Al een hele tijd volg ik met verbazing de onveilige praktijken van financiële instellingen op het gebied van verificatie van de identiteit [1].
Privacy First heeft tijdens de deelname aan de consultatie door DNB gewezen op de riskante praktijken van banken en andere instellingen [2], in hun artikel schreven ze:

Kopietje paspoort
De wijze waarop financiële instellingen de identiteit van hun cliënten, vertegenwoordigers en uiteindelijk belanghebbenden verifiëren veroorzaakt veel problemen. Privacy First wijst er in de reactie op dat de wet niet verplicht tot het maken, opslaan en langdurig bewaren van kopieën van identiteitsbewijzen en adviseert DNB hier een verbeterde aanpak aan de financiële instellingen voor te stellen.

Desondanks gaan de onveilige praktijken door. Ook IT-experts krijgen er mee te maken.

Vandaag publiceerde expert Jaap-Henk Hoepman [3] op zijn blog het artikel ‘Raisin, stop met het faciliteren van identiteitsfraude‘ [4]. Hij beschrijft dat hij een vreemd verzoek van deze grote Europese financiële instelling krijgt om een nieuwe kopie van zijn ID te uploaden, omdat  het oude bijna is verlopen. Hij vindt dat vreemd (waar staat dat er een nieuwe ID moet worden verschaft?) en de manier waarop deze instelling het vraagt is gewoon gevaarlijk. De e-mail ziet er uit als een perfecte phishing mail met verwijzing naar een onbekend domein. Nog erger is dat Raisin als alternatief biedt dat de kopie-ID per e-mail kan worden opgestuurd.

Speciaal voor iedereen die denkt dat e-mail veilig is, Hoepman schrijft (markering door mij, machinevertaling):

Bovendien suggereert de e-mail serieus dat ik ook een scan van mijn paspoort per e-mail naar hun klantenservice kan sturen. WTF? Serieus? E-mail is notoir onveilig. Klantenservice-afdelingen zijn notoir onveilig. En als iemand een scan van mijn paspoort te pakken krijgt, loop ik een groot risico op identiteitsdiefstal. Ze vergeten me ook (handig) te vertellen hoe ik een min of meer beveiligde scan van mijn paspoort moet maken om identiteitsdiefstal te voorkomen, door bepaalde velden te verbergen en een watermerk toe te voegen.

Dit zou een lesje moeten zijn voor de financiële sector. Zouden ze over lerend vermogen beschikken?

Noten:

[1] Zie onder meer:

• DNB ziet cyberdreiging toenemen maar besteedt geen aandacht aan de communicatie van financiële instellingen met hun klanten,
• Vraag & antwoord Wwft: “Wij ontvingen van ING een brief waarin het identiteitsbewijs wordt gevraagd van de ondernemer en om dat toe te sturen naar een in onze ogen obscuur e-mailadres”,
• Onveilige verificatie van de identiteit door een financiële instelling.

Bekijk ook mijn artikelen met de tag heridentificatie door financiële instellingen.

[2] Zie het artikel Deelname Privacy First aan consultatie DNB, waarin wordt verwezen naar de consultatiebijdrage (pdf) in reactie op deze consultatie.

[3] Hij schrijft over zichzelf: “I am a guest professor at the PRISEC – Privacy And Security group of Karlstad University, Sweden.
I am an associate professor in privacy enhancing protocols and privacy by design at the Digital Security group of the Institute for Computing and Information Sciences of the Radboud University Nijmegen, the Netherlands. I am a principal scientist of the Privacy & Identity Lab, and member of iHub, Radboud University’s interdisciplinary research hub on Digitalization and Society.”

[4] Raisin, stop abetting identity theft.