101.410 euro kwijt in 39 minuten: het sms’je bleek toch niet van bunq te zijn

achtergrond

Fraude Opvallend veel klanten van bunq verloren de afgelopen maanden al hun spaargeld door een oplichterstruc. Is de bank van oprichter Ali Niknam wel zo veilig als hij beweert?

Auteurs
- Stijn Bronzwaer
Gepubliceerd op 24 mei 2024
Leestijd 12 minuten

Leeslijst

Foto's Roger Cremers

Zondag 25 februari 2024. Rond 15.00 uur. Geraldine Smink spreekt een voicebericht in bij de klantenservice van bunq:

Can you please call me? This is Geraldine… I think I have a big fraud… a big scam situation. They took 100.000 euro from my account at bunq. My name is Geraldine… Kunnen jullie alsjeblieft contact opnemen? Ik zoek met jullie contact en ik krijg niemand aan de lijn… Please call me. They took 100.000 euro’s from my bank account and I cannot reach you.

Anderhalf uur eerder

Geraldine Smink (50) zit aan de eettafel van haar huis in Durgerdam, een dorp net buiten Amsterdam. Smink, een producent van tv-programma’s bij Talpa, komt net terug van het zwembad. Haar haren zijn nog nat.

Als ze haar telefoon pakt, schiet haar iets te binnen. Ze moet nog een sms van bunq beantwoorden. Smink heeft er sinds vorig jaar een spaarrekening. Er staat iets meer dan 100.000 euro op. Spaargeld en de erfenis van haar vorig jaar overleden vader.

Ze opent het bericht.

BUNQ BANK. U bent verplicht uw nieuwe beveiliging te activeren via deze link

Ze klikt. Er verschijnt een inlogscherm van de bank. Ze vult haar gebruikersnaam en wachtwoord in, maar het lukt haar niet om in te loggen. Twee minuten later gaat de telefoon.

„Met Luc”, klinkt het aan de andere kant van de lijn. Hij belt „namens bunq”, omdat er „een frauduleuze betaling” zou zijn gedaan van 1.200 euro. Luc wil haar graag helpen, vertelt hij.

Smink schrikt. Ze heeft inderdaad op een link geklikt, realiseert ze zich. Ze is opgelucht dat bunq het opmerkt en haar direct wil helpen. Toch vertrouwt ze Luc niet helemaal. Tijdens het telefoongesprek pakt ze haar laptop en zoekt ze op de site van bunq naar het fraudebeleid van de bank.

Daar leest ze dat bunq „nooit met klanten belt”. Als ze dat aan Luc voorlegt, vertelt hij dat het om „een noodgeval gaat” en snelheid vereist is. Als Smink Luc – die ook zijn achternaam noemt, die om privacyredenen niet in dit artikel genoemd wordt – opzoekt op LinkedIn ziet ze dat hij inderdaad bij bunq werkt. Ze biedt haar excuses aan en bedankt de beller voor zijn hulp.

Smink probeert tijdens het gesprek via haar laptop in te loggen bij bunq, maar komt haar rekening niet meer in. Luc zegt dat hij „de rekening aan het resetten is” en vraagt of ze even wil wachten. Als Smink via haar telefoon uiteindelijk toegang krijgt tot haar rekening, ziet ze dat er geld is afgeschreven.

In paniek vraagt ze hem wat er gebeurt. „Luc, waar ben je? Kom nu aan de lijn! Er wordt nu geld af gehaald. Wat is hier aan de hand?”, zegt ze. Luc hangt op.

Als ze haar rekening bekijkt, ziet ze dat er vijfentwintig transacties zijn gedaan naar verschillende rekeningen met Spaanstalige namen. Ze is 101.410 euro kwijtgeraakt. In 39 minuten.

In paniek zoekt Smink naar een telefoonnummer van bunq in de hoop iemand te spreken. Maar bunq is per telefoon niet bereikbaar. De bank communiceert alleen per chatbot en een SOS-noodnummer om rekeningen te blokkeren, dat doorschakelt naar een antwoordapparaat.

