Voorkomen van creditcardfraude

Transcriptie

1 Voorkomen van creditcardfraude Maatschappelijk Overleg Betalingsverkeer Mei 2007

2 Voorkomen van creditcardfraude In de de module Inzicht in de wereld van creditcards wordt een algemene beschrijving gegeven van de markt voor creditcards, met onder meer een overzicht van fraude met creditcards. De module Voorkomen van creditcardfraude geeft verdieping in aard, ontstaan en het voorkomen van fraude. Deze module is niet bestemd voor algemene verspreiding, maar kan intern gebruikt worden door veiligheidsafdelingen van banken en creditorganisaties en door de politie en andere opsporingsinstanties. Indien andere instanties deze module willen gebruiken, dan is afzonderlijke toestemming nodig van de Werkgroep Veiligheid van het Maatschappelijk Overleg Betalingsverkeer. Publicatie uit de module vereist altijd expliciete toestemming van de auteurs. Een aantal begrippen worden in deze module niet nader omschreven, daar zij verondersteld worden bekend te zijn vanuit de module Inzicht in de wereld van creditcards. Inleiding Fraude met creditcards houdt in essentie in dat criminelen transacties doen in naam van een ander door het overnemen van de oorspronkelijk aan de kaarthouder uitgegeven kaart, door het stelen van de kaartgegevens of door overname van iemands hele identiteit. In het eerste hoofdstuk wordt uiteengezet hoe een crimineel kaarten en gegevens kan ontvreemden. In het tweede hoofdstuk gaan we nader in op hoe de crimineel de frauduleus verkregen gegevens kan misbruiken om zichzelf te verrijken. Het derde hoofdstuk behandelt de maatregelen die marktpartijen tegen diefstal en frauduleus gebruik kunnen nemen, waarna in hoofdstuk vier de aansprakelijkheid voor de geleden schade aan de orde komt. Omdat cardhouders regelmatig direct met fraude geconfronteerd worden, krijgt het vaak grote media aandacht. Hierdoor ontstaat een overall onveilig beeld van creditcards, terwijl de feiten leren dat de creditcardfraude slechts ongeveer 0,07 % van de wereldwijde creditcardomzet bedraagt. Bovendien worden er tal van maatregelen genomen om transacties met creditcards veilig te laten verlopen. Fraudevormen met creditcards zoals hierna omschreven kunnen zich in sommige gevallen ook voordoen met debitcards, daar bij beide producten gebruik wordt gemaakt van een magneetstrip Diefstal kaart- en/of kaartgegevens 1.1 Onderschepping kaart ( card not received or intercepted ) De meeste creditcardmaatschappijen wereldwijd verzenden hun kaarten per post naar hun klanten. Hierdoor is het mogelijk dat criminelen een uitgegeven (gepersonaliseerde) creditcard in bezit krijgen nog voordat deze de kaarthouder bereikt. De kaart kan worden onderschept gedurende het proces van 2

3 de postverwerking (tijdens het vervoer, het sorteren of het bezorgen door de postbode) of door het stelen van de post uit de brievenbus (hengelen). 1.2 Diefstal en verlies kaart Het gaat hier om de situaties waarin de kaarthouder de oorspronkelijke creditcard kwijtraakt aan derden die deze zonder verdere aanpassingen of bewerkingen misbruiken. Dat kan door oneerlijke vinders na verlies en door criminelen die creditcards ontvreemden uit de woning, uit de auto, of via zakkenrollerij onderweg, maar ook via speciale trucs bij geld- en betaalautomaten. Enkele voorbeelden van misleiding zijn: Diefstal bij wegrestaurants ( jasje/jasje truc ) Bij met name wegrestaurants zijn er bendes actief, die achter mensen gaan zitten, die hun jasje over de stoel hangen. Deze criminelen hangen zelf ook hun jas over de stoel en doen dan voor komen alsof ze iets uit hun eigen jas pakken, maar pakken bijvoorbeeld een portemonnee uit de andere jas. Hieruit wordt vervolgens slechts een creditcard ontvreemd, waarna de portemonnee weer wordt terug gestopt. Men doet dit om ontdekking door de kaarthouder zo lang mogelijk uit te stellen, zodat er genoeg tijd is om fraudetransacties te plegen. Verwisseling ( bankbiljettruc ) De bankbiljettruc is een truc bij een geldautomaat of een betaalautomaat. Nadat de kaarthouder de pincode heeft ingetoetst, wijst een vaak goedgeklede man of vrouw hem erop dat er een bankbiljet is gevallen. Als hij bukt om het bankbiljet op te rapen, verwisselt een handlanger snel de pas voor een andere met een identiek uiterlijk. Omdat de handlanger de pincode heeft afgekeken, kunnen de daders met de buitgemaakte pas betalingen en opnames verrichten. Het is daarom raadzaam na een transactie te controleren of de juiste pas is terugontvangen. Lebanese loop Bij een `Lebanese loop manipuleert de crimineel de geldautomaat met een strip, waardoor de pas niet meer uit de pasmond komt. De klant denkt dat zijn pas is ingeslikt, de crimineel haalt vervolgens de pas met de strip uit de pasmond. Vaak toont men zich behulpzaam door aan te geven dat de pin nogmaals ingetoetst moet worden. Uiteraard wordt dan de pincode afgekeken. 1.3 Kopiëren van fysieke kaarten (valse cards) Kaartgegevens kunnen ook worden gestolen zonder dat de kaarthouder zijn creditcard kwijtraakt. Het gaat hier om situaties waar kaartgegevens worden gekopieerd tijdens het gebruik bij geld- of betaalautomaat of waar de kaart wordt meegegeven ter betaling (b.v. in een restaurant). Doel is om hiermee valse kaarten aan te maken. De kaarthouder merkt hier meestal niets van. 3

