Itsme lanceert anti-fraudefuncties

Itsme lanceert anti-fraudefuncties – maar lost het de kwetsbaarheid van gebruikers op?

Na een fraudegolf die 300 Belgen 1,2 miljoen euro kostte, introduceert identiteitsplatform Itsme nieuwe beveiligingsmaatregelen. Waarschuwingsschermen, risicoanalyse en samenwerking met banken moeten oplichting voorkomen. Maar de vraag blijft: beschermen deze functies gebruikers echt, of verschuiven ze vooral de verantwoordelijkheid?

Foto’s: © Itsme

Afgelopen zomer werd pijnlijk duidelijk hoe kwetsbaar Itsme-gebruikers zijn. Minstens 300 Belgen werden opgelicht via het platform, goed voor ruim 1,2 miljoen euro schade. Het patroon was telkens hetzelfde: slachtoffers kregen een melding in de app om een actie te bevestigen, nietsvermoedend klikten ze akkoord, en fraudeurs maakten misbruik van die goedkeuring om geld over te boeken of accounts over te nemen.

Itsme presenteert nu een reeks nieuwe functies als antwoord op die fraudegolf. Het platform zegt te willen “innoveren om fraudeurs voor te blijven”, maar de maatregelen roepen ook vragen op. Want hoeveel kunnen technische oplossingen bereiken als het zwakste punt in de keten de gebruiker zelf blijft?

Waarschuwingsscherm tijdens telefoongesprekken

De meest zichtbare nieuwe functie is een extra verificatiescherm dat verschijnt wanneer de app detecteert dat je aan het bellen bent terwijl je een Itsme-actie ontvangt. Dit is een directe reactie op social engineering-aanvallen, waarbij oplichters telefonisch contact opnemen, zich voordoen als bankmedewerker of overheidsinstantie, en slachtoffers onder druk zetten om snel een transactie te bevestigen.

Het idee is simpel: als je belt en tegelijkertijd een Itsme-melding krijgt, is dat verdacht. De pop-up waarschuwt expliciet voor mogelijke fraude en vraagt je extra na te denken voordat je akkoord gaat. Maar uiteindelijk blijft de beslissing bij de gebruiker. De app kan je waarschuwen, maar niet voorkomen dat je toch doordrukt.

En daar zit meteen de zwakte. Fraudeurs zijn niet dom. Ze weten dat mensen onder druk irrationeel handelen. Een waarschuwingsscherm is geen barrière als iemand aan de telefoon overtuigend genoeg klinkt en de urgentie opvoert. “Uw rekening wordt geblokkeerd als u nu niet bevestigt”, “Er is een verdachte transactie, we moeten dit onmiddellijk stoppen” – dit soort tactieken werken, ook met een waarschuwingsscherm ertussen.

Bovendien: fraudeurs passen zich aan. Als ze weten dat Itsme waarschuwt bij telefoongesprekken, gaan ze simpelweg over op WhatsApp, Telegram of een andere methode waarbij de app geen gesprek detecteert. De maatregel helpt, maar het is symptoombestrijding, geen structurele oplossing.

Antifraude-functies bij Itsme
Antifraude-functies bij Itsme. © Itsme

Risicoanalyse: delen van data met banken

De tweede grote wijziging is minder zichtbaar voor gebruikers, maar mogelijk effectiever. Itsme gaat voortaan geanonimiseerde informatie delen met banken over de context waarin een transactie plaatsvindt. Denk aan signalen zoals:

  • Wordt de actie uitgevoerd vanaf een nieuw apparaat?
  • Is het telefoonnummer gekoppeld aan het account recent gewijzigd?
  • Voert de gebruiker plots ongewoon veel handelingen kort na elkaar uit?

Dit soort patronen kunnen wijzen op fraude of gecompromitteerde accounts. Itsme stuurt die signalen door naar banken, die vervolgens een risicoanalyse maken. Bij verdenking van fraude kunnen zij een transactie vertragen of in uitzonderlijke gevallen zelfs blokkeren. Gebruikers hoeven hier zelf niets voor te doen – het gebeurt automatisch op de achtergrond.

Dit klinkt veelbelovend, maar roept ook vragen op. Wat houdt “geanonimiseerd” precies in? Kunnen banken geen individuele gebruikers identificeren via combinaties van signalen? En hoe transparant is het proces? Krijg je als gebruiker te horen waaróm een transactie geblokkeerd werd, of word je simpelweg geconfronteerd met een weigering zonder uitleg?

Bovendien: wat als het algoritme foutief is? Stel dat je legitimerend een nieuw toestel gebruikt, net je nummer hebt gewijzigd na een providerwisseling, en meerdere betalingen achter elkaar doet omdat je boodschappen, brandstof en een parkeerbon betaalt. Ben je dan plotseling verdacht? En wie is aansprakelijk als een terechte transactie geblokkeerd wordt en je daardoor schade lijdt?

Itsme zegt voorlopig alleen met banken samen te werken, maar sluit niet uit dat ook andere partners in de toekomst toegang krijgen tot deze risicoanalyse. “Het spreekt voor zich dat andere klanten met dezelfde risico-inschattingsinfrastructuur, een risk engine, deze ontwikkeling ook kunnen inzetten”, aldus woordvoerder Hannah Cloetens. Dat betekent mogelijk verzekeraars, telecomproviders, energiemaatschappijen – allemaal partijen die straks meekijken naar jouw transactiegedrag. De privacy-implicaties zijn aanzienlijk, ook al gebeurt het geanonimiseerd.

