Ik heb als looptelefoon tijdens wandelen en hardlopen een iPhone 8. Het hoofgebruik is om te kunnen bellen en mobiel data staat uit. Op deze telefoon draait iOS 16.7.12.
Nu zijn wij bij de sportclub overgestapt de koffie te kunnen pinnen.

Mijn huisbank heeft het telefoon gewoon geaccepteerd voor mobiel bankieren en ik kon ook een virtueel bankpas aanmaken om te kunnen pinnen.

Volgens mij moet dat veilig zijn, tenzij dat iemand een redenen heeft waarom het niet veilig zal zijn.
Alvast bedankt voor het meedenken!

Volgens mij moet dat veilig zijn ..

Hartstikke veilig. Als de bank je iOS versie niet meer veilig genoeg vindt merk je dat vanzelf.

@boing
Wel een beetje dubbel, de tekst op de website van de bank:
Op deze toestellen werkt de app
iPhones met iOS 15, 16, 17, 18 of 26 | Download de app

En onderaan:
Toestellen die geen beveiligingsupdates meer krijgen, zijn niet goed beschermd. Apple, Google (Android) en fabrikanten bepalen zelf wanneer een bepaald toestel geen beveiligingsupdates meer krijgt. Als zij besluiten dat jouw type toestel niet meer kan updaten naar de nieuwe versie, betekent dat het geen beveiligingsupdates meer krijgt. Wij vinden het niet veilig genoeg als je de ABN AMRO app op een toestel gebruikt dat deze bescherming niet meer krijgt.

ChatGPT zegt dit:
Omdat je een verouderde telefoon gebruikt, kan de bank proberen de schade op jou af te wentelen. De uitkomst hangt sterk af van de vraag of de fraude direct het gevolg was van de onveilige telefoon, of dat het een algemene vorm van oplichting was (zoals 'spoofing').

Ik zou het niet aanraden, maar zou het zo ook niet durven af te raden. Geen idee of daar data van is dat banken schade niet hebben uitgekeerd in verband met een verouderd besturingssysteem.

Die discussie weer.
Tijdje terug ging het om een virusscanner of niet omdat de banken dat een keer noemden.

Als het wordt ondersteund door de bank, vind die het kennelijk veilig, en kun je het gebruiken.

En als je ziet hoe coulant banken optreden in gevallen van domme acties van klant, zullen ze hier helemaal geen punt gaan maken.

..en dan moet het eerste geval waarbij er geld van een betaalrekening wordt gehaald met als oorzaak een oude iOS versie zich nog voordoen. Dat kán eenvoudigweg niet. Het is altijd de klant die domme dingen heeft gedaan. Begrijpelijk soms, maar toch.

Ik heb als looptelefoon tijdens wandelen en hardlopen een iPhone 8. Het hoofgebruik is om te kunnen bellen en mobiel data staat uit. Op deze telefoon draait iOS 16.7.12.
Nu zijn wij bij de sportclub overgestapt de koffie te kunnen pinnen.

Mijn huisbank heeft het telefoon gewoon geaccepteerd voor mobiel bankieren en ik kon ook een virtueel bankpas aanmaken om te kunnen pinnen.

Volgens mij moet dat veilig zijn, tenzij dat iemand een redenen heeft waarom het niet veilig zal zijn.
Alvast bedankt voor het meedenken!

Uit eigen recente ervaring, alwaar meerdere rekeningen gekoppeld zijn aan verschillende (internationale) banken, is mij het volgende overkomen en opgevallen.

Op een prive credit card zijn er allerlei vage transacties geweest, gedaan in Engeland en Nigeria. Welnu, ben daar niet geweest en een claim richting bank was gestuurd. Het ging om in totaal een kleine 1200 euro voordat de veiligheidsmechanismen af gingen en alle geblokkeerd werd.

Op de zakelijke rekening was de schade groter, dit vooral omdat er een grotere betaallimiet is op de betaalkaart en de transacties elkaar in ongekend hoog tempo opeen volgden. Daar is een kleine 4900 euro "gepint" via de betaalkaart voordat daar de alarm bellen afgingen.