4 Skimming Skimmen is het buiten medeweten van de kaarthouder kopiëren van de gegevens van de magneetstrip van een echte kaart, met het doel om frauduleuze transacties te verrichten. Bijna altijd wordt de complete inhoud van de magneetstrip van een creditcard gekopieerd (total skimming) naar een magneetstrip op een plastic kaartje met of zonder design. De apparatuur om te skimmen wordt steeds kleiner en wordt steeds vaker handmatig ingebouwd in betaalautomaten (POS-terminals) of voorgezet op geldautomaten (ATM s.). Ingeval van skimming bij geldautomaten wordt meestal ook gebruik gemaakt van een minicamera of een lay-over over het pinpad om de pin te bemachtigen. Met skimmingapparatuur kan ook een extra kopie van een magneetstrip gemaakt worden tijdens een rechtmatige transactie zonder dat de kaarthouder dit merkt (b.v. in een restaurant of bij een benzinestation). Met de gestolen gegevens worden valse kaarten aangemaakt. Counterfeit is in de regel de verzamelnaam voor valse of vervalste kaarten. We maken nog de volgende onderverdeling : - "fake cards" zijn geheel valse credit cards (op echte creditcards lijkende falsificaten). - "altered cards" zijn deels vervalste kaarten (bij voorbeeld een echte creditcard met in de magneetstrip de gegevens van een andere creditcard). - "white plastic" zijn in principe blanco cards voorzien van een magneetstrip met daarop de gegevens van bestaande creditcards. Fake cards en altered cards worden vaak in toonbanksituaties ( face-to-face situaties) gebruikt en white plastic veelal in geldautomaten. 1.4 Diefstal kaartgegevens zonder fysieke kaart Kaartgegevens kunnen ook gestolen worden zonder dat de kaart aanwezig is. De kaartgegevens worden niet uit een magneetstrip gekopieerd maar uit databases of de gegevens worden onderschept bij het gebruik voor transacties die op afstand plaatsvinden via telefoon of internet. Hacking Hacking is de ongeautoriseerde toegang tot computersystemen of netwerken. Fraudeurs halen opgeslagen gegevens, zoals persoons- en creditcardgegevens, op om daarna frauduleuze transacties te verrichten (zogeheten databasehacking). Hacking is in bepaalde werelddelen momenteel een groot probleem, omdat bijvoorbeeld geïntegreerde kassasystemen of reserveringssystemen complete gegevens van een magneetstrip opslaan. Dit is echter contractueel niet toegestaan. Er wordt momenteel hard gewerkt om deze vorm van opslag van gegevens tegen te gaan. Veelal zijn computersystemen onvoldoende beveiligd en bestaat er een gebrek aan besef van dit risico. 4

5 De internationale vereisten voor de opslag van data zijn vastgelegd in de Payment Card Industry Data Security Standards (PCI DSS). Deze vereisten zijn te vinden op de sites van Visa en MasterCard. ( en ) Card Not Present-situaties De creditcard kan ook gebruikt worden voor betalingen op afstand, waarbij het rechtstreekse contact tussen de winkelier en de klant ontbreekt en de creditcard niet fysiek aan de winkelier kan worden overhandigd, de zogeheten Card Not Present transactions. CNP-transacties houden een groter risico in, omdat met een aantal verkregen identiteitsgegevens de antwoorden op eventuele controlevragen gegeven zouden kunnen worden. Bij fysieke transacties is dat moeilijker omdat van de kaarthouder de pin of de handtekening (eventueel ook via een identiteitsbewijs) en van de creditcard fysieke en in magneetstrip of EMV-chip verborgen veiligheidskenmerken worden gecontroleerd. CNP-transacties zijn in te delen in drie groepen: 1. Post en telefoontransacties (Mail Order & Telephone Order, kortweg MOTO) 2. Internettransacties (E-commerce) en 3. Reserveringen. Bij bestellingen via post en telefoon biedt de creditcard uitkomst als een veiliger alternatief voor het meezenden van contant geld of cheques. Post en telefoonbestellingen maken echter steeds meer plaats voor bestellingen via internet, maar ook hier voorziet de creditcard in een behoefte omdat over de hele wereld aankopen kunnen worden gedaan. Steeds meer e-commerce exploitanten zijn er toe over gegaan creditcards te accepteren. Ook bestaat de behoefte in bepaalde sectoren (hotels, autoverhuurbedrijven) om enige zekerheid te verkrijgen voor een reservering, waartoe het creditcardnummer op afstand gebruikt kan worden om een controle te kunnen doen op de kredietwaardigheid van de klant. Doordat geen fysieke kaartcontrole kan plaatsvinden, houden CNP-transacties ook een groter risico tot het frauduleuze gebruik van kaartgegevens (zie hoofdstuk 2) in. Het grotere risico vertaalt zich ook in verschillen in aansprakelijkheid ingeval van fraude (zie hoofdstuk 4). 5