Gebruiksgemak: QR-codes en NFC-updates

Naast anti-fraudemaatregelen introduceert Itsme ook twee functies die het gebruiksgemak moeten vergroten. De eerste is dat QR-codes de standaard worden voor desktopaanmeldingen. Nu gebeurt al 60 procent van alle desktopaanmeldingen via QR-code, en dat wordt voortaan de default-optie. Een logische stap, want QR-codes zijn veiliger dan inloggen met gebruikersnaam en wachtwoord – phishers kunnen geen QR-code onderscheppen zoals ze dat wel kunnen met inloggegevens.

De tweede is NFC-ondersteuning voor het updaten van je identiteitskaart. Tot nu toe moest je naar een kaartlezer of bankautomaat wanneer je een nieuwe eID had opgehaald. Omdat moderne identiteitskaarten NFC bevatten, kan die koppeling voortaan draadloos via je smartphone. Handig, en een stap richting volledige digitalisering.

Beide functies zijn welkom, maar ook niet revolutionair. QR-codes zijn al jaren best practice, en NFC-ondersteuning is standaard bij bijna alle mobiele betaal- en identiteitsapps. Itsme haalt vooral in wat andere platforms al doen.

Bescherming of verschuiving van verantwoordelijkheid?

De kern van de zaak is dit: technologie kan helpen, maar lost het fundamentele probleem niet op. Fraudeurs richten zich niet op zwakke technologie, maar op zwakke gebruikers. Social engineering werkt omdat mensen vertrouwen, onder druk gezet kunnen worden, of simpelweg niet begrijpen hoe fraude in elkaar zit.

Een waarschuwingsscherm helpt als iemand nog twijfelt. Maar iemand die al overtuigd is dat hij met zijn bank praat, klikt door. Risicoanalyse helpt als er patronen zijn. Maar een slimme fraudeur imiteert normaal gedrag, gebruikt het originele toestel van het slachtoffer (bijvoorbeeld door fysieke toegang via diefstal), of spreidt transacties in de tijd.

Daarom is de vraag of Itsme genoeg doet om gebruikers echt te beschermen, of dat het vooral verantwoordelijkheid verschuift. “We waarschuwen je, maar jij beslist” – dat klinkt als een disclaimer, niet als preventie. “We delen data met banken, zij blokkeren verdachte transacties” – dat klinkt als afschuiven van verantwoordelijkheid naar financiële instellingen.

Wat Itsme niet doet

Opvallend is wat Itsme niet introduceert. Geen verplichte tweede factor voor risicovolle transacties, zoals een biometrische check of een timeout van enkele minuten. Geen sessiegebonden verificatie, waarbij een Itsme-aanvraag alleen bevestigd kan worden als hij afkomstig is van dezelfde IP-reeks of locatie als je smartphone. Geen educatieve campagne om gebruikers structureel te trainen in het herkennen van fraudepogingen.

Deze maatregelen zouden ingrijpender zijn, maar ook effectiever. Ze zouden gebruikers niet alleen waarschuwen, maar daadwerkelijk beperken in hun mogelijkheid om fouten te maken. Ja, dat gaat ten koste van gebruiksgemak. Maar na 1,2 miljoen euro schade is de vraag of gebruiksgemak nog het belangrijkste criterium moet zijn.

Concurrentie slaapt niet

Itsme heeft een dominante positie in België, maar is niet de enige speler. Banken ontwikkelen hun eigen authenticatiemethoden, de EU werkt aan een Europese digitale identiteitswallet, en internationale platformen zoals Apple en Google bieden alternatieven. Als Itsme niet snel genoeg innoveert op veiligheid, riskeren ze reputatieschade en marktaandeel.

De fraudegolf van afgelopen zomer was een wake-up call. Deze nieuwe functies zijn een reactie, maar voelen meer als damage control dan als daadwerkelijke innovatie. “Fraudeurs voor blijven” vereist meer dan waarschuwingsschermen en data-delen – het vereist structurele aanpassingen die gebruikers fysiek beperken in het maken van fouten, ook als ze onder druk staan.

Conclusie: stap vooruit, maar niet genoeg

Itsme’s nieuwe anti-fraudemaatregelen zijn beter dan niets. Een waarschuwingsscherm helpt bij twijfelgevallen, risicoanalyse kan verdachte patronen opvangen, en betere gebruikerservaring via QR en NFC is altijd welkom. Maar fundamenteel verandert er weinig. De verantwoordelijkheid blijft bij de gebruiker, en fraudeurs passen zich aan.

Als Itsme het serieus meent met “fraudeurs voor blijven”, moet het verder gaan. Verplichte timeouts, tweede factoren voor risicovolle transacties, educatie, en transparantie over hoe risicoanalyse werkt. Anders blijft het platform kwetsbaar, niet door technische zwakheden, maar door menselijke.

En zolang dat zo is, zullen fraudeurs blijven scoren – waarschuwingsschermen of niet.

Gerelateerde Berichten

Trending

De Lijn start ritten met zelfrijdende bussen in Leuven
De Lijn zet zelfrijdende bussen in op Leuvense lijn: “Toekomst van mobiliteit” of duur experiment?
Windows 11-bug verbergt wachtwoord-knop
Windows 11-bug verbergt wachtwoord-knop: onhandig, maar typerend voor Microsoft’s kwaliteitscontrole
Dell - Microsoft Windows
Dell: mensen weigeren massaal Windows 11, zelfs als hun pc het aankan – en dat zegt genoeg
Netflix legt casten verder aan banden
Netflix blokkeert casten: “betere ervaring” of gewoon meer controle (en advertenties)?