ING, die vanochtend nog sprak van een 'uniek geval', gaf vanmiddag toe dat er meer aan de hand was toen de NOS de bank confronteerde met een tweede melding. Die persoon meldde zich bij de NOS nadat hij het nieuws had gehoord dat een klant van de ING bankgegevens kon inzien van iemand anders.

Niet één, maar vijf klanten van ING konden de afgelopen dagen via de app gegevens inzien van een andere klant van de bank. Ook kon er bijvoorbeeld geld overgemaakt worden. Op de vraag of er misbruik van de situatie is gemaakt, antwoordt de bank: "Daar doen we verder geen uitspraken over."

De persoon die zich vandaag bij de NOS meldde, kreeg bankgegevens te zien van iemand van wie de achternaam met dezelfde vier letters begon: "En die mevrouw had veel geld op de rekening. Een ton of zo. Ik zag ook allerlei privégegevens als 'potje vakantie', 'potje badkamer'. Dat soort zaken. Ik had enorm misbruik kunnen maken van de situatie."

Hij belde de ING op. Daar werd onder meer gezegd: 'Als u even uitlogt en weer inlogt, zal het probleem waarschijnlijk verholpen zijn'. Maar ik maakte me ook zorgen om mijn eigen rekening. Is die wel veilig? Maar dat werd best snel afgekapt."

Rekening opzeggen

Het FD schreef vanochtend dat een ING-klant zomaar online bij de bankgegevens van iemand anders na het inloggen met gezichtsherkenning. "Heel ongemakkelijk," vertelde de rekeninghouder aan het FD. "Ik kon zelfs diens gegevens wijzigen of de rekening opzeggen."

Een systeemfout, zegt ING. "Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continu veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Om wat voor verandering het precies ging kon ING niet vertellen.

Enorme uitdaging

De systemen in de financiële wereld zijn ontzettend groot en complex, vertelt Dave Maasland, directeur van IT-beveiligingsbedrijf ESET. "Steeds meer 'stemmen' moeten hier met elkaar praten. Als je op een iPhone bijvoorbeeld met gezichtsherkenning inlogt op je bank-app, dan geeft Apple een signaal aan je bank dat jij het bent en dan kan de bank je toelaten tot je gegevens."

De rekeninghouder van ING logde ook op deze manier in, maar aangezien de fout bij ING lag, had de gezichtsherkenningssoftware er niets mee te maken.

"Hoe stom het ook klinkt, ik denk niet dat ze ooit kunnen garanderen dat dit nooit meer gebeurt," zegt Maasland. "Het zijn namelijk nog steeds mensen die deze systemen onderhouden. Door de grootte van de systemen is het lastig om ze helemaal waterdicht te maken en te testen. Dit is een enorme uitdaging, hierdoor zijn ze kwetsbaar."

Geen sok onder het bed

Echt bang dat andere klanten plots bij persoonlijke gegevens kunnen hoeven we niet te zijn, zeggen deskundigen waarmee de NOS sprak. "Je ziet dit bijna nooit in de financiële wereld. Deze loopt juist lichtjaren vooruit op het gebied van digitale veiligheid," vertelt Maasland.

"Digitale veiligheid zit in het dna van de bank, het is wat banken verkopen. Daarom stoppen we ons geld niet meer in een sok onder het bed", aldus Maasland.

De systeemfout was volgens ING snel opgelost, doordat de klant bij de bank aanklopte. Het is niet zo dat klanten die de app nog niet hebben geüpdatet nog met de systeemfout zitten, zegt de bank.

'Kan gebeuren'

ABN Amro laat aan de NOS weten ook wel eens een systeemfout te hebben. "Kan een keer gebeuren, maar we doen er natuurlijk alles aan om dat te voorkomen. Onze app wordt zes tot acht miljoen keer per dag gebruikt, dat kan een keer fout gaan."

De Volksbank, waaronder ASN