6 1. 5. Diefstal identiteit Identiteitsfraude is het gebruik of beter misbruik van de frauduleus verkregen persoonlijke informatie (identiteitsdiefstal) om in andermans naam toegang te krijgen tot vooral computersystemen, vormen van elektronische dienstverlening en betaal- en creditcardrekeningen. Hier worden twee vormen onderscheiden: a. application fraud, criminelen gebruiken gestolen of valse documenten om in andermans naam bijvoorbeeld een creditcard aan te vragen en te gebruiken (nieuw product). b. account-take-over, criminelen nemen de controle van een bestaande kaart(rekening) over door zich voor te doen als de echte kaarthouder (bestaand product). Er is sprake van identiteitsdiefstal als criminelen op slinkse wijze persoonsgegevens (naam, geboortedata, adres, paspoortnummers, rekening- en/of creditcardnummers of andere financiële gegevens) ontvreemden om in andermans naam ten eigen bate meestal financiële transacties te verrichten, zoals het aanvragen en gebruik van een creditcard. Identiteitsdiefstal kan langs tal van wegen: bij inbraak in woning of auto, het stelen van post uit brievenbussen of via het onderscheppen van post, via het kopiëren van kaartgegevens bij kaartgebruik in winkel of geldautomaat, via het kopiëren van bestanden met persoonsgegevens van klanten (door medewerkers van bedrijven) of via het hacken van computersystemen, via informatie in afval- en prullenbakken, via valse meldingen en door met een valse identiteit persoonlijke informatie op te vragen via internet ( phishing ) of telefoon ( social engineering ). Dumpsterdiving Dumpsterdiving is het vergaren van identiteitsgevens vanaf bij voorbeeld weggegooide poststukken uit met name prullenbakken of vuilniszakken. Valse melding Door middel van een valse melding van verlies/diefstal de creditcard laten blokkeren en dan vervolgens de nieuwe creditcard onderscheppen in het posttraject. Social engineering In geval van social engineering verkrijgt een crimineel persoonlijke gegevens van een persoon door zich voor te doen als bijvoorbeeld een bankmedewerker. Een creditcardhouder wordt bijvoorbeeld gebeld met de mededeling dat zijn bestelling onderweg is. De kaarthouder die nooit een bestelling heeft gedaan neemt aan dat het gaat om een vergissing. Om de bestelling ongedaan te maken moet hij echter zijn creditcardgegevens doorgeven. En daarmee geeft hij de crimineel toegang tot zijn creditcardgegevens. Er zijn ook zaken bekend waarbij middels Voice Over IP (VOIP) klanten naar fake call centers werden geleid. 6

7 Phishing Phishing is het onder valse voorwendselen 'vissen' naar gegevens (bijvoorbeeld creditcardnummer of wachtwoord) om deze te misbruiken. Een creditcardhouder krijgt bij voorbeeld een dat gegevens gecontroleerd moeten worden. In de mail is een link, die de creditcardhouder leidt naar een nep/namaak site, die bedrieglijk lijkt op de echte site van bij voorbeeld een creditcardorganisatie of een bank. Daar wordt de creditcardhouder dan verzocht om bepaalde klant- of inloggegevens in te vullen om zogenaamd klantenbestanden te controleren of bij te werken. Ook gebeurt het dat kaarthouders bericht krijgen dat ze een prijs hebben gewonnen. Die kunnen ze echter alleen innen door de gegevens van hun creditcard bekend te maken. Phishing kenmerkt zich door: - Een onpersoonlijke benadering. Phishers kennen de naam van de aangesprokenen niet en beginnen brieven of s met 'Beste klant', 'Beste gebruiker'. - De boodschap is vaak in het Engels of in gebrekkig Nederlands. - In s wordt om persoonlijke en vertrouwelijke gegevens gevraagd. Banken en creditcardmaatschappijen vragen hun klanten in dit verband nooit via om persoonlijke gegevens, wachtwoorden en creditcardgegevens. - Er wordt ingespeeld op angstgevoelens, zoals het opheffen van rekeningen of creditcards, of er wordt gedreigd met hoge kosten als niet wordt gereageerd. Phishing is overigens iets dat zich niet (meer) beperkt tot uitsluitend s of Internet. Steeds vaker wordt bij phishing ook gebruik gemaakt van bedrieglijk echte klantenservice-telefoonnummers en/of persoonlijk contact ( social engineering ). Pharming Pharming is het onopgemerkt omleiden van internetverkeer van de ene website naar een andere, identiek uitziende nepwebsite. Het doel hiervan is gebruikersnaam en wachtwoord te ontfutselen door die data te laten invullen op die nepsite. Zo proberen criminelen persoonlijke gegevens te bemachtigen om een identiteit te stelen of toegang te krijgen tot bank- en creditcardrekeningen of om anderszins onder andermans identiteit fraude te plegen. Spyware Spyware is software die (onopgemerkt) op een computer wordt geïnstalleerd, waarna deze gegevens over de gebruiker verzamelt en doorstuurt naar een externe partij. 7

8 2. Hoe en waar worden gestolen kaarten en gegevens gebruikt? Kern van de fraude met creditcards is het gebruik van frauduleus verkregen kaartinformatie om in andermans naam toegang te krijgen tot een creditcardrekening om aankopen of geldopnames te doen. In het eerste hoofdstuk hebben we uiteengezet hoe kaartgegevens gestolen kunnen worden, in dit hoofdstuk gaan we nader in op hoe en waar criminelen de frauduleus verkregen kaartgegevens kunnen gebruiken om zich te verrijken. Inzicht in de verschillende situaties is van nut bij voorkoming of opsporing. We maken in dit hoofdstuk onderscheid in fraudesituaties met en zonder fysieke creditcard. Bovendien besteden we aandacht aan speciale vormen van fraude door kaarthouders en acceptanten. 2.1 Card present : frauderen met fysieke kaarten Fysiek gestolen kaarten Met verloren en gestolen creditcards kunnen vóór blokkering, on-line of off-line transacties plaatsvinden. Verder worden de fysiek gestolen creditcards ook gebruikt bij acceptanten die geen online verbinding met een creditcardorganisatie hebben en het transactiebedrag niet behoeft te worden geautoriseerd. Dit zijn veelal transacties onder de floorlimit of bij onbemande terminals (zoals parkeerautomaten), dus voor kleinere bedragen. Valse cards Met valse of vervalste creditcards kunnen er transacties plaats vinden als de acceptant niet onderkent dat de creditcard vals of vervalst is. Transacties met dergelijke creditcards kunnen ook plaatsvinden in bij voorbeeld geldautomaten (met pincode), waar immers niemand kijkt of de creditcard vals of vervalst is. Frauduleus aangevraagde kaarten Met frauduleus aangevraagde creditcards kan de crimineel zelf de handtekening op de creditcard plaatsen, zodat deze controlemogelijkheid is uitgeschakeld. Extra veiligheidsmaatregelen zoals geblokkeerd verzenden helpen veelal niet omdat de crimineel de complete controle over de brievenbus van het slachtoffer heeft en alleen de noodzakelijke poststukken daar uit haalt zodat ontdekking zo lang mogelijk uit blijft. 2.2 Card not present fraude (CNP) CNP-fraude vindt plaats bij het kopen op afstand via internet, telefoon, fax of post met gebruik van gestolen kaartgegevens. Probleem bij deze transacties is dat noch de creditcard noch de kaarthouder aanwezig zijn. Andere personen dan de kaarthouder zelf geven kaartgegevens door om bestelde 8