Drama alom, want dit betekende dat er in beide gevallen in dit geval met 2 verschillende banken moest worden gecommuniceerd. Maar daarbij viel mij op dat er bij beide banken in de logboeken werd gekeken met welk apparaat, met welk OS, en met welk versienummer van de toepassing recent gebruik werd gemaakt van de telebanking app. Tevens werd getoetst of ik met recente browsers werkte en kreeg ik de vraag, om "onder ede" te verklaren dat ik mijn telefoon alszowel computer naar de laatste actuele stand der zaken heb opgewaardeerd en geen gebruik heb gemaakt van verouderde software.

Dit was ook absoluut het geval, dus daar was geen probleem verder. Het heeft in totaal een kleine 10 dagen geduurd voordat het geld prive retour was en 21 dagen voordat het zakelijk was opgelost. Al was in dat laatste geval "onder voorbehoud van een positieve afronding" het geld teruggestord, na de 30e dag na het incident kreeg ik een definitieve bevestiging dat de procedure succesvol was afgerond.

Kortom, ieder moet het verder voor zich weten, maar ongeacht wat sommigen doen geloven over coulance. Geld is geld, en waar een verdien model achter zit, en potentiele schade vergoed moet worden, weet ik uit jarenlange ervaring dat dit helemaal niet zo coulant hoeft te gaan.

Maar goed, zoals gezegd. Als je verder relatief kleine bedragen pint en het "opneembare tegoeg" relatief laag houdt, is de potentiele schade ook niet bijzonder groot. Maar iets zegt me dat in geval van een dergelijk scenario, als de bank dan de logboeken gaat bekijken en iets ziet wat niet formeel ondersteund is, dat dit - ongeacht of dit nu waar of niet waar is - wel "munitie geeft" om op de klant te schieten inzake "laakbaar handelen". Simpelweg omwille het feit dat je geacht wordt al het mogelijk te ondernemen om je eigen bankrekening veilig te houden, en daar hoort het gebruik van recente apparatuur en software ook bij.

Geweldig  dr_apple verhaal.

Als ik zeg dat iedereen die ‘onder ede’ verklaart dat ze hun pincode aan een 3e partij hebben prijsgegeven middels bv een ‘fraudemailtje’, gewoon hun geld terug krijgen, zal jouw bekentenis dat je iOS 16 gebruikte, ook wel geen probleem zijn, denk je niet?!

Kortom, ieder moet het verder voor zich weten, maar ongeacht wat sommigen doen geloven over coulance. Geld is geld, en waar een verdien model achter zit, en potentiele schade vergoed moet worden, weet ik uit jarenlange ervaring dat dit helemaal niet zo coulant hoeft te gaan.

En daarom zei ik ook 'betaalrekening' in mijn reactie, daar gaat het in de eerste post ook over. Een credicard is een heel ander verhaal, heeft andere risico's en is veel makkelijker te misbruiken. Ik kom ook wel eens ergens en heb 3x fraude meegemaakt op mijn cc in de afgelopen 20 jaar. Meestal omdat de kaart ergens bij het afrekenen even was meegenomen of gekopieerd (nummer, CVC code en vervaldatum is vaak genoeg). Nooit gekke vragen gekregen over OS of browserversies.. Heeft u toen en toen een x bedrag uitgegeven? -> Nee -> Opgelost.

Simpelweg omwille het feit dat je geacht wordt al het mogelijk te ondernemen om je eigen bankrekening veilig te houden, en daar hoort het gebruik van recente apparatuur en software ook bij.

Afijn, mooi verhaal maar niet relevant. Het gaat in dit draadje niet om een creditcard maar om Apple Pay met je bankpas. Dat is net zo veilig met een oude iOS versie als met de huidige. Als daar onterecht bedragen mee worden afgeschreven heb je zelf iets doms gedaan, zo simpel is het.


_{PS: Vandaag een telefoontje op onze vaste lijn (belt nooit meer iemand op) van de ABN AMRO bank. We namen niet op maar hoorden een ingesproken stem zeggen dat er €1460 was afgeschreven van onze rekening en dat we meteen actie moetsen ondernemen. Verbinding verbroken en niet verder afgeluisterd maar mevrouw boiing was toch even verrast. Het was zo'n vriendelijke vertrouwde vrouwelijke professionele accentloze Nederlandse telefoonstem en ik kan me helemaal voorstellen dat mensen toch reageren, opnemen of terugbellen. Dáár begint de ellende!}

In de praktijk surf ik met de looptelefoon NIET. Ik navigeer ook NIET. Mobiel data staat uit.

