Bij het banksysteem zijn wereldwijd ontzettend veel partijen betrokken. Hoe voorkom je dat het betalingsverkeer niet meer werkt?
Bij een bankoverval denk je aan mensen met bivakmutsen of maskers, een bankkluis met een dikke deur en een spectaculaire ontsnapping met tassen en stapels bankbiljetten. De werkelijkheid is meestal minder spectaculair. Begin februari 2016 krijgt de Federal Reserve Bank van New York het verzoek om bijna een miljard dollar over te maken. De afzender van de in totaal 35 overboekingen is de centrale bank van Bangladesh. Op zichzelf geen gekke actie, want de bank in Bangladesh heeft tegoeden in New York. Er is echter iets geks aan de hand: de ontvangende rekeningen zouden eigendom zijn van de Shalika Fundation in plaats van de Shalika Foundation.
Het is mede deze spelfout die ervoor zorgt dat de computer 30 van de 35 transacties tegenhoudt; ze moeten eerst door een mens gecontroleerd worden. De overige 5 transacties gaan door en het geld stroomt naar rekeningen op de Filipijnen en Sri Lanka. Onterecht, zo blijkt later. Want de centrale bank van Bangladesh wilde dat weekend helemaal geen geld overboeken. Het blijkt om valse transacties te gaan die hackers in naam van de bank deden. Als bankmedewerkers de digitale bankoverval na het weekend ontdekken, is het al te laat. Een deel van het geld is nog terug te halen, maar uiteindelijk wordt er 81 miljoen dollar gestolen, een van de grootste digitale bankovervallen ooit.
Geldstroom
Hoe beveilig je het banksysteem, waar wereldwijd zo veel partijen bij zijn betrokken? Hoe voorkom je dat het betalingssysteem niet meer werkt en de maatschappij tot stilstand komt? Volgens Betaalvereniging Nederland werden in 2023 alleen al in ons land zo’n tien miljard transacties gedaan, ofwel ruim 25 miljoen per dag. Dit zijn cash- en pinbetalingen in winkels, betaalverzoekjes van een paar euro, maar ook overboekingen van miljoenen euro’s tussen banken. Jij als consument merkt niets van de financiële maalstroom die elke dag door de samenleving gaat. Je gaat er alleen van uit dát je op ieder gewenst moment kunt betalen. Waar loopt de geldstroom precies en hoe is die beveiligd?
Je zou denken dat geld stroomt binnen de banken. Ja en nee. Natuurlijk beschikken banken over veel geld. Maar bij overboekingen tussen twee rekeningen van dezelfde bank, dan is het een kwestie van boekhouden: geld wordt van een rekening afgetrokken en bij een andere rekening opgeteld. Bij een transactie tussen twee banken wordt het wat ingewikkelder. Er moet dan gecommuniceerd worden tussen de banken, en dat verloopt via berichten met informatie over de overboeking die via een zogenoemde transactieverwerker van bank naar bank gaan. Een transactieverwerker is een bedrijf dat de communicatie tussen banken regelt. In Nederland doen bijvoorbeeld Worldline en de EBA Clearing dat. Deze partijen hebben de infrastructuur die het doorgeefluik vormt tussen de banken die erbij zijn aangesloten.
Hoe zorg je ervoor dat niemand de boel flest of dat dit netwerk offline gaat? Frans van Beers is beleidsadviseur bij Betaalvereniging Nederland en zegt dat deze infrastructuur ‘dubbel of meer dan dubbel’ is uitgevoerd. “Communicatielijnen worden speciaal voor dit doel gehuurd en de gebruikte berichten zijn zwaar versleuteld”, stelt hij gerust. “Ook moet dit soort centrale dienstverleners aan controlerende instanties zoals de centrale bank laten zien hoe hun infrastructuur en back-ups eruitzien.”
Boekhoudverschil
Om grip te houden op het betalingsverkeer hebben alle banken op hun beurt weer een tegoed bij een centrale bank, bijvoorbeeld De Nederlandsche Bank. Zie dit als de hoofdbank van een land, maar er is ook een Europese Centrale Bank (ECB). Als de klant van de ene bank geld overmaakt naar de klant van een andere bank, dan wordt er ook direct geld overgeboekt tussen de rekeningen die de banken daar hebben. Binnen dit zogenoemde TARGET-systeem werd volgens de ECB in 2023 dagelijks zo’n 2.200 miljard euro heen en weer geschoven. “Zou er een boekhoudverschil ontstaan tussen banken, dan heeft de centrale bank het laatste woord. Díe administratie is de waarheid”, zegt Van Beers.
