Geld geef je rapper uit dan je het verdient. Bank apps, Itsme, QR-codes, OGM’s, ze vliegen je om de oren. Maar is zo’n QR-code wel veilig? En wat als ik een verkeerd nummer intyp in de OGM of overschrijving met gestructureerde mededeling? Komt mijn geld dan bij de verkeerde persoon terecht?
Je kent ze wel, die lelijke vierkantjes die eruit zien als een onontwarbaar kruiswoordraadsel: QR codes. Ze duiken de laatste jaren overal op, ook in betaalopdrachten van bijv. de Belgische en Vlaamse Overheid, om belastingen of boetes te betalen. Erg handig. Maar zijn ze veilig? Je ziet immers niet wat zo’n QR-code precies inhoudt. Wat als iemand zo’n boete- of belastingformulier namaakt en er een QR-code op zet met zijn bankrekeningnummer?
Hoe werkt een QR-code?
Een QR-code (Quick Response-code) is eigenlijk een tweedimensionale streepjescode die informatie bevat zoals tekst, webadressen, e-mails, contactgegevens, betaalgegevens. Het is een vorm van wat men noemt Augmented Reality (AR), of ‘toegevoegde realiteit’, een technologie die digitale elementen toevoegt aan de fysieke wereld om mensen te helpen bepaalde taken interactief uit te voeren.
Nemen we bijv. een betaalopdracht met bedrag, rekeningnummer, bankgegevens, gestructureerde mededeling. De werkwijze is als volgt:
- De gegevens worden gecodeerd.
- Ze worden omgezet in een QR-code, met o.a. ook elementen voor foutcorrectie.
- De QR-code wordt gelezen door een QR-scanner app op een smartphone of tablet.
- De gegevens worden gedecodeerd.
- De gegevens worden geprojecteerd op het scherm in mensentaal ter bevestiging van de betaalopdracht.
Is een QR-code veilig voor betalingen?
Snel en handig is het alleszins. Persoonlijk hou ik er wel van. Maar toch bekruipt me altijd een beetje het gevoel: ‘is dit wel veilig?’ Wat als ik een fake of phishing bericht heb geopend met een opdracht om te betalen? Dus enige voorzichtigheid is aangewezen. Altijd als het om geld gaat. Enkele tips:
- Ga na of de bron 100% betrouwbaar is. Wees op je hoede voor QR-codes van onbekende of verdachte bronnen.
- Controleer in de laatste stap vooraf aan de betaling of alle betaalgegevens correct zijn. Kijk naar het bedrag, staat de komma wel op de juiste plaats, is de opdrachtgever wel wie hij beweert te zijn?
- Gebruik een veilige internetverbinding. Doe geen betalingen via openbare WIFI-netwerken. Anderen kunnen meekijken.
- Scan alleen QR-codes via je vertrouwde bank-app. Scan geen codes via apps die je vindt in de online app-winkels.
- Controleer achteraf of de betaling correct is afgehandeld. Als je verdachte dingen opmerkt op je bankrekening, contacteer onmiddellijk je bank.
Is een OGM of overschrijving met gestructureerde mededeling veiliger?
Een gestructureerde mededeling bevat unieke informatie over de betaling die je gaat uitvoeren. Dat kan een factuurnummer zijn, of een deel van het factuurnummer gecombineerd met een deel van je klantnummer. In elk geval is het een unieke code die je betaling eenduidig linkt aan jou.
Als je niet gek bent van al die moderne technologieën en liever betaalt op deze ‘ouderwetse’ manier, geen probleem. Maar ook daar vraag je je misschien af: wat als ik iets verkeerd typ in het bankrekeningnummer, of in de gestructureerde mededeling?
Wat betreft het bankrekeningnummer, verwijzen we graag naar ons artikel Hoe herken je een bank aan het rekeningnummer? Daarin berekenden we de kans dat je een verkeerd rekeningnummer zou intypen waardoor je geld bij de verkeerde terecht komt.
Maar hoe groot is de kans dat je een verkeerde gestructureerde mededeling intypt? Je geld voor de boete komt dan wel bij de juiste instantie terecht, maar komt misschien onder de naam van een andere overtreder. Je krijgt aanmaningen, intresten en misschien zelfs een strafzaak aan je been.
Welnu, net zoals bij een bankrekeningnummer zit er een controlemechanisme in een gestructureerde mededeling: het modulo-97 algoritme. Neem een Belgische gestructureerde mededeling. Die bestaat uit een combinatie van 3, 4 en 5 cijfers. In totaal 12, bijvoorbeeld +++123/4567/82534+++.
Deel het getal gevormd door de eerste 10 cijfers door 97 en bereken de rest. Dat doe je door wat men een staartdeling noemt. Hier kan je online zo’n staartdeling uitvoeren. Gebruik je liever Excel? Gebruik dan deze formule: =REST(1234567825;97). Resultaat: 34. De rest komt overeen met de twee laatste cijfers van de gestructureerde mededeling, dus die is correct. Als je een fout maakt zal de bank-app je corrigeren.
Maar hoe groot is de kans dat je ondanks een fout, toch per ongeluk dat modulo-97 algoritme verschalkt? Wel, die kans is zeer klein, ongeveer 1 op 10 miljard.
Conclusie
Met geld overschrijven moet je altijd voorzichtig zijn, welke manier je ook gebruikt. Zowel de QR-code als de gestructureerde mededeling op zich zijn veilig, maar controleer altijd zorgvuldig de betaalgegevens vooraleer de betaling effectief uit te voeren, ongeacht welke methode je gebruikt.
