Phishing werkt omdat het banksysteem faalt, niet omdat de klanten dom zijn | opinie

In dit artikel:

Greg Houwer (docent filosofie en schrijver) bekritiseert de gangbare voorstelling van phishing als loutere individuele onoplettendheid en plaatst de schuldvraag in een breder systeemkader. Waar veel waarschuwingen mensen adviseren voortdurend als beveiligingsexperts te handelen — links controleren, geen codes doorgeven, verdachte telefoontjes negeren — stelt Houwer dat dit onrealistisch is: digitale bankomgevingen zijn ingewikkelde technische ecosystemen waarvan de gemiddelde gebruiker geen expert kan zijn en dat ook niet behoort te zijn.

Phishing werkt omdat criminelen menselijk gedrag exploiteren — vertrouwen, tijdsdruk, angst en verwarring — niet omdat slachtoffers dom zijn. Banken weten dat; ze beschikken over gedragsinzichten, klantdata en flinke investeringen in beveiliging. Toch schuiven zij bij fraude vaak de verantwoordelijkheid terug naar de klant. Dat is problematisch omdat het systeem zélf kwetsbaarheden creëert en die op de gebruiker afwentelt.

Daarnaast wijst Houwer op een dubbelzinnigheid: banken bouwen juist veel barrières in om consumenten te beschermen — limieten, blokkeringsmechanismen en extra controles — maar tegelijk hebben ze sterk ingezet op snelle, frictionless transacties en volledige digitalisering. Die prioriteit van snelheid en efficiëntie betekent dat bedragen tegenwoordig binnen enkele seconden kunnen verdwijnen; zodra dat gebeurt is terughalen vaak onmogelijk. Met andere woorden: waar in sommige gevallen afwijkend gedrag automatische alarmsignalen oproept (bijvoorbeeld een betaling in het buitenland), faalt het systeem in andere gevallen juist op cruciale momenten.

Houwer benadrukt dat de oplossing niet bestaat uit volledige afscherming van klanten — dat zou prikkels tot verantwoord gedrag wegnemen en nieuw misbruik bevorderen — maar ook niet uit het simpelweg afschuiven van alle verantwoordelijkheid op het individu. Het relevante vraagstuk is waarom één menselijke vergissing vaak volstaat voor een financiële ramp en hoe het ontwerp van diensten dit mogelijk maakt. Een robuustere aanpak begint bij het ontwerpen van systemen die uitgaan van hoe mensen daadwerkelijk handelen, niet van een ideaalbeeld van constante waakzaamheid.

Kortom: phishing is geen puur persoonlijk falen maar een systeemprobleem waarin banken, door te kiezen voor maximale snelheid en zo weinig frictie mogelijk, soms onvoldoende tegenwicht bieden tegen de voorspelbare tactieken van oplichters. Houwer pleit voor een middenweg: technische en organisatorische maatregelen die rekening houden met menselijke fouten, gecombineerd met redelijke verantwoordelijkheid voor zowel instellingen als gebruikers.