9 goederen en diensten te betalen. Die kaartgegevens kunnen op allerlei manieren zijn verkregen, zoals we hierboven zagen. We onderscheiden hier wel het kopen van goederen, die fysiek op een adres afgeleverd worden, en het onmiddellijk afnemen van een virtuele dienst, zoals het bekijken van sites. "Mail-/telephone-order fraude" Deze fraude ontstaat door schriftelijk of telefonische bestellingen te doen onder opgave van een ontvreemd creditcardnummer met zending naar het adres van de crimineel. Deze fraude komt in Nederland niet zo veel voor omdat de telefoon- en/of postorderbedrijven op grond van hun contract met de acquirer moeten kunnen aantonen, dat de bij hen bestelde goederen of diensten aan de kaarthouder zijn geleverd, als deze de desbetreffende transactie betwist. Daarom nemen deze bedrijven ook zelf maatregelen om dit soort verliezen te voorkomen. Internetfraude Hier is sprake van misbruik van een creditcardnummer en eventuele andere gegevens bij bestellingen via e-commerce of bij het gebruik van diensten via internet (bij voorbeeld downloaden van software of bekijken van erotische sites). Helaas komt hier ook fraude voor, waarbij goederen afgeleverd worden. Veelal bevinden deze afleveradressen zich buiten Nederland. Ook hier nemen de bedrijven maatregelen om fraude te voorkomen. 2.3 Overige creditcardfraude Kaarthouders Kaarthouders doen soms onterecht claims van verlies of diefstal van hun creditcard of het gebruik van hun creditcardnummer voor CNP-transacties ( first party fraud ). Als uit onderzoek blijkt dat er sprake is van een valse claim, dan wordt er in principe aangifte gedaan bij de politie en wordt de relatie opgezegd. Acceptanten Merchant collusion is de verzamelnaam van vormen van fraude waar de acceptant of één van zijn personeelsleden, in welke vorm dan ook, bij betrokken is. Onderstaand enkele vormen van fraude, waarbij de acceptant of zijn personeelsleden betrokken kunnen zijn. o Multiple imprint is het opzettelijk door de acceptant gemaakte veelvoud van verkoopwissels (sales slips), met het doel deze ter verzilvering aan te -laten- bieden. o Split sale/ticket is het voor één transactie uitschrijven van meerdere verkoopwissels (elk met een lager bedrag, doch samen gelijk aan het bedrag van de transactie) met het doel een verplichte autorisatie te ontduiken. 9

10 o Skimming door acceptant of één van zijn personeelsleden die tijdens een rechtmatige transactie een onrechtmatige kopie maakt van de magneetstrip van de creditcard en deze vervolgens beschikbaar stelt om een valse card te kunnen maken. o Het ontvreemden of onrechtmatig ter beschikking stellen van creditcardgegevens, die door de acceptant rechtmatig verkregen zijn. o Heling. Hier kan een acceptant of één van zijn personeelsleden bewust meewerken aan het laten plaatsvinden van transacties die niet door de rechtmatige kaarthouder worden gedaan. 3. Hoe diefstal kaart en data te bestrijden? Gelet op de uiteenlopende mogelijkheden om enerzijds creditcardgegevens te stelen en anderzijds die gegevens te misbruiken, zal het geen verwondering wekken dat ook de maatregelen om fraude met creditcards te voorkomen en bestrijden legio zijn. Onderstaand diagram geeft een ruime selectie van recente preventieve maatregelen, gekoppeld aan het type van fraude wat ermee bestreden wordt. Maatregelen Voorlichting aan kaarthouders x x x x x Voorlichting aan acceptanten x x x x x x EMV-chip op de card met pin x x x x EMV-chip op de card zonder pin x Veiligheidskenmerken op de kaart x Kaart geblokkeerd versturen/ophalen op kantoor x Camera's bij ATM's x x x x x Anti-skimming maatregelen ATM x CV2- controle x Verified by Visa / Mastercard Secure Code x Vereisten voor opslag van gegevens (PCI DSS) x x Monitoring van transacties x x x x x x verloren / gestolen x = deze maatregel heeft effect op aangekruiste fraudevorm diefstal in post valse aanvraag valse card CNP fraude database Hacking 3.1 Voorlichting Zowel ter voorkoming van diefstal van creditcard(gegevens) als van misbruik van gestolen data is goede voorlichting aan en dienovereenkomstig gedrag van kaarthouders en acceptanten van groot belang. Kaarthouders moeten bewust gemaakt worden van de risico s, de eigen verantwoordelijkheden en van zelf te nemen voorzorgsmaatregelen. Voorbeelden zijn het geheimhouden en bij gebruik 10