Gaat het altijd goed? In 2013 kwam het betalingsverkeer tussen banken in het nauw, toen het oude Nederlandse overboekingssysteem naar de Europese SEPA-standaard overging (met de zogenoemde IBAN-rekeningnummers). Volgens Van Beers was er toen een periode van iets meer dan 24 uur waarin er geen overboekingen tussen banken mogelijk waren. “Dat behandelden we als een crisissituatie”, vertelt hij. “Mensen moesten toen een of twee dagen langer op betalingen wachten dan normaal.” Van Beers laat weten dat er altijd risico’s kleven aan dit soort technische ingrepen en updates. Vaak vinden ze op rustige momenten plaats, zoals in de nacht of op zondag, en in periodes waarin mensen bijvoorbeeld níet net zitten te wachten op de betaling van hun loon.
Bank beginnen
De wereldwijde communicatie tussen ruim tienduizend financiële instellingen regelt het internationale SWIFT-netwerk. De meeste betalingen die jij doet, gaan waarschijnlijk niet door dit netwerk. SWIFT dient vooral voor internationale overboekingen tussen landen met verschillend valuta. Hoe weet iedere instelling dat de andere in zo’n netwerk te vertrouwen zijn, dat er nergens een rotte bank tussen zit die valse transacties doet? De bankoverval aan het begin van dit artikel was waarschijnlijk niet mogelijk zonder hulp van binnenuit de bank. Van Beers zegt dat in theorie iedereen een bank kan beginnen, maar dat het verkrijgen van een banklicentie geen sinecure is: het duurt jaren. “Jij en al je medewerkers worden eerst grondig doorgelicht. Wat is je historie, wat zijn je intenties, waar komt je funding vandaan? Je kunt best proberen om te sleutelen aan de balans van een bank, maar als het goed is, gaan er al snel alarmbellen af binnen de bank en bij de centrale bank.”
In Bangladesh ging het dus mis, maar als gevolg van de bankoverval zijn de veiligheidseisen van de bij SWIFT aangesloten instellingen aangescherpt. Als bank moet je volgens Van Beers sowieso continu alles op tafel kunnen leggen. “Ze moeten steeds weer rapporteren, over hun boekhouding, hun systemen, hun controlemechanismen en hun fouten.”
Door de mand gevallen
Uiteindelijk drijft de gehele financiële wereld vooral op vertrouwen in elkaar. “De corebusiness van banken is vertrouwen”, stelt Van Beers. “Waarom heb je een bankrekening? Omdat het veiliger is om je geld daar te stallen dan het contant in je kast te leggen. Als een bank dit vertrouwen schaadt, omdat die frauduleus is of zijn beveiliging niet op orde heeft, dan is hij snel zijn klanten kwijt.”
Van Beers zegt ‘met de hand op zijn hart’ dat hij in zijn 35-jarige carrière geen grootschalige fraude met tegoeden bij banken is tegengekomen, of dat er een miscommunicatie was tussen banken. Het enige wat hem te binnen schiet is een verhaal van een programmeur die in de jaren zeventig de computers van een financiële instelling zo had geprogrammeerd dat er steeds een fractie van elke transactie naar hem werden overgemaakt. Na een reguliere controle van de boekhouding viel hij door de mand.
Natuurlijk kun je het betalingsverkeer zelf beveiligingen en back-uppen totdat je een ons weegt, uiteindelijk is het afhankelijk van andere systemen. Wat als bijvoorbeeld het internet eruit ligt? Waarschijnlijk kunnen banken dan nog steeds met elkaar praten en overboekingen doen. Of de consument daar wat aan heeft, is echter de vraag. Het laatste stukje communicatie – bijvoorbeeld naar de pinautomaat in de winkel – verloopt meestal via het gewone internet. De banken kunnen weliswaar nog met elkaar communiceren, maar als ze voor de klant onbereikbaar zijn, dan is maar de vraag of er überhaupt iets is over te maken.