Chip op pasjes zet fraudeurs de voet dwars

Ook de in Nederland dominante debetkaarten (bankpassen met pincode) zijn steeds meer het mikpunt van list en bedrog. De omvang van de fraude kwam bijvoorbeeld op 10 augustus naar voren tijdens een zitting van de rechtbank in Lelystad. Daar diende een zaak tegen in totaal 34 verdachten die zich volgens de aanklacht schuldig hebben gemaakt aan 280 gevallen van fraude met in totaal 180 gekopieerde creditcards, bank- en tankpassen. De schade zou in de miljoenen euro’s lopen. Om de fraude met magneetpassen de kop in te drukken, namen het voormalige Europay, Mastercard en Visa (EMV) medio jaren ’90 het initiatief tot een wereldwijde standaard voor hun betaalproducten. Dit betreft zowel transacties met de creditcards van Mastercard en Visa als het gebruik bij betaal- en geldautomaten met het Maestro-logo in het buitenland. Kern van de EMV-technologie is een ‘copyproof’ chip die de eenvoudig te dupliceren magneetstrip vervangt. De EMV-standaard bestaat uit een verzameling specificaties voor het verloop van een transactie met een chip(-kaart) en een betaal- of geldautomaat. De in 1999 opgerichte organisatie EMVCo, waarin Mastercard en Visa ieder een belang van 50 procent hebben, is verantwoordelijk voor de de ontwikkeling en het beheer van de standaard. De specificaties zijn gebaseerd op de ISO 7816-standaard voor IC-kaarten met contactpunten. De coördinerende rol van EMVCo moet wereldwijde interoperabiliteit en acceptatie van de chipkaarten garanderen. De meest recente versie 4.1 van de zogeheten EMV 2000-standaard dateert van mei van dit jaar. Al het echte werk gebeurt overigens bij de aangesloten organisaties; EMVCo heeft zelf geen personeel. Omdat een overgangsperiode waarin de twee systemen naast elkaar bestaan onvermijdelijk is, houden de eerste generaties EMV-kaarten naast de chip een magneetstrip. Hierdoor kan de gebruiker de nieuwe kaarten ook gebruiken bij betaalterminals die nog niet aan de EMV-standaard voldoen. Maar dat betekent tevens dat ook met EMV-passen op veel plaatsen nog jarenlang fraude kan worden gepleegd. Nederland zit internationaal in de achterhoede met de invoering van EMV. In omringende landen zoals België, Frankrijk en Engeland is de migratie al verder gevorderd. Marcel Woutersen, woordvoerder van bankendochter Interpay, legt uit waarom de invoeringsscenario’s voor EMV van land tot land verschillen. "Er is weliswaar afgesproken om wereldwijd over te gaan op die veilige standaard, maar er zijn landen waar EMV nog helemaal niet ‘top of mind’ is, zoals de Verenigde Staten. In Engeland, waar ze geen pinpassen kennen, zie je juist dat ze een inhaalslag maken en met EMV de fraude snel tot een acceptabel niveau kunnen terugbrengen. In Nederland heeft het geen zin EMV snel in te voeren. De kosten van dat scenario zijn vele malen hoger dan van de vervanging van passen en betaalautomaten na afloop van hun natuurlijke levensduur." Volgens de banken is de in Nederland dominante debetkaart dankzij de geheime, 4-cijferige pincode in principe zeer veilig. Daarom zagen zij de kostbare invoering van EMV voor pinpassen aanvankelijk niet als relevant en zeker niet als urgent. Toch ziet het er nu naar uit dat EMV ook tot pinpassen zal doordringen. Zo kan het kopiëren van passen immers onmogelijk worden gemaakt. Woutersen: "Wij hebben altijd al gezegd: de oplossing voor het kopiëren van de magneetstrip ligt in een chip. Je zult dan ook zien dat de bestaande nationale betaalproducten in Nederland ook overgaan op de EMV-technologie. Daarover moet nog wel besluitvorming plaatsvinden." Veel Nederlandse bankpassen bevatten overigens allang een chip, net als de losse Chippas van de Postbank. Deze passen zijn slechts bedoeld voor het verrichten van kleine betalingen (Chipknip) en voldoet niet aan de EMV-specificaties. Nederland mag dan achterlopen, ook hier breekt op 1 januari 2005 een nieuwe fase aan die de overstap naar de EMV-technologie in een stroomversnelling kan brengen. Mastercard en Visa hebben bepaald dat op die datum de aansprakelijkheid voor fraude met magneetpassen verschuift naar de partij die de EMV-standaard nog niet heeft ingevoerd. Deze maatregel staat bekend als ‘liability shift’. Bij fraude met een EMV-creditcard op een betaalterminal die geen chips kan