11 afdekken van de pincode, het niet laten slingeren van transactiebonnen met creditcardinfo, het controleren of de eigen creditcard wordt terugontvangen na een transactie en nagaan of de internetpagina van een e-tailer beveiligd is. In het laatste geval controleert de cardhouder of er een hangslotje rechtsonder in de menubalk van de browser verschijnt en of het adres bovenin begint met 'https' (de 's' staat voor 'secure') in plaats van htpp. Acceptanten moet worden gevraagd alert te zijn bij bestellingen (worden vreemde aantallen besteld? Is het afleveradres ongebruikelijk?). Vooral bij hoge bedragen zijn extra controles raadzaam, zoals vragen om een orderbevestiging per fax, een telefoontje naar de klant of controle van het telefoonnummer aan de hand van het telefoonboek of zelfs het weigeren van orders met opgave van 06-nummers en gratis adressen (zoals Hotmail). Gevraagd kan worden de bestelling uitsluitend op het te controleren adres af te leveren en bij aflevering kan om een handtekening worden gevraagd. 3.2 EMV-chip De industrie werkt constant aan verbetering van de veiligheid en efficiency van creditcards. Actueel is de wereldwijde vervanging van de magneetstrip door een chip. Fraudebestrijding is de belangrijkste reden voor de overgang naar deze nieuwe op chiptechnologie gebaseerde standaard. Deze zogeheten EMV-standaard is een set van specificaties waarin wordt beschreven hoe een transactie met een chip in een automaat dient te verlopen. De afkorting EMV staat voor Europay, MasterCard en Visa, maar inmiddels hebben ook American Express, Diners Club en JCB de EMV-standaard aanvaard. Bovendien zullen ook betaalpassen (debitcards) met deze technologie worden uitgerust. De EMV-chip is een belangrijke maatregel om skimming tegen te gaan, omdat de chip veel moeilijker te kopiëren is. Bovendien zal ter authenticatie niet meer de handtekening, maar een pincode worden gebruikt, zodat ook het misbruik van frauduleus verkregen data in card-present-situaties wordt bemoeilijkt. Vergeleken met magneetstripgebruik is nog een belangrijk verschil dat de creditcard niet langer door een lezer moet worden gehaald (de zwaaiende beweging), maar in de lezer van de EMVterminal moet worden gestopt ( gedipt ), net als nu bij het chippen. Magneetstrip en chip zullen nog geruime tijd naast elkaar bestaan. De strip blijft in de komende jaren ook op een EMV-geschikte kaart aanwezig voor gebruik in landen die voorlopig niet op EMV over gaan, zoals de VS. Tegelijkertijd zijn de EMV-geschikte betaalautomaten eveneens voorzien van magneetstriplezers voor producten die (nog) niet overgaan op de nieuwe chiptechnologie en voor acceptatie van creditcards (en betaalpassen) die nog niet zijn voorzien van de EMV-chip. Binnen Europa zijn echter afspraken gemaakt dat alle creditcards voorzien gaan worden van een EMV-chip. 11

12 SEPA De introductie van EMV speelt in Europa een bijzondere rol in het kader van de integratie van de betaalmarkt. Vanaf de euro-invoering in 2002 is vanuit de Europese Commissie (EC), de Europese Centrale Bank (ECB) en de Europese bancaire gemeenschap (EPC) steeds nadrukkelijker de wens uitgesproken om te komen tot één Europese markt voor betalingen in euro: de Single Euro Payments Area (SEPA). De visie achter SEPA is onder meer dat iedere inwoner overal in het eurogebied waar zijn creditcard of betaalpas geaccepteerd wordt, kan betalen (betaalautomaat) of bankbiljetten kan opnemen (geldautomaat). Een belangrijke randvoorwaarde voor deze integratie is het gebruik van standaarden. In het kader van SEPA wordt EMV onderschreven als de technologische standaard voor alle toonbankbetalingen en geldopnames met cards. Deze randvoorwaarde leidt er momenteel toe dat EMV invoeringscenario s en planningen niet uitsluitend autonoom per land of brand worden bezien maar tevens in een SEPAcontext. In Nederland kan dat leiden tot hetverdwijnen van het merk PIN en de opkomst van MasterCard/Maestro en Visa/V-Pay als debitcard functionaliteit. EMV in Nederland In Nederland is de invoering van EMV in 2005 gestart met de uitgifte van EMVcreditcards die in principe per vervaldatum worden vervangen. Op basis van de uitgifteplanningen bij de banken is de verwachting nu dat eind 2007 de meeste in Nederland uitgegeven creditcards zijn voorzien van een EMV-geschikte chip. Met de uitgifte van EMV-geschikte betaalpassen is in 2006 gestart. In 2006 hebben de meeste Nederlandse banken hun geldautomaten al voorzien van de EMV-chiptechnologie. Tevens zijn er inmiddels EMV-geschikte betaalautomaten op de markt. Op basis van een periode van natuurlijke vervanging van huidige betaalautomaten in de komende jaren zijn naar verwachting rond 2013 alle betaalautomaten in Nederland voorzien van de nieuwe EMV-technologie. 3.3 Veiligheidskenmerken op de kaart Ter voorkoming van namaak van creditcards hebben de Associates op de kaart verschillende veiligheidskenmerken aangebracht. De creditcards zijn voorzien van verschillende druktechnieken, UV-beveiliging, hologram en veiligheidskenmerken in de magneetstrip en de EMV-chip. Omdat deze veiligheidskenmerken per brand kunnen verschillen, wordt naar de betrokken Handleiding voor de acceptatie verwezen. Daarin staat vermeld welke veiligheidskenmerken een acceptant kan controleren tijdens de transactie. Aan de andere kant worden de fysieke veiligheidskenmerken minder belangrijk door de komst van de EMV-chip. Bij de EMV-chip wordt de creditcard door de kaarthouder zelf gedipt in de betaalautomaat en wordt de creditcard niet meer overhandigd aan de acceptant. De pincode en de veiligheidscontroles op de EMV-chip bieden de garantie dat er sprake is van een echte creditcard. 12