Ik kan prima met de telefoon bellen en SMSen.

Eerst heb ik altijd extra nog mijn pinpas meegenomen, maar dat hoeft nu niet meer dankzij de pin optie.

Indien ik in de APP store kijk dat wordt mijn looptelefoon ook door ABNAMRO, ING en RABO ondersteunt.

Conclusie: zolang de bank het ondersteunt kan ik het looptelefoon gebruiken.

Tijd voor een Apple Watch, en dat beaamt Apple ook 

Bovendien is het ideaal om je gezondheid te monitoren,

Goed idee, maar ik heb een stokoude Suunto watch. Mocht ik toe zijn aan iets anders zou ik erover nadenken.
Zo een Suunto watch gaat 10 jaar mee.

Geweldig  dr_apple verhaal.

Als ik zeg dat iedereen die ‘onder ede’ verklaart dat ze hun pincode aan een 3e partij hebben prijsgegeven middels bv een ‘fraudemailtje’, gewoon hun geld terug krijgen, zal jouw bekentenis dat je iOS 16 gebruikte, ook wel geen probleem zijn, denk je niet?!

Welnee, eigenlijk niet. Dat je "onder ede verklaart" is leuk, en dat Nederlandse banken zich verhoudingsgewijs opstellen als 'suffe koeien' is mooi meegenomen voor de consument, maar er zit een juridische en technische kant aan dit verhaal die je niet moet onderschatten.

Internationale standaarden en logging

Een bank houdt zich aan strikte internationale standaarden die bepalen wat er gelogd moet worden. Denk hierbij aan:

• ISO 27002: De implementatielaag voor informatiebeveiliging.
• ISO 20022: De standaard voor het berichtenverkeer tussen financiële instellingen.
• PCI DSS: Een financiële standaard die dwingt tot 12 maanden gedetailleerde logging, waarvan 3 maanden per direct opvraagbaar.
• PSD2: Verplicht dat bewijsmateriaal gezekerd wordt opgeslagen voor audit-doeleinden door toezichthouders.

Binnen deze systemen wordt onder andere je besturingssysteem, de versie daarvan, je IP-adres en geolocatie opgeslagen. Ook worden er integriteitschecks uitgevoerd op de hardware. Hoewel dit vroeger vooral bij Android speelde, gebeurt dit door de groeiende legacy van iOS-versies daar nu ook steeds vaker. Het versienummer van je iOS-installatie is dus wel degelijk een traceerbaar gegeven.

De Nederlandse markt: stilstand door bescherming

Ik ben het met je eens dat banken in Nederland vaak toegeeflijk zijn. Dit komt door de unieke, ietwat protectionistische situatie in Nederland, waarbij nationale standaarden vaak boven internationale gaan.

Toch heeft dit een keerzijde: Nederland is technisch gezien stil komen te staan. Terwijl landen als Spanje en Polen al jaren volwassen "Tikkie" betaalsystemen hadden, was het hier nog een dingetje om Apple Pay of Google Pay te gebruiken. Nederland loopt nu tegen de wet van de remmende voorsprong aan. Zelfs met de komst van Wero (de opvolger van iDeal) zie je dat we achter de feiten aanlopen vergeleken met de rest van Europa. Op mogelijk het Duitstalig gebied na, want dat is een en al kommer en kwel en ongeveer het jaar kruik met veel dingen. Ik maak geen grap als ik zeg dat ik afgelopen 12 maanden nog een FAX APPARAAT gebruikt zag worden voor BANCAIRE bevestigingen.