„Toen heb ik dat voicebericht opgenomen en daar achtergelaten”, zegt Smink als ze, twee maanden na de beroving, thuis in Durgerdam met NRC terugblikt op wat er gebeurde. „Ik vroeg: ‘help, bel mij terug’. Dat is nooit gebeurd.”

Overschrijven zonder limiet

Bankhelpdeskfraude wordt het genoemd. Een vorm van internetoplichting, waarbij een crimineel zich voordoet als een medewerker van de bank. Vorig jaar werden volgens de Nederlandse Vereniging van Banken (NVB) tienduizend Nederlanders slachtoffer van deze manier van oplichting. Samen verloren ze 28 miljoen euro.

Goed nieuws: het aantal slachtoffers van bankhelpdeskfraude neemt af, vorig jaar zelfs met 20 procent. Banken nemen steeds betere veiligheidsmaatregelen en doen meer aan voorlichting. De schade wordt in 69 procent van de gevallen, volgens de NVB, volledig vergoed als een oplichter zich voordoet als een bankmedewerker en een slachtoffer niet eerder in fraude is getrapt. Daartoe zijn banken niet wettelijk verplicht. Als een klant aantoonbaar ‘grof nalatig’ is geweest – denk aan: zelf inlogcodes prijsgeven – hoeft een bank wettelijk gezien in principe niets terug te betalen.

Dat geldt ook voor het in 2012 door tech-ondernemer Ali Niknam opgerichte bunq (464 werknemers, 12,5 miljoen Europese klanten). Maar bunq is een stuk minder toeschietelijk dan andere banken bij het vergoeden van de schade, zo blijkt. En de bank hanteert andere veiligheidsprotocollen dan zijn concurrenten.

Sinds dit jaar worden er opvallend veel bunq-klanten opgelicht voor relatief grote bedragen. De bank blijkt, als klanten zelf inloggegevens prijsgeven, kwetsbaar voor verlies van grote bedragen in korte tijd, blijkt uit gezamenlijk onderzoek van NRC en NOS. De klantenservice van de bank is daarnaast zo overbelast dat bunq te traag, of helemaal niet, reageert op berichten van gedupeerden.

Over dit artikel

Voor dit artikel werkte NRC samen met NOS-redacteuren Ellen Kamphorst en Joost Schellevis. NOS en NRC deelden bronmateriaal (verslagen van gesprekken met bronnen en aanverwante documenten) en stelden gezamenlijk een reeks vragen aan bunq.

Voor het artikel woonden NOS en NRC een bijeenkomst bij in Durgerdam waar slachtoffers van fraude bij bunq samenkwamen. NRC en NOS checkten de verhalen van achtentwintig slachtoffers en spraken de meesten van hen ook telefonisch. Gedupeerden leverden onder meer screenshots van chatgesprekken en politieaangiftes aan. Een deel van de slachtoffers stemde toe om met voor- en achternaam te worden genoemd.

Voor dit verhaal werd verder gesproken met voormalig bunq-werknemers, branche-organisaties, beveiligingsexperts, advocaten en vertegenwoordigers van rechtsbijstandverzekeringen.

Om precies te achterhalen hoe de oplichters te werk gingen, kochten NRC en NOS gezamenlijk een zogenoemd ‘bunq-panel’, illegale software waarmee criminelen bunq-klanten kunnen oplichten. Voor de software werd 275 euro betaald.

NRC en NOS kwamen de afgelopen weken in contact met achtentwintig bunq-klanten, die binnen tientallen minuten bedragen tot soms wel 200.000 euro verloren door helpdeskfraude. Bunq wist soms delen van het geld terug te halen – in het geval van Geraldine Smink zo’n 13.000 euro. Maar op een enkeling na werd geen enkel slachtoffer door bunq volledig schadeloos gesteld.

Bunq benadrukt dat „bij alle fraudegevallen die bij ons bekend zijn slachtoffers zelf hun inloggegevens, –codes en een gezichtsscan aan criminelen hebben overgedragen, tegen alle waarschuwingen in”, aldus een woordvoerder. „Onze gebruikers kunnen zelf direct alles blokkeren. Daarnaast blokkeren wij de rekeningen direct bij een SOS-melding of als het noodnummer wordt gebeld.”