13 3.4 Maatregelen tegen fraude bij geldautomaten De Nederlandse geldautomaten zijn op de plaats van de pasinvoer extra beveiligd met een zogeheten voorzetmondje. Als een geldautomaat op die manier is beveiligd, staat op het scherm van de automaat: "Deze automaat is voorzien van een beveiligde pasinvoer." Er zijn ook diverse, niet zichtbare, maatregelen getroffen om skimming te voorkomen. Geldautomaten die alleen beschikbaar zijn tijdens kantooruren hebben over het algemeen geen extra beveiligde pasinvoer. Het speciale voorzetmondje is bedoeld om te voorkomen dat criminelen een kaartlezer kunnen plaatsen die pasgegevens kopieert. Veel Nederlandse banken hebben bij hun geldautomaten camera s geplaatst om bij misbruik van een betaalmiddel (van afstand) te kunnen zien wie het betaalmiddel heeft aangeboden. Tevens dienen deze camera s om vast te stellen of er skimmingapparatuur is geplaatst en om vernieling van geldautomaten te voorkomen. 3.5 Maatregelen tegen CNPfraude In een aantal landen zijn lokale initiatieven ontplooid om tot een (veiliger) betalingsverkeer te komen voor e-commerce transacties. In Nederland is bijvoorbeeld ideal op de markt gekomen, dat echter alleen gebruikt kan worden bij Nederlandse acceptanten in combinatie met een Nederlandse bankrekening. Bij creditcardfraude gaat het vaak om grensoverschrijdende transacties. De bestaande creditcards waren eigenlijk te weinig toegesneden voor het gebruik op het internet. Dit was dan ook mede de reden dat de verantwoordelijkheid voor deze transacties (op dezelfde wijze als bij post- en telefoontransacties) werd gelegd bij het accepterende bedrijf. De creditcardorganisaties waren veelal slechts in staat om het creditcardnummer te controleren op geldigheid en kredietwaardigheid. Authenticatie van de klant was in aanvang niet op een sluitende wijze mogelijk, daar de systemen veelal niet geschikt zijn om allerlei variabele informatie mee te kunnen zenden. SSL en CVV/CVC De veiligheid kon verbeteren door de creditcard- en betaalgegevens versleuteld over het internet te zenden via Secure Sockets Layer(SSL) technologie, waardoor onderweg geen data kunnen worden gestolen. Ook het gebruik van extra, eenvoudige controles heeft de veiligheid verhoogd, zoals de driecijferige Card Verification Value (CVV2) van Visa of Card Validation Code (CVC2) van MasterCard achterop een creditcard. Aangezien die code niet in de magneetstrip is opgenomen, kan deze check voorkomen dat transacties met geskimde creditcarddata worden gedaan. 13

14 SET-protocol Eind jaren negentig kwam er een veiliger protocol voor e-commercetransacties (SET = Secure Electronic Transaction) waarvan de implementatie echter niet van de grond kwam. Accepterende bedrijven klaagden dat er te weinig klanten waren die het SET-protocol hadden en klanten klaagden dat er te weinig bedrijven waren die het SET-protocol hanteerden. Tevens was het protocol zo veilig, dat de installatie voor veel klanten een probleem opleverde. Redenen waarom het SET-protocol het niet heeft gehaald als breed geaccepteerde veilige betaalwijze. Verified by Visa en MasterCard SecureCode(= 3D Secure) Na het SET-protocol hebben de creditcardmaatschappijen in aansluiting op de SSLtechnologie het zogeheten 3-D Secure model ontwikkeld. Tijdens de transactie tussen de kaarthouder en de acceptant vindt authenticatie plaats door middel van een password dat de kaarthouder afspreekt met zijn eigen bank/issuer. De kaarthouder dient door zijn bank/creditcardmaatschappij geregistreerd te worden voor deze service, waarbij de kaarthouder dan wordt voorzien van een password in combinatie met het kaartnummer. Ook de winkel op het internet moet voor deze dienst geregistreerd worden om een veilige transactie te kunnen verrichten. Deze winkels zijn op het internet herkenbaar aan het MasterCard SecureCode-logo en Verified by Visa-logo. Tussen de merchant en de acquirer zijn elektronische certificaten uitgewisseld om de authenticiteit van beiden te kunnen waarborgen. Om deze veilige manier van betalen te stimuleren hebben de cardschemes besloten de acceptant het voordeel van de twijfel te geven. Daar waar in andere CNP-gevallen de acceptant altijd de bewijslast heeft, wordt die nu verschoven naar de issuer. Deze zgn. liability shift geeft de acceptant een betaalgarantie tegen fraude. In zo n geval draagt de issuer de kosten van de fraude; dit zal de issuer er dan ook toe bewegen om sneller met meer klanten zo n password af te spreken. Bovendien zal hiermee het vertrouwen in betalingen op het internet toenemen. In Nederland zijn nog niet alle creditcarduitgevers klaar voor 3D Secure, maar er zijn al wel veel acceptanten die het aanbieden. In de toekomst zal waarschijnlijk gebruik gemaakt worden van de EMV-chip in combinatie met een reader om codes te genereren (zoals dit momenteel gebruikt wordt voor internetbankieren), waardoor. per transactie een uniek password ontstaat. De creditcard moet dan wel degelijk aanwezig zijn tijdens een transactie, maar de kopende en verkopende partij staan niet fysiek tegenover elkaar. Om e-commerce transacties veiliger te maken hebben de associates programma s gemaakt die boetes geven aan de acquirers die deze echter op grond van de contracten zullen doorbelasten aan de accepterende bedrijven. Als deze boetes niet betaald worden, zal de acquirer er verantwoordelijk voor zijn. Een voorbeeld zijn boetes bij overschrijding van een bepaald percentage van charge backs. Als dit percentage overschreden wordt, dan volgt een boete door de associates van 100 Euro per charge back. Het verdient aanbeveling om bij de acceptatie van creditcards in Card Not Present-situaties een 14

