Hoe veilig is het om één app te gebruiken voor meerdere banken?

Hoe handig zou het niet zijn mocht u al uw bankrekeningen kunnen beheren met één app? De banken werken eraan, maar er liggen gevaren op de loer. Want niet alle banken gebruiken dezelfde beveiligingsstandaarden.

Mobiel bankieren is populair. De stand van een rekening controleren, geld overmaken, een treinkaartje kopen, … De Belgen gebruiken er steeds vaker hun smartphone voor. En de evolutie gaat snel, de nieuwigheden volgen elkaar in razend tempo op. De banken struikelen over elkaar om met de nieuwste snufjes uit te pakken, want die bewijzen dat ze een voorloper is.

Het jongste voorbeeld is de multi-accountversie van de bankenapp. Daarmee kunt u niet alleen uw rekeningen beheren bij de bank die de app heeft ontwikkeld, maar ook die bij andere financiële instellingen. Eenvoudig en praktisch. Maar het groeperen van accounts in één app is blijkbaar niet zonder risico’s.

1. Mijn bank meldt dat ik al mijn bankrekeningen kan consulteren via haar app, ook die bij andere banken. Waarom biedt ze dat aan?

Aan de oorsprong van die evolutie ligt de nieuwe Europese betaalrichtlijn (Payment Services Directive 2, PSD2). Die bepaalt dat banken in Europa vanaf 14 september hun data-infrastructuur moeten openstellen voor andere banken en voor door Europa goedgekeurde niet-financiële derde partijen. Daardoor zouden niet-bankspelers – zoals Amazon, Carrefour of de zogenoemde fintechs – meer kansen krijgen om hun eigen betaaldiensten aan te bieden. Het is het concept van de ‘open bank’, dat steunt op het openstellen van de informaticasystemen van de banken.

2. Wat heb ik daaraan als klant?

Als al uw rekeningen te raadplegen zijn via de app van uw favoriete bank, is dat een pak gemakkelijker. U kunt van alle rekeningen het saldo en de geschiedenis controleren, of er zelfs betalingen uitvoeren. “In februari lanceerden we de nieuwe functie in onze Easy Banking-app”, zegt Valery Halloy, de woordvoerder van BNP Paribas Fortis. “Wie daarvoor toestemming geeft, kan nu via de app ook zijn particuliere of professionele rekeningen bij KBC, Belfius en ING consulteren en beheren. “Veel Belgen hebben rekeningen bij verschillende banken, en op die manier krijgen ze een geconsolideerd overzicht zonder dat ze verschillende apps moeten gebruiken.” Maar ook uw favoriete bankier heeft dat overzicht. De multi-bankingapp wordt dan een instrument om marktaandeel te winnen via gerichte commerciële aanbiedingen.

3. Is dat allemaal wel veilig?

Sommige banken werken met reverse engineering, een techniek die wel gebruiksvriendelijk maar niet zo veilig is. De Europese richtlijn voorziet in twee systemen waarmee banken hun informaticasystemen kunnen openen: API’s (application programming interface) en screen scraping. Een API is een soort veilige brug om bankgegevens door te sturen naar derde partijen, met toestemming van de klant. De financiële toezichthouders promoten dat systeem. Screen scraping gebruiken fintechs om verbinding te maken met de informatiesystemen van financiële instellingen.

Het komt erop neer dat in een API “alles gestandaardiseerd is, uw gebruikersnamen en uw wachtwoorden worden niet naar de derde partij verzonden. Met screen scraping worden de handelingen gekopieerd die de klant doet om verbinding te maken met zijn bank”, zegt Etienne Ranwez van het adviesbureau Sia Partners. U geeft dus uw gebruikersnaam en wachtwoord door aan de derde partij (net als bij reverse engineering is dat vaak een fintechspeler) aan wie u toegang wilt geven tot uw accounts. Daardoor kan die toegang krijgen tot uw gegevens zonder dat u telkens opnieuw hoeft in te loggen. “De handtekening met de kaartlezer moet nog wel voor elke transactie worden gedaan”, zegt Etienne Ranwez.

4. Worden sommige apps daardoor veiliger dan andere?

Volgens Etienne Ranwez biedt een goede API, ontworpen volgens de regels van de kunst, meer veiligheid, snelheid en stabiliteit dan screen scraping en reverse engineering. “Met dat laatste is het risico op verlies van gevoelige informatie groter, en de verbinding met de bank is meer precair”, zegt de expert van Sia Partners.

Voor Olivier Onclin, het hoofd retail- en commercieel bankieren bij Belfius, “is het belangrijk klanten bewust te maken van de voordelen, maar ook van de gevaren van het samenvoegen van accounts. Het centraliseren van al uw bankrekeningen in onze Belfius Mobile-app gebeurt onder onze beveiligingsstandaarden. We werken alleen met API, wat wil zeggen dat we toegang geven tot Belfius, maar zonder de sleutels uit handen te geven. Dat is niet bij iedereen zo, en de klant is zich daar niet altijd van bewust.”

Valéry Halloy zegt dat de oplossing die BNP Paribas Fortis heeft uitgewerkt met de Zweedse fintech Tink “de veiligste is, omdat ze de basisprincipes van de beveiliging gebruikt: een sterk authenticatiemechanisme, anoniem gemaakte logins, encryptie-uitwisseling… Onze mensen hebben nooit toegang tot de gebruikersnamen. De toegangscodes van de accounts van onze klanten worden versleuteld en opgeslagen op een veilige plaats: aan de ene kant de identificatiegegevens en aan de andere kant de wachtwoorden. We hebben ook geen toegang tot gegevens van onze klanten bij andere banken, die we niet mogen gebruiken, bijvoorbeeld voor commerciële prospectie.”

Dat is de officiële versie. Sommigen waarschuwen evenwel dat fintechs niet altijd de middelen hebben om de gegevens voldoende te beveiligen.

5. Hoe kan ik weten of mijn bank voldoende veilig is en dat mijn rekening niet gehackt kan worden?

Voorlopig is ING België de enige van de vier grote banken zonder multi-bankingapp. BNP Paribas Fortis zegt dat het als doel heeft “het samenbrengen van verschillende rekeningen te bevorderen en te respecteren via API-communicatie”. KBC merkt op dat “helaas niet alle banken hun API’s al beschikbaar hebben gesteld”. Daarom heeft de bank in maart vorig jaar screen scraping gebruikt om zijn multibancaire toepassing op te starten. “We combineren nu beide technieken, maar het is de bedoeling zo snel mogelijk naar API’s te gaan. Zodra voldoende banken API’s aanbieden om een volwaardige multibanking-app aan te bieden, stappen we af van het systeem van screen scraping.”

“Bij Belfius is het alleen maar mogelijk ook KBC-rekeningen te beheren, want dat is de enige bank waarmee we veilig voor onze klanten kunnen werken”, besluit Olivier Onclin.