De groep gedupeerden is een gevarieerde groep Nederlanders, van alle leeftijden, die allemaal hun geld bij bunq parkeerden vanwege de bovengemiddeld hoge spaarrente (2,46 procent). De groep raakte gezamenlijk de afgelopen zeven maanden 1,6 miljoen euro kwijt. Dat is al meer dan klanten van bunq volgens eigen cijfers in heel 2023 aan deze vorm van oplichting verloren: 1,5 miljoen euro.

Verkopers van rechtsbijstandverzekeringen Univé, Achmea en Das bevestigen dat het aantal opgelichte bunq-klanten toeneemt. Gezamenlijk hebben zij op dit moment zo’n vijftig zaken van slachtoffers in behandeling. Bronnen bij de politie geven aan te zien dat er recent relatief veel ‘bunq-panels’ op internet worden aangeboden, kant-en-klare softwarepakketten waarmee oplichters klanten bestelen. Bunq is „hiervan op de hoogte”, laat een woordvoerder weten en is „actief bezig met opsporingsdiensten om dit aan te pakken”. Bunq benadrukt dat dergelijke pakketten ook bestaan voor andere banken.

Beveiligingsexperts met wie NRC en NOS contact had, stellen dat de manier van fraude waar Geraldine Smink intrapte moeilijk door banken te voorkomen is, omdat de klant zelf inloggegevens prijsgeeft. Feit is wel dat het bij bunq mogelijk is met één druk op de knop een spaar- in een betaalrekening om te zetten, wat het eenvoudiger maakt spaargeld weg te halen. En bunq kent, in tegenstelling tot andere banken, geen limiet voor overschrijvingen.

De slachtoffers van fraude zijn bozer op bunq dan op de mensen door wie ze zijn opgelicht

Wie bij ING meer dan 2.000 euro of bij de Rabobank meer dan 5.000 euro wil overmaken, moet vier uur wachten. Die afkoelingsperiode is bedoeld om het oplichters moeilijker te maken om grote bedragen te stelen. Bunq kent een dergelijke wachttijd niet. De bank hanteerde tot voor kort een afkoelingsperiode van 24 uur als een klant een nieuw apparaat, zoals een smartphone, registreerde. Die veiligheidsmaatregel werd, aldus bunq, na klachten van gebruikers weer afgeschaft. De bank stelt dat een afkoelingsperiode niet helpt, omdat „criminelen dan een paar uur later, de volgende dag of week weer terugbellen”.

Tot grote frustratie van klanten communiceert bunq alleen per chatbot, of via een online klachtenformulier. Als een slachtoffer oplichting meldt bij bunqs SOS-noodnummer wordt de rekening geblokkeerd. Maar daarna duurt het dagen – of zelfs weken – voor de bank contact opneemt. Het beeld dat bunq „alles op alles” zet om het geld terug te krijgen, zoals een woordvoerder stelt, wordt door geen enkele van de achtentwintig slachtoffers herkend.

Klanten zijn zo wanhopig op zoek naar menselijk contact dat ze uit heel Europa naar bunqs hoofdkantoor in Amsterdam reizen om verhaal te halen. Dat gebeurt meerdere keren per week, bevestigen (ex-)werknemers van de bank, die spreken van een „gespannen sfeer” op kantoor als de bel gaat.

Dit alles maakt dat de slachtoffers die NRC en NOS spraken, zonder uitzondering, bozer zijn op bunq dan op de criminelen door wie ze zijn opgelicht.

Hoe zou Ali zich voelen?

Donderdagavond 2 mei 2024. De dorpskerk van Durgerdam, nog geen honderd meter van het huis van Geraldine Smink. Tussen het altaar en het kabinetorgel zitten vijfendertig mensen op stoelen in een kring onder gouden kroonluchters. Smink, die samen met haar beste vriendin Inge en mede-gedupeerde Sara de avond heeft georganiseerd, heeft wijn, bier, cola, koffie, cake en speculaasjes meegenomen.