15 goede voorlichting te vragen van de acquirer omtrent de recente regelgeving en mogelijkheden om transacties veiliger te laten verlopen. 3.6 Monitoring van transacties Zowel issuers als acquirers gebruiken systemen om de autorisaties en transacties te monitoren. Bij verdacht gebruik van creditcards kan de issuer contact opnemen met de kaarthouder om te controleren of deze werkelijk de transactie heeft verricht. Zo wordt fraude vaak in een vroeg stadium ontdekt en kan verdere schade voorkomen worden. 4 Aansprakelijkheid Voor wat betreft de aansprakelijkheid wordt hier uitgegaan van het vijf partijenstelsel. Het gaat om de kaarthouder en de issuer (uitgever van de creditcard), de acceptant en de acquirer (verwerker van de transacties), en de associate (zoals Visa en MasterCard). De aansprakelijkheid is vastgelegd in de Algemene Voorwaarden tussen genoemde partijen. Deze Algemene Voorwaarden kunnen per partij verschillen en kunnen gedurende de relatie veranderen. Er kunnen derhalve ook geen rechten aan het onderstaande worden ontleend. 4.1 Algemeen kaarthouders De aansprakelijkheid van kaarthouders wordt geregeld in de Algemene Voorwaarden, zoals deze gelden tussen de kaarthouder en de issuer. De issuer bepaalt deze Algemene Voorwaarden, dus niet Visa of MasterCard. Het kan zijn, dat issuers besluiten om regelgeving betreffende aansprakelijkheid van de associates over te nemen in hun Algemene Voorwaarden, in het bijzonder ten aanzien van de voorwaarden tot betwisting van transacties. De Algemene Voorwaarden verschillen dus per issuer. Binnen Nederland bestaat er met name een aantal verschillen bij misbruik -situaties. De melding van verlies en diefstal moet bij sommige issuers zo spoedig mogelijk en bij andere issuers binnen 24 uur gedaan worden. Tevens wordt er onderscheid gemaakt in aansprakelijkheid tussen transacties met en zonder pincode. Bij sommige partijen is de aansprakelijkheid nihil als aan de voorwaarden wordt voldaan en bij anderen wordt dit beperkt tot een bepaald bedrag. Bij alle issuers kunnen kaarthouders gebruikmaken van de charge back regeling als bijvoorbeeld bestelde goederen niet worden afgeleverd, zoals afgesproken tussen de kaarthouder en de acceptant. Hiervoor gelden wel tijdslimieten. In principe wordt de transactie dan voorlopig gecrediteerd en wordt 15

16 een onderzoek ingesteld. Afhankelijk van het resultaat van dit onderzoek wordt de kaarthouder definitief gecrediteerd of alsnog weer belast voor de transactie. Is sprake van fraude door de kaarthouder zelf, dan kan deze op grond van de geldende Nederlandse wetgeving aansprakelijk worden gesteld. De algemene voorwaarden kaarthouders gelden zowel voor card present- als card not present transaties, maar kunnen wel toegespitst zijn op een specifieke situatie. 4.2 Card present transacties acceptanten De aansprakelijkheid van acceptanten wordt geregeld in de Algemene Voorwaarden, zoals deze gelden tussen de acceptant en de acquirer. De acquirer bepaalt de Algemene Voorwaarden, niet Visa of MasterCard. In deze Algemene Voorwaarden zijn echter wel meer bepalingen opgenomen zoals deze door de associates zijn bepaald in hun regelgeving, zoals bij voorbeeld het moeten leveren van verkoopwissels of transactiebonnen. Bij transacties waarbij de creditcard aanwezig is en on-line autorisatie verkregen is via de betaalterminal, blijft de aansprakelijkheid van de acceptant beperkt. De acceptant moet echter wel een aantal controles op kaart en handtekening uitvoeren. Mocht blijken, dat dit niet is gebeurd, dan kan de acceptant aansprakelijk worden gehouden. Tevens is de acceptant verplicht om op aanvraag transactiebonnen te leveren. Geen tijdige levering geeft het recht op terugbelasting van de acceptant. Bij transacties, waarbij geen on-line autorisatie wordt verkregen (bij voorbeeld bij parkeerautomaten) en bij handmatige verwerking via verkoopwissels gelden aanvullende voorwaarden bij welk bedrag of onder welke condities er gebeld moet worden voor een autorisatie. Aan het niet voldoen aan deze Algemene Voorwaarden kan de acquirer een recht tot terugbelasting van de acceptant ontlenen. Als er sprake is van fraude met creditcards door een personeelslid van een acceptant, dan kan de acceptant op grond van de Nederlandse wetgeving als werkgever aansprakelijk gesteld worden (dit is gebaseerd op Boek 7 van het Burgerlijk Wetboek). Aansprakelijkheid bij EMV-transacties Bij card present-transacties zal de aansprakelijkheid voor de acceptant, behoudens strafbare feiten, nihil zijn als de acceptant gebruik maakt van een EMV-terminal. De transactie is beschermd door de pin en de acceptant hoeft geen transactiebon meer te laten tekenen en bewaren. De aansprakelijkheid voor magneetstripfraude verschuift volgens de regelgeving van Visa en MasterCard binnen Europa (en Centraal Europa, Midden-Oosten en Afrika) naar de partij, die niet op EMV is over gegaan. Deze regel is al per 1 januari 2005 in gegaan en de schade is aanvankelijk geleden door de acquirer. Acceptanten zullen hier ook mee te maken krijgen zodra de infrastructuur in Nederland gereed is om EMVtransacties te verwerken. De aansprakelijkheid zal via de acquirer verschuiven naar de merchant als deze geen EMV-terminal heeft. 16