uitlezen en daardoor terugvalt op de magneetstrip draait de contractpartij van de acceptant (bijvoorbeeld winkel, restaurant) voortaan voor de schade op. In een volgende fase, als de hele infrastructuur is aangepast aan EMV, zou ook de acceptant in zo’n situatie financieel nadeel kunnen ondervinden van fraude. Woutersen schetst de vermoedelijke verdere fasering: "Medio 2005 zullen de eerste EMV-proof betaalautomaten voor transacties met creditcards op de markt komen. Dan worden ook de eerste EMV-passen van Visa en Mastercard uitgegeven. Wat betreft de nationale betaalproducten is 2005 een voorbereidingsjaar. Er moet dan een aantal beleidsbeslissingen worden genomen over de wijze waarop pinpas en Chipknip overgaan op EMV-technologie." Een van de te maken keuzes betreft aantal en type betaalproducten (pinnen, chippen) die op de EMV-pas komen te staan. Woutersen: "Je kunt die EMV-chip vergelijken met een grote taart met allemaal punten. In elke taartpunt komt een betaalproduct. De vraag is onder andere in welke volgorde ze worden aangesproken. Laat je de pashouder kiezen of stuur je dat via de betaalautomaat? Maar de EMV-chip biedt nog veel meer mogelijkheden. Je zou er bijvoorbeeld ook een loyaltyprogramma zoals Airmiles of Bonuscard in kunnen onderbrengen." Ook de integratie van debet- en kredietkaart op één EMV-pas behoort technisch tot de mogelijkheden. Het lijkt Woutersen echter niet aannemelijk dat het daar snel van komt. "De uitgifte van creditcards begint in 2005. Daaruit kun je de conclusie trekken dat het niet snel zal leiden tot een geïntegreerd product." Het in Arnhem gevestigde bedrijf CCV Holland, onder meer leverancier van betaalautomaten, kijkt reikhalzend uit naar de invoering van de EMV-technologie. Directeur Ton van der Bruggen: "Alles wat wij op dit moment ontwikkelen, voor online- en offline-gebruik, moet volledig voldoen aan EMV. Dat geldt zowel ons host-systeem als voor de betaalterminals." Tot dusver houdt CCV zich voornamelijk bezig met het verkopen en installeren van betaalautomaten en de verwerking van transacties met tankpasjes en andere soorten klantenkaarten. Al vanaf begin jaren ’90 schopt CCV aan tegen het monopolie van de banken met hun organisatie Interpay (voorheen Beanet) bij het doorschakelen van betalingen met pinpassen voor autorisatie aan de betreffende bank. CCV ziet voor zichzelf een rol weggelegd als tweede schakelcentrum voor elektronische betalingen naast Interpay -maar dat is weer een ander verhaal. Voor CCV en andere leveranciers van betaalterminals was het wachten op de definitieve EMV-specificaties voor de Nederlandse markt, die op 26 juli zijn verspreid. De betaalterminals die CCV nu installeert, zijn volgens Van der Bruggen hoogstwaarschijnlijk al grotendeels EMV-compliant, maar vereisen wellicht nog een softwarematige aanpassing nu de definitieve eisen bekend zijn. Van der Bruggen voorziet overigens een zeer lange overgangsperiode voordat alle betaalautomaten die alleen pinpassen met magneetstrip kunnen lezen volledig zijn uitgebannen. "In feite kun je pas stoppen met de gecombineerde chip/strip-kaart als alle terminals zijn omgebouwd voor EMV. Maar er worden nu in Nederland nog steeds terminals verkocht die niet om te bouwen zijn." Wie nu voor de keuze staat een nieuwe betaalautomaat aan te schaffen, doet er volgens Interpay-zegsman Woutersen verstandig aan zich goed te laten voorlichten door bank of leverancier en te kiezen voor een ‘toekomstvaste’ terminal. "Dat wil zeggen een betaalautomaat waarin nieuwe software met de toekomstige EMV-wijzigingen gedownload kan worden. Die zijn al op de markt. Vanaf 2005 kan men kiezen voor een EMV-betaalautomaat." Bij de ombouwoperatie voor de euro, die veel winkeliers eind 2001 op kosten heeft gejaagd, is bepaald dat hun nieuwe betaalautomaten minimaal vijf jaar bruikbaar zouden blijven. Van der Bruggen: "Er is tevens gezegd dat iedere daarna geleverde terminal minimaal vijf jaar meegaat. Dus de terminals die vandaag geleverd worden, gaat al tot 2009 mee. Ik denk daarom dat het wel 2010 of zelfs 2011 of 2012 wordt voor we helemaal van de magneetstrip af zijn." Zonder een jaartal te noemen beaamt Interpay-zegsman Woutersen: "Het zal nog héél lang duren voordat de magneetstrip in binnen- en buitenland definitief is verdwenen."