Iedereen is bunq-klant en opgelicht, of mee met een gedupeerde om steun te betuigen. Ook is er een advocaat van Finch aanwezig, om gedupeerden te informeren over hun kansen in een collectieve rechtszaak. Slachtoffers willen graag hun verhaal delen, met elkaar en de aanwezige journalisten. Ze hopen dat veel mensen dit artikel lezen. En zich realiseren: dit kan mij ook overkomen. En dat die hippe bank met een hoge spaarrente ook een schaduwkant heeft.

Het groepsgesprek begint met een rondje, waar elk slachtoffer kort vertelt wat hij of zij heeft meegemaakt. Zoals mindsetcoach Femke Lobach (59), die ongeveer 60.000 euro kwijtraakte die ze had gespaard voor haar pensioen. Toen ze niks meer van bunq hoorde, reisde ze maar naar het hoofdkantoor in Amsterdam. Daar wachtte ze twee uur op een bankje in de lobby tot iemand haar hielp.

Of de 35-jarige ondernemer Floor Hendriks, een van de jongste slachtoffers. Ze raakte de 44.000 euro spaargeld voor haar nieuwe koophuis kwijt, nadat ze op een zaterdag op een link klikte. Toen ze bij bunq niemand te spreken kreeg, belde ze met de Rabobank. „Die hebben me geholpen om aangifte te doen.”

Guus de Haan (80) is er ook. Hij werd van 130.000 euro beroofd nadat hij aanwijzingen van een zogenaamde bunq-medewerker aan de telefoon opvolgde. „Een keurige Amsterdamse mevrouw. Ze had mijn buurvrouw kunnen zijn.” Het stel Gabrielle (62) en Nico Jacobs (72) heeft bijna drie uur vanuit Zuid-Limburg gereden om zich vanavond „dood te schamen” dat ze, ’s avonds in bed, op een linkje klikten. „We zijn geen domme mensen. We hebben ons hele leven horecazaken gehad.” Ze verloren binnen een uur 40.000 euro. Als ze een klacht indienen, duurt het twee weken tot bunq antwoordt.

De verhalen zijn opvallend vergelijkbaar. Alle slachtoffers klikten op een link in een sms-bericht, dat zogenaamd van bunq afkomstig was. Sommigen maakten op aanwijzing van een oplichter zelf geld over. Anderen gaven toegangscodes of scanden op verzoek hun gezicht om transacties te verifiëren, een van bunqs veiligheidsmaatregelen.

Veel slachtoffers werden, net als Geraldine Smink, gebeld door ene ‘Luc’, die inderdaad bij bunq werkt, maar niets met de zaak te maken heeft. Terwijl ze telefonisch aan de praat werden gehouden, werd op de achtergrond hun rekening leeggeroofd.

Dat de slachtoffers zelf een enorme fout hebben begaan door op een link te klikken en codes af te geven, weten ze zelf ook wel. En bunq ‘belt nooit’, zoals de bank keer op keer in al zijn communicatie naar klanten benadrukt. Sommige slachtoffers zitten zo vol schaamte en zelfverwijt dat ze niet met hun naam in dit artikel willen worden genoemd.

Maar toch, zeggen de meesten: had bunq niet meer kunnen doen om de fraude te voorkomen? Meerdere slachtoffers vertellen hoe zij live op hun computer toekeken hoe oplichters geld met tienduizenden euro’s tegelijk overboekten van hun rekening. Daarbij werd eerst een spaar- in een betaalrekening omgezet en daarna geld binnen minuten naar tientallen buitenlandse bankrekeningen gesluisd.

Dat bunqs systemen dergelijk gedrag niet als verdacht aanmerken en rekeningen direct blokkeren is opmerkelijk, stelt bankfraude-expert Pepijn Slappendel. „Elke andere bank die ik ken heeft dat direct door.” Shairesh Algoe, jarenlang verantwoordelijk voor fraudebestrijding bij ABN Amro: „Dit is geen nieuw soort aanval. Je kunt fraude niet 100 procent voorkomen, maar ik denk dat banken dit in het algemeen wel detecteren.” Bunq stelt in een reactie dat „wij ons niet kunnen voorstellen dat een expert die bekend is met de feiten zulke uitspraken zou doen”.

