Digitalisering levert nieuwe mogelijkheden voor criminelen op. Dat geldt ook voor PSD2, de door Europa voorgeschreven wijzigingen in de financiële dienstverlening, zo blijkt uit een rapport van het Anti Money Laundering Centre (AMLC).
AMLC is een onderdeel van de belastingdienst met een eigen website en beoogt met private partijen samen te werken inzake criminaliteitsbestrijding.
PSD2-rapport AMLC
Aan het rapport “De tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen” is meegewerkt door auteurs afkomstig van de overheid (AMLC, FIU, politie) en door vertegenwoordigers van private partijen (een bank en twee mensen van de Big4 accountants).
PSD2 creëert twee nieuwe financiële betaaldienstverleners:
- de betaalinitiatiedienstverlener (PISP);
- de rekeninginformatiedienstverlener (AISP).
De rekeninginformatiedienstverlener krijgt niet alleen de gegevens van de eigen klanten, maar ook gegevens van de wederpartijen bij de transacties (‘derden’) die deze klanten doen. Over de risico’s voor deze derden is in het AMLC rapport niets te vinden.
Wel worden in het rapport andere risico’s besproken, onder meer op toetreding van onbetrouwbare en criminele aanbieders en op cybercrime via reguliere nieuwe partijen. De huidige phishing praktijken zullen worden uitgebreid (paragraaf 3.2), zie onder meer:
Consumenten kunnen met deze frauduleuze TPP’s in aanraking komen door bijvoorbeeld op nagemaakte websites of mobiele betaalapps hun gegevens in te voeren; een werkwijze die niet (veel) verschilt van phishing. De crimineel kan deze gegevens vervolgens misbruiken en met behulp daarvan informatie over de consument inzien en/of betalingen verrichten uit naam van deze consument (zie verder paragraaf 3.2.2). Onduidelijk is welke detectiesystemen er momenteel in staat zijn en/of erop ingericht zijn dit soort fraudepatronen te onderkennen en tegen te gaan (zie verder paragraaf 3.2.3). Het is aantrekkelijk voor criminelen om te opereren in landen met een mild ‘toezichtsklimaat’.
De digitale verwarring bij consumenten en MKB, nu al groot, zal bij toetreding van nieuwe partijen alleen maar toenemen, zo zeggen de auteurs van het rapport. (Iets wat ook mijn waarneming is.)
Risico’s voor betalingsdienstgebruikers
Dat de risico’s voor de rekeninghouders groot zijn, blijkt uit de aanbevelingen in het rapport.
Naast aanbevelingen die betrekking hebben op meer mogelijkheden van de overheid om toegang te krijgen tot de administratie van betaaldienstverleners, doet de werkgroep ook aanbevelingen om de positie van de betalingsdienstgebruikers te versterken:
- voorlichten van betalingsdienstgebruikers over de veranderingen in betaalmogelijkheden ten gevolge van de PSD2 en de mogelijke risico’s die hiermee gemoeid zijn;
- voorlichten van betalingsdienstgebruikers over betaalmogelijkheden die gepaard gaan met een hoog frauderisico en (grote) incidenten hieromtrent;
- toegang verlenen aan betalingsdienstgebruikers tot een online omgeving met een overzicht van de door hen geautoriseerde TPP’s, voorzien van de mogelijkheid om autorisaties (tijdelijk) te kunnen blokkeren;
- actueel houden en voor alle betrokken partijen online (geautomatiseerd) toegankelijk maken van het Europese register met ingeschreven, vergunde betaaldienstverleners.
Meer informatie:
- Rapport De tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen.
- Website AMLC.
- Eerdere berichten op dit blog over PSD2.
Aanvulling 27 juni 2018
In het buitenland wordt geprocedeerd over de toegang van de rekeninginformatiedienstverleners tot spaarrekeningen:
ING hoeft derden geen toegang tot spaarrekening te verlenen #PSD2 #digitalthieves https://t.co/xen0EjLBHo
— Ellen Timmer (@Ellen_Timmer) 26 juni 2018
Ellen Timmer - juridische artikelen en berichten 