Dubieuze beveiliging creditcardbetalingen toch ingevoerd

Volgens Mastercard is de invoering in Nederland van SecureCode “vrijwel een feit”. Steeds meer webwinkels zullen hun klanten om deze code vragen. Dat geldt bijvoorbeeld voor de winkels met een Thuiswinkel Waarborg, zoals Bol.com, BCC.nl en Cheaptickets.nl. Ook veel buitenlandse webshops hebben 3DS ingevoerd.

De gebruiker kan op 2 manieren aan een 3DS-code komen. Sommige banken laten de kaarthouder zelf een wachtwoord aanmaken. In andere gevallen ontvangt hij of zij de code via de identificatiemethode van de bank. Vervolgens moet de code tijdens het online winkelen worden geactiveerd. Bij iedere volgende aankoop zullen aangesloten webwinkels naar de code vragen. De bank controleert binnen enkele seconden of de code klopt en geeft pas daarna groen licht voor de transactie.

Enkele maanden geleden leverden experts van de Universiteit van Cambridge forse kritiek op 3DS. Zij vinden het systeem allesbehalve veilig. Een belangrijk kritiekpunt is dat de gebruiker zijn wachtwoord moet invullen in een pop-upvenster zonder adresregel, zodat de bron niet zichtbaar is. Nepwinkels zouden op dat moment het wachtwoord kunnen ontfutselen van de gebruiker. Ook zou de gebruiker minder goed letten op zaken die niet kloppen als hij bezig is een aankoopproces af te ronden.

Verder laat 3DS activatie van de code tijdens het winkelen toe. De gebruiker krijgt dan een invulformulier van zijn bank voor de kiezen. Ook deze werkwijze is kwetsbaar voor phishing en ‘man in the middle’-aanvallen, menen de onderzoekers. Daar komt bij dat de rechtspositie van de consument in het nieuwe systeem zwakker wordt. De bewijslast bij betwiste betalingen verschuift in de richting van de consument.