17 4.3 Card Not Present transacties acceptanten De aansprakelijkheid bij card not present -transacties ligt met name bij de acceptant in de situaties dat de kaarthouder de transactie betwist of er sprake is van fraude. Dit is vastgelegd in de Algemene Voorwaarden tussen de acceptant en de acquirer. De aansprakelijkheid ligt bij de acceptant, omdat tijdens de transactie geen creditcard aanwezig is en er een hoger frauderisico is dan bij transacties waarbij de creditcard wel aanwezig is. Er zijn slechts gegevens van een creditcard aanwezig. In zijn algemeenheid kan in de systemen slechts gecontroleerd worden of een card geblokkeerd is, de vervaldatum correct is, de CV(V of C)-2 Code correct is en er voldoende kredietlimiet is op de kaart. Wereldwijd kunnen er via de systemen geen adressen gecontroleerd worden, daar deze slechts bekend zijn bij de uitgever van de creditcard. Concreet houdt dit in, dat een acceptant, ondanks een verkregen autorisatie, door de acquirer terugbelast kan worden voor transacties, indien de cardhouder aangeeft dat de transactie niet door hem of haar verricht is. Dit wordt ook duidelijk aan de acceptant gecommuniceerd. Deze aansprakelijkheid kan wel beperkt worden als de acceptant een aantal maatregelen neemt om te komen tot een veiliger transactie, zoals transacties via Verified by Visa / MasterCard SecureCode of via het controleren van de CV(V of C)-2 Code. Onder bepaalde condities verliest de issuer het recht om een charge back te kunnen maken, als de acceptant Verified by Visa / MasterCard SecureCode aanbiedt en de kaarthouder dit niet heeft. We spreken ook hier van een liability shift. Dit geldt echter niet, indien het accepterende bedrijf niet kan aantonen dat de goederen geleverd zijn. Op deze wijze worden alle partijen gestimuleerd om gebruik te maken van een veilige betaalwijze. In de praktijk blijkt echter, dat accepterende bedrijven toch gebruik blijven maken van de onveilige betaalwijzen om geen omzet te verliezen. De acceptant kan zijn risico op betwistingen door cardhouders beperken door het nemen van een aantal veiligheidsmaatregelen binnen zijn onderneming. Hiervoor worden door de acquirers best practices ter beschikking gesteld. Veelal bieden ook Payment Service Providers hun acceptanten extra diensten om tot een veiliger transactie te komen. In de praktijk zien we ook dat accepterende bedrijven zich beveiligen door de aanschaf van een systeem om transacties te analyseren op de relatie tussen onder andere IP-adressen ( het adres van de computer, die via de provider gebruik maakt van Internet), BIN-nummers (Bank Identification Number zijn de eerste 6 cijfers van een creditcard, waaruit de uitgevende bank te herleiden is) en afleveradressen. Dit heeft uiteraard tot doel om fraude te voorkomen, charge backs te verminderen en daarmee operationele kosten te verminderen. 4.4 Aansprakelijkheid tussen issuers en acquirers Er bestaat ook een aansprakelijkheidsregeling tussen issuers en acquirers op grond van de regelgeving van Visa of MasterCard. Deze aansprakelijkheidsregeling handelt vooral over de gedragingen van de kaarthouder (waarvoor de issuer aansprakelijk is) en de gedragingen van de acceptant (waarvoor de 17

18 acquirer aansprakelijk is). Indien op grond van de regelgeving de acquirer aansprakelijk is, dan wordt dit direct verrekend met de issuer. De issuer loopt hier geen financieel risico. De acquirer loopt echter het risico, dat het betrokken bedrag niet terugbetaald wordt door de acceptant. In gevallen waar de issuer aansprakelijk is, loopt deze het risico dat een aan de acquier vergoed bedrag niet op de kaarthouder te verhalen is. Met name acquirers kunnen aanzienlijke schade leiden op het moment dat een bedrijf failliet verklaard is of met de noorderzon vertrokken is. Met name als issuers op grond van de regelgeving bedragen te vorderen hebben op de acceptant (om kaarthouders schadeloos te stellen) die de acquirer al verrekend heeft met de acceptant. Soms worden deze risico s beperkt door uitgestelde betalingstermijnen of bankgaranties, gesteld door acceptanten. Op grond van het feit of een card voorzien is van een EMV-chip of een terminal in staat is om een EMV-chip te lezen kan de verantwoordelijkheid bij een fraudetransactie verschuiven van de issuer naar de acquirer of omgekeerd. Dit geldt onder een groot aantal voorwaarden en binnen bepaalde regio s, dus (nog) niet wereldwijd. Op grond van het feit of bij een Card Not Present-transactie de kaarthouder of de acceptant of beiden Verified by Visa of MasterCard SecureCode gebruiken, kan zijn bepaald of er een charge back recht van toepassing kan zijn of dat dit recht juist vervalt. Onder bepaalde omstandigheden kan de partij die geen Verified by Visa of MasterCard SecureCode gebruikt, zijn recht op een charge back verliezen. Een soortgelijke regeling is er ook voor een juiste controle van CVV2 of CVC2 binnen Europa, waarbij de partij die niet om CV2 vraagt of niet controleert zijn charge back rechten verliest. Issuers en acquirers treden in charge back zaken op als een vertegenwoordiger van hun kaarthouder dan wel acceptant. Visa International of MasterCard International kunnen als arbiter optreden in zaken waar er geschillen zijn tussen issuers en acquirers. Zij zullen oordelen op grond van de regelgeving. Ook is er beroep mogelijk tegen bepaalde beslissingen. 5. Ontwikkelingen Er worden steeds meer maatregelen genomen om transacties veiliger te laten verlopen. De financiële verantwoordelijkheid verschuift naar de partij, die bewust geen gebruik maakt van deze veiliger methode. Acceptanten zullen in de nabije toekomst in deze gevallen aansprakelijk worden gesteld als ze geen EMV-terminal gebruiken. Het advies aan acceptanten is dan ook om zo snel mogelijk over te gaan op een EMV-terminal. De authenticatie van transacties met credit- en debitcards van de inwoners van de Single Euro Payments Area (SEPA) zullen in de nabije toekomst uiteindelijk alleen nog op basis van de EMV-chip geschieden, zodat fraude via skimming van magneetstrips drastisch zal verminderen. Met het oog op SEPA, zal in de EU over enige jaren uniforme Europese wetgeving van 18

19 kracht zijn op basis van de Payment Systems Directive die mogelijk van invloed is op de inhoud van de Algemene Voorwaarden en daarmee op de rechten en plichten die nu tussen aanbieder en afnemer van creditcarddiensten gelden. 19