Het verschil tussen bankpassen en creditcards

De Nederlandse betaalkaart is een nationaal product met een 4-cijferige pincode, terwijl 6 cijfers buiten Amerika en Nederland, eigenlijk verworden is tot internationaal de norm. Hoewel de chips (EMV) hetzelfde zijn, verschillen de voorwaarden wezenlijk:

• Chargeback-proces: Bij Visa en Mastercard kun je geld terugkrijgen bij niet-levering of fraude via een relatief simpel proces. Bij Nederlandse bankpassen is dit proces veel zwaarder en zijn de voorwaarden beperkend.
• Zero Liability: Visa en Mastercard bieden bescherming waarbij je bij tijdige melding van fraude zelden aansprakelijk wordt gesteld. Dit geldt nu ook voor hun Debit Cards.

In het buitenland geven banken vrijwel geen eigen systeemkaarten meer uit; daar krijg je direct een Visa of Mastercard bankkaart (zonder krediet) met alle bijbehorende technologische garanties zoals 3D Secure.

Apple Pay en tokenization

Apple Pay gebruikt tokenization. Je echte kaartgegevens worden vervangen door een "device account number" (een alias), beveiligd in de Secure Enclave van je toestel. Technisch gezien was iOS 12 hierin de grote omslag; daarvoor werkte de koppeling nog niet optimaal met deze extra beveiligingslaag.

Hoewel het OS de techniek faciliteert, blijf je juridisch onderworpen aan de voorwaarden van jouw bank. En die zijn bij Nederlandse banken vaak strenger dan bij internationale partijen.

Wat de kleine lettertjes zeggen over softwareversies

De voorwaarden van de grote banken zijn hier steeds explicieter over:

• ABN Amro: Meldt relatief weinig over specifieke versies in hun algemene voorwaarden.
• ING: Verwijst direct naar de website VeiligBankieren, waar strikte regels staan over het beveiligen van je apparatuur.
• Rabobank: Is het meest duidelijk in Artikel 55. Zij kunnen een specifieke versie van een besturingssysteem verplicht stellen. Is je software verouderd? Dan kunnen zij de app blokkeren of aansprakelijkheid bij fraude afwijzen.

Een bank als Rabobank zal een fraudegeval zeker bestuderen, maar een verouderd toestel of OS verzwakt je positie aanzienlijk. Nederland mag dan uitblinken in marketing met termen als Tikkie en iDeal, technologisch gezien hobbelen we vaak achter de internationale standaarden aan. Het is vooral een kwestie van historiek en gewenning dat we aan onze "eigen" systemen vasthouden, terwijl de rest van de wereld al lang over is op veiligere, universele standaarden.

Kijk, zoals ik eerder geschreef: ieder moet het voor zich weten. Ik heb het aan de lijve ondervonden, zonder kleerscheuren vanaf gekomen, maar grappig was het niet. Maar gelet mijn professionele werkzaamheden, heb ik vaak genoeg meegemaakt, alwaar het sentiment en empathie plaats maakte voor: business ... en ... regels (waar het uitkomt natuurlijk). En ook vaak genoeg vervelende situaties mogen zien gebeuren, waarvan sommigen echt hartverscheurend. Dus in sprookjes geloof ik eigenlijk al een tijdje niet meer, wel in een dosis geluk en "schaal".

Is de fraude klein genoeg, dan is het soms gewoon Amazon-esque, goedkoper om de klant te vergoeden dan en nog steeds een leuke jaarbijdrage te rekenen voor de rekening, immers - zeker Nederlandse klanten - veranderen niet van bank, dan daar een punt van te maken.

Maar er is dus een omslagpunt, welk dat precies is, kan ik je ook niet vertellen, wel dat deze per bank verschillend zal zijn, evanals dat het bank-domein erg per land verschilt.

ISO 27002, ISO 20022,  PCI DSS,  PSD2 ...

HansAnders vroeg of het OK was om zijn kopje koffie af te rekenen met een iPhone 8...

en soms betaal ik er twee kopjes mee…

en soms betaal ik er twee kopjes mee…

Misschien mag je die met een Tikkie betalen...

Dan moet je wel mobiele data aanzetten...

hoeft niet! Gebruik je een bankpas, werkt het alleen passief. Het iPhone 8 heeft al een NFC chip ingebouwd en het werkt zonder mobiel data.

hoeft niet!

Voor een Tikkie wel (bedoelde ICT Consultant), maar dat is niet aan de orde in jouw geval .