Maar wat bij slachtoffers het meeste pijn doet: hoe bunq met klanten omgaat als de oplichting eenmaal heeft plaatsgevonden. Alle communicatie verloopt in het Engels met chatbots, aangestuurd door klantenservicemedewerkers op bunqs kantoren in Turkije en Bulgarije. Tot grote irritatie van slachtoffers sluiten zij berichten af met ‘have a nice day’ of emoji’s met juichende handjes. Alle slachtoffers missen bij bunq een gevoel van urgentie en begrip. En menselijk contact.

De woede richt zich tijdens de avond in Durgerdam al snel op bunqs topman Ali Niknam. „Hoe zou hij zich voelen als hij zwaargewond langs de weg ligt en 112 belt?”, vraagt Gerard van Ginneke (78) – 61.000 euro kwijt – zich af. „En Ali daarna wordt doorverwezen naar een chatbot die zegt: ‘sorry, geen hulp.’”

Dichte deur

Als het misgaat bij bunq, komen klanten al langer voor een dichte deur te staan. In 2021 meldde de Consumentenbond dat bankrekeningen van bunq relatief veel worden gebruikt bij oplichting via WhatsApp en Marktplaats. Ook toen klonken er klachten over bunqs slecht bereikbare klantenservice.

En die klantenservice heeft het op dit moment drukker dan ooit. Sinds bunq zijn spaarrente in juli vorig jaar fors verhoogde naar 2,46 procent is het aantal klanten van de bank verdubbeld, bleek uit een presentatie van Niknam eerder deze maand. Dat zijn er nu 12,5 miljoen in heel Europa. Onduidelijk is hoeveel Nederlandse klanten bunq heeft.

Uit bunqs jaarverslag blijkt dat de bank door het toegenomen aantal klanten vorig jaar 5,1 miljard euro spaargeld bij de Europese Centrale Bank (ECB) stalde, bijna zeven keer zoveel als het jaar ervoor. De toestroom van spaargeld maakte dat bunq, dat op de 5 miljard weer rente ontvangt bij de ECB, vorig jaar voor het eerst (53 miljoen euro) winst maakte. Een opluchting voor Niknam, die naar verluidt meer dan 100 miljoen euro van zijn eigen geld in bunq heeft gestoken om zijn bank financieel gezond te houden.

Het personeelsbestand van bunqs klantenservice lijkt de recente toename van het aantal klanten niet aan te kunnen. Bij bunqs klantenservicekantoren in Bulgarije en Turkije werkten volgens het laatste jaarverslag vorig jaar gezamenlijk 156 werknemers, verantwoordelijk voor het beantwoorden van vragen van miljoenen klanten. Daarnaast is het voor elke bunq-werknemer in Nederland, ook voor software-ontwikkelaars, verplicht om elke week een aantal klantvragen te beantwoorden. Een telefonische helpdesk, standaard bij andere banken, heeft bunq niet.

En dat terwijl Bunq ruim tien jaar geleden juist werd opgericht omdat Niknam vond dat grootbanken zich te weinig richtten op hun klanten. Bunq heeft de gebruiker – intern gepersonificeerd als ‘Eva’ – heilig verklaard. Niknam keurt aanpassingen van de app alleen goed als ze de gebruikservaring van Eva ten goede komen en de noodzaak voor de aanpassingen voldoende met data is onderbouwd.

Die aanpak verklaart ook waarom bunq bepaalde veiligheidsdrempels, zoals de overschrijvingslimiet, niet hanteert. Vier voormalig bunq-werknemers met wie NRC en NOS spraken zeggen ieder dat Niknam vanwege zijn tech-achtergrond uiteindelijk gebruiksgemak belangrijker vindt dan veiligheid.

