Betalen zonder moeite

Komende week introduceren drie Nederlandse banken iets nieuws: betalen met je mobieltje. Hou je telefoon in de buurt van een betaalapparaat, en het verschuldigde bedrag wordt automatisch van je rekening afgeboekt. Je mobieltje hoeft niet eens aan te staan: de techniek werkt ook in de uit-stand.

De banken roemen de nieuwe technologie als ‘handig en snel’. Kassahandelingen worden vlotter afgehandeld: je hoeft geen pincode in te toetsen, en de kassa hoeft niet te wachten op een bevestiging van de bank dat je code klopt. De consument hoeft geen pinkaart meer bij zich te steken: zijn mobieltje wordt een wettig betaalmiddel.

De nieuwe techniek – die eerst in Leiden wordt geïntroduceerd, de rest van Nederland volgt later – heet NFC: Near Field Communication. Het komt erop neer dat we binnenkort overal met onze mobieltjes kunnen chipknippen. Per dag kun je tot een maximum van 50 euro contactloos pinnen; boven die limiet moet je alsnog een code intoetsen om de transactie te bevestigen.

Is dat nu echt handig? Het akelige is juist dat contactloos betaalverkeer buitengewoon ondoorgrondelijk is.

Wie garandeert ons dat zo’n contactloze kassa niet meer gegevens uitleest dan alleen het rekeningnummer? Mobiele telefoons dragen een schat aan informatie in zich: van FaceBook-contacten en belgegevens tot adresboeken, e-mails en bezochte websites. De gemiddelde supermarktketen zou een moord doen om daar de hand op te kunnen leggen. Wanneer ik mijn pasje in een pinautomaat stop, weet ik tenminste zeker dat daar alleen opstaat wat mijn rekeningnummer is, en verder niks.

Dat je transacties niet meer expliciet hoeft te bevestigen, heeft voor de klant vooral nadelen. Hoe voorkom je bijvoorbeeld dubbelbetalingen? Zo heeft mijn OV-chip op ondoorgrondelijke wijze reizen afgeschreven waarvoor ik keurig een papieren kaartje had gekocht, en waarbij ik mijn OV-chip bij het passeren van de poortjes angstvallig verborgen hield. Niks mee te maken, vond de OV-chip: die oordeelde zelfstandig dat-ie zich dicht genoeg bij een kaartlezer bevond om mij alsnog in te checken. (Een onhebbelijkheid die het ding overigens vooral vertoont bij het inchecken; vergeet je uit te checken, dan speelt diezelfde afstand hem – en mij – ineens wél parten.)

NFC is daarnaast akelig makkelijk te hacken. Zelfs op een paar meter afstand blijkt de communicatie tussen kassa en mobieltje ongemerkt te kunnen worden onderschept. Dat betekent dat slimme kwaadwillenden elke dag opnieuw vrolijk 50 euro van je rekening kunnen afschrijven.

Waarom zou je zo’n techniek in hemelsnaam introduceren – nota bene in het betaalverkeer – lang voordat er afdoende beveiliging voor is verzonnen?

Daarbij: straatroof neemt toe. Het Parool meldde dit weekend dat het daarbij in 45% van de gevallen gaat om het jatten van smart phones. Wil je dan heus een techniek introduceren die een premie van 50 euro per dag zet op het stelen van mobieltjes?
 

Update, 28 augustus:
Daags na publicatie van mijn column ontving ik een mailje van “mobiel betalen in Leiden’. De PR-mevrouw schreef: “In het Parool las ik je column over Mobiel betalen. Uiteraard staat het je vrij om daar kritisch over te schrijven. Echter, ik las ook enkele onjuistheden of onterechte veronderstellingen in je bericht. Daarom zou ik je graag willen uitnodigen voor onze persintroductie morgen in Leiden (zie informatie onder), zodat je enerzijds de goede informatie ontvangt en anderzijds zelf kunt ervaren hoe mobiel betalen werkt.”

Fijn dat ik van ‘Mobiel betalen’ kritisch over hun product mag schrijven, wat een opluchting is dat! Maar wel vreemd dat ze me vertellen dat er onjuistheden in mijn stukje staan, zonder erbij te te vertellen welke dan: wil ik weten wat ik mis heb, dan moet ik naar Leiden afreizen. Raar vak toch, PR.

Update, 30 augustus 2013:
Plotseling is de limiet voor contactloos betalen zonder code blijkens de website van ‘Mobiel betalen in Leiden’ verlaagd tot 25 euro; tot en met dinsdag was die limiet nog 50 euro.


Aantal reacties: 23