PayPal over veiligheid internetbetalingen

Veiligheid op het internet is een hot topic. Regelmatig komen er websites in het nieuws die gehackt zouden zijn, en zelfs de overheid of de banken lijken niet meer veilig. Hoe kijkt een online betalingsoplossing als PayPal aan tegen de enorme hoeveelheid fraude en discussie rond veiligheid op het internet?

In het laatste kwartaal van 2012 verwerkte PayPal wereldwijd gemiddeld gezien zo’n 7,5 miljoen transacties per dag. Dat maakt het niet alleen een gewild doelwit voor webwinkeliers en consumenten, maar zeker ook voor cybercriminelen. Nu is PayPal al sinds eind 1998 actief en heeft het bedrijf dus aardig wat ervaring opgedaan met de internetwereld. Hoe kijken zij aan tegen wereld van fraudeurs, scammers en oplichters die op het internet actief zijn? Hierover spraken we Eelco van Wijk, op het kantoor van PayPal in Amsterdam.

Fraude, bevroren accounts, diefstal… Kan ik PayPal wel vertrouwen?
We zijn al heel wat jaren actief, en als er iets misgaat, wordt dat online natuurlijk breed uitgemeten. PayPal heeft een merchant fraud loss rate van zo’n 0,28%. In de branche worden we geroemd om dat getal want er zijn er weinig die zich daarmee kunnen meten. Aan de andere kant hebben we het over een bankrekening. Geld. Dan is alleen een 100% veiligheid acceptabel. Dat is dus ook de reden dat ongeveer de helft van alle medewerkers van PayPal werkt aan veiligheid. Op welk terrein dan ook.

Om eens te testen wat er mogelijk is, probeerde ik iets online te kopen met de mobiel van een vriend, bij een webwinkel waar ik nog nooit was geweest. Toch kreeg ik geen enkele extra vraag of beveiliging te zien en kon ik gemakkelijk de aanschaf afronden.
Haha. Interessante case. PayPal moet niet alleen veilig zijn, maar natuurlijk ook gebruiksvriendelijk. Natuurlijk moet jij via een andere telefoon iets kunnen bestellen. Als jij samen met een vriend op de bank zit te kijken op zijn mobiel, moet dat kunnen. Onder water zijn er echter zeker wel controles aan die aanschaf uitgevoerd. Die kijken naar dingen waar jij blijkbaar ook aan denkt, maar ook aan veel andere zaken. Hoe dat precies zit kan ik je natuurlijk niet in details uitleggen.

Maar… Er wordt dus wel bij elke transactie een check gedaan?
Natuurlijk! Maar die check is zeer uitgebreid om vooral maar te zorgen dat het de gebruikersvriendelijkheid zo min mogelijk in de weg staat. Als wij vanwege veiligheidsvoorzorgen een transactie vertragen of mogelijk zelfs annuleren, brengt dat natuurlijk een negatief gebruikerseffect met zich mee indien het een legitieme transactie betreft. Dus de checks zijn wel zo gemaakt dat we het zichtbare effect voor de gebruiker proberen zo beperkt mogelijk te houden. Maar soms is het noodzakelijk dat een  transactie dus niet automatisch wordt goedgekeurd.

Om een voorbeeld te noemen: we hebben een gebruiker die PayPal regelmatig gebruikte in Nederland, voor kleine transacties. Op een gegeven moment verhuisde hij naar Zuid-Amerika en deed daar opeens een zeer grote transactie bij een online elektronicazaak. Die aankoop met een compleet ander uitgavenpatroon, adres, tijdstip, noem maar op, werd toen niet in een keer goedgekeurd. We hebben toen eerst telefonisch contact gehad om te checken of het wel correct was.

Die transactie is dus pas goedgekeurd na een handmatige check van een PayPal-medewerker zelf. Overigens zijn dat wel gelijk de meest extreme voorbeelden. Verreweg het meeste gebeurt automatisch en is wat minder schokkend.

Maar ik kan dus iets bestellen, met alleen een wachtwoord. Is dat wel veilig genoeg?
Een wachtwoord is in theorie heel veilig, maar in de praktijk merken we ook gelijk de zwakte daarvan. Bijvoorbeeld scammers die e-mailtjes sturen om proberen wachtwoorden van gebruikers te ontfutselen door iets op de computer of in de browser te installeren, of een gebruiker te laten inloggen op een site die niet van PayPal is. Onze zwakte zit hem dus niet zo zeer in onze site of techniek maar in hoe goed een gebruiker zijn wachtwoord geheim weet te houden.

Wat we bijvoorbeeld ook tegenkomen is dat als andere sites worden gehackt, hackers de wachtwoorden die daar ontfutseld zijn, ook bij PayPal proberen. Mensen willen nog wel eens overal hetzelfde wachtwoord gebruiken, ook bij PayPal. Ook al zijn wij dagelijks bezig met fraude-bestrijding, we kunnen niet verwachten dat onze klanten daar ook continu mee bezig zijn. Tot op zekere hoogte is het aan ons om de klant daarbij te helpen.

Als er toch sprake is van bewijsbaar “ongeauthoriseerd gebruik” van je PayPal rekening, dan is de PayPal-rekeninghouder gewoon gedekt volgens onze Kopersbeschermingvoorwaarden. Na elke transactie krijg je een e-mailtje waarin die aankoop genoemd staat. Dus als iemand anders een transactie namens jou doet, kan  je dat ook direct zien.

Blijft een wachtwoord dan wel veilig? Vervangt mijn mobiel straks mijn wachtwoord?
Een menselijk contact is, naast dat het een van de lastigste dingen is om te beveiligen, ook een van de lastigste dingen om te kraken. Dus ik denk dat menselijk handelen, of dat nu een vingerafdruk of een wachtwoord is, niet zal verdwijnen. Niet op korte termijn in ieder geval. Een mobiel kan faciliteren maar zal bij PayPal niet je wachtwoord vervangen. Het is juist een van de zaken waarom wij minder positief zijn over NFC.

Het betalen door twee apparaten tegen elkaar aan te houden?
Ja, wie houdt een fraudeur dan tegen om gewoon op het station, zijn telefoon langs alle broekzakken te halen, om zo NFC-transacties te maken? Het is zeker niet de enige reden waarom wij niet zo positief over NFC zijn, het is met name dat die techniek er te lang over doet en tegen de tijd dat het gemeengoed is, waarschijnlijk al zal zijn ingehaald. Maar ook daar denken wij na over veiligheid, en het is een van de redenen waarom we daar minder positief over zijn.

Waar zijn jullie dan wel positief over? Hoe gaan we volgens PayPal in de toekomst nog veiliger betalen?
Internetcriminaliteit is een gegeven, het is niet uit te bannen. Natuurlijk proberen we altijd slimmer te zijn dan de bad guys, maar geen enkel systeem is 100% waterdicht. Wij geloven in het verder uitbouwen van onze database van gevalideerde kopers en verkopers: het verzamelen van data over beide partijen in de transactieketen, om zo meer zekerheid te verkrijgen over de betrouwbaarheid van beiden.

Op basis van deze data hebben we het al jaren geleden aangedurfd om een deel van het risico van de koper over te nemen met de introductie van Kopersbescherming. Sinds eind vorig jaar hebben we daar ook Verkopersbescherming aan toegevoegd. PayPal neemt op deze manier steeds meer van het risico van haar gebruikers over en in de toekomst zullen we mogelijk dit nog verder uit willen breiden.