„Veiligheid is geen onderwerp dat Ali echt drijft”, zegt een voormalig bunq-werknemer, die het onderwerp binnen bunq regelmatig bespreekbaar probeerde te maken. „Hij wil gewoon een zo goed mogelijk product aan klanten bieden. Daar past niet bij dat je uren moet wachten tot je een limiet kunt verhogen.”

Make Life Easy

Dinsdag 14 mei 2024. Het DeLaMar Theater in Amsterdam. Ali Niknam, zoals altijd gekleed in een blauwe spijkerbroek en zwart T-shirt met V-hals, loopt het podium op.

Het is de vijfentwintigste ‘bunq update’, zoals de evenementen worden genoemd waar de bank aan rekeninghouders vertelt hoe bunq ervoor staat. Doorgaans het moment om nieuwe functionaliteiten van de app te presenteren.

Maar voor hij daarmee begint, doet Niknam een mededeling. „Na elf jaar waren we vorig jaar voor het eerst winstgevend”, zegt Niknam. „Het waren lange dagen en lange nachten waarin we dachten aan jullie, onze gebruikers. En aan hoe we jullie leven makkelijker konden maken.” De zaal applaudisseert.

Een van die gebruikers zit helemaal vooraan, op de voorste rij in een zwart bunq-T-shirt met het opschrift ‘Make Life Easy’. Het is Geraldine Smink, die het shirt heeft aangetrokken om zo min mogelijk op te vallen. Ze kon geen kaartje krijgen, maar is toch naar het DeLaMar gegaan en wist zich aan de deur naar binnen te praten. Smink heeft een missie vanavond: Ali Niknam confronteren.

Als de presentatie klaar is, stapt ze op hem af. Er volgt een gesprek van zo’n tien minuten.

Niknam luistert aandachtig en toont medeleven. Bij momenten pakt hij even haar handen vast. Sminks zaak kent hij goed, zo blijkt. De bedragen kent hij uit zijn hoofd.

Dat bunq niet altijd even goed met slachtoffers communiceert, erkent hij. Hij legt uit dat wel of niet bellen ingewikkeld is voor bunq, dat bewust geen telefonisch contact met klanten zoekt om verwarring daarover bij oplichting te voorkomen. Niknam verzekert dat zijn bank hard werkt om communicatie met klanten te verbeteren.

Tegen het eind van het gesprek komt de belangrijkste vraag op tafel. Want wat kan Niknam doen voor Geraldine Smink en de andere slachtoffers? Voor de groep die elkaar trof in de kerk in Durgerdam en graag met bunq om tafel wil om te bespreken wat er mogelijk is. Een voorstel om een afspraak te maken is door bunq nog altijd niet beantwoord.

„Niks”, zegt Niknam, in zijn kenmerkende harde, duidelijke stijl van spreken. „Het is alsof je buiten op straat iemand je autosleutels geeft. Dan is je auto weg.”

Reactie bunq

NRC en NOS legden voor publicatie passages uit dit artikel voor aan bunq voor correctie op feitelijke onjuistheden. Een woordvoerder van bunq stuurde daarnaast de volgende algemene reactie:

„Afgelopen jaar zijn er bijna drie miljoen mensen in Nederland slachtoffer geworden van online fraude. Veiligheid heeft bij bunq de hoogste prioriteit. Daarom gebruiken wij geavanceerde technologieën zoals AI, biometrische beveiliging en beveiligde communicatie. Hierdoor houden we iedereen veilig.”

„De enige manier om slachtoffer te worden is door zelf je persoons- en inloggegevens af te staan. Omdat dit vaak telefonisch gebeurt zeggen we sinds het begin: wij bellen je nóóit. Als iemand je telefonisch benadert, blijf veilig en hang direct op. Als iemand hulp nodig heeft staan we 24/7 klaar via de SOS-functie van de beveiligde app.”

Bunq ging niet in op 21 schriftelijke vragen die NOS en NRC stelden. Topman Ali Niknam wilde niet persoonlijk reageren.

Een versie van dit artikel verscheen ook in de krant van 25 mei 2024.

Hoe kunt u ons bereiken?