Een klant van ING komt met z’n iPhone per ongeluk op de rekening van een wildvreemde terecht.
Hij kan bij alle financiële gegevens komen en zelfs aanpassingen op de rekening doen.

ING bevestigt het incident en schrijft het toe aan een ‘fout in het systeem’ die inmiddels is opgelost.
Wie denkt dat internetbankieren via je smartphone veilig is, en dat het dus onmogelijk is dat iemand anders domweg op jouw rekening kan inloggen, komt bedrogen uit. Dat blijkt uit het relaas van een ING-klant die eerder deze week onbedoeld in andermans bankrekening belandde. ‘Een fout in het systeem’, erkent ING.    

De bewuste rekeninghouder probeerde donderdag in te loggen op zijn eigen rekening via de ING-app op zijn iPhone. Hij gebruikte daarvoor de gezichtsherkenning op zijn telefoon. Met die zogeheten ‘Face ID’ opent de app het rekeningoverzicht zodra de telefoon het gezicht van de rekeninghouder herkent. ‘Maar in plaats van mijn eigen rekening, opende de app de rekening van een wildvreemde op mijn telefoon’, vertelt de ING-klant over het gebeurde aan het FD.

‘Tot mijn grote verbazing zag ik daar álle financiële gegevens van deze persoon. Zijn uitgaven, zijn inkomsten, zijn hypotheek, de spaarrekeningen van de kinderen, alles. Ik kon zelfs diens gegevens wijzigen of de rekening opzeggen. Dat zoiets mogelijk was, voelde heel ongemakkelijk. Vooral omdat anderen op die manier mogelijk ook in míjn rekening kunnen komen’, zegt de geschrokken klant.   

De man maakte screenshots van de rekening waar hij per abuis in beland was en waarschuwde ING. ‘Daarop belde iemand van de klantenservice mij terug. Ik kreeg het idee dat de ernst van de situatie niet direct was doorgedrongen bij de bank. Volgens mij was er namelijk iets extreem mis met hun beveiliging.’

ING bevestigt het incident met de bewuste bankrekening. De verkeerde rekening werd geopend door ‘een fout in ons systeem’, zegt een woordvoerder van de bank. ‘De fout hebben we kunnen traceren en deze is opgelost.’ Op de vraag of eerder soortgelijke incidenten hebben plaatsgevonden met andere ING-rekeningen, volgt een ontwijkend antwoord. ‘Het is heel uitzonderlijk als zoiets gebeurt’, aldus de woordvoerder. Ook de vraag of ING het incident als een ‘datalek’ gemeld heeft bij de Autoriteit Persoonsgegevens (AP) blijft onbeantwoord: ‘Daar doen wij nooit mededelingen over.’

Het FD vroeg ook de ING-klant wiens rekening per abuis werd geopend, een medewerker van Amsterdam UMC, om commentaar. ‘Ik schrik hiervan. Wat een rare situatie. ING heeft mij hiervan ook niets gemeld’, zegt hij donderdagmiddag.

Vrijdagochtend laat ING weten dat de bank de ‘betrokken klanten’ inmiddels heeft geïnformeerd. Beide klanten ontkennen dat echter tegenover het FD.

Toezichthouder Autoriteit Financiële Markten (AFM) zegt na vragen van het FD de zaak niet te kennen. Privacywaakhond AP laat weten wel vaker meldingen te krijgen over soortgelijke incidenten. ‘Het komt af en toe voor dat bij digitaal inloggen dat er verkeerde klantgegevens verschijnen. Dat beperkt zich overigens niet tot banken maar het kan bijvoorbeeld ook bij een pensioenverzekeraar gebeuren’, zegt een AP-woordvoerder. Door de toenemende digitalisering neemt het aantal datalekken overigens juist af, stelt de zegsman. Met fysieke post ging het veel vaker mis. ‘Van de jaarlijks twintigduizend meldingen van datalekken die bij ons binnenkomen is het merendeel letterlijk verkeerd bezorgde post’.