te hard rijden zijn in dat opzicht ook problemen van iedereen. Individuele dieven of hardrijders zijn nog steeds verantwoordelijk voor wat ze doen, evenals de instanties die worden geacht te handhaven. Het is een begrijpelijke strategie, maar nogal zwak om het leed van de individuele gedupeerden op die manier van je te laten afglijden.

Dat het ‘maar’ om 85 gevallen gaat zegt daarnaast zeker niet alles. De groep gedupeerden die nu in de media zijn, raakte de afgelopen maanden gezamenlijk 1,6 miljoen euro kwijt. Dat is meer dan Bunq-klanten in heel 2023 verloren aan oplichting, dat was toen 1,5 miljoen euro. Dat is een zorgelijke ontwikkeling, het lijkt erop dat de speciale interesse van cybercriminelen waar het groeiende Bunq-klantenbestand zich in mag verheugen, niet voor niets is.

Praktijk past niet meer bij imago

Overigens is het Bunq nooit gelukt om met hun aanvankelijke strategie geld te verdienen. Inmiddels belegt de ‘Bank of the Free’ volop in hypotheken en vastgoedprojecten. De overname van het Ierse CapitalFlow in 2021 leverde veel meer inkomsten op uit rente dan het ooit kon verdienen met hun klantvriendelijke producten. Het spaargeld van de nieuwe klanten kan inmiddels ook weer renderen bij de ECB, die inmiddels weer positieve rente uitdeelt.

Dat kan en mag allemaal. Bunq mag zelf weten hoe het zijn geld verdient. Maar inmiddels past de praktijk niet meer bij de identiteit die de bank zichzelf toedicht. Zoals wel meer merken die zich het imago van morele verhevenheid aanmeten (waar veel bedrijven zich voor de maand juni opportunistisch in regenboogkleuren hijsen, is het logo van Bunq al jarenlang een soort pride-vlag) is de val naar beneden extra hard wanneer de realiteit opeens niet meer lijkt te stroken met dat imago.

Lees ook: Politie arresteert vier mannen voor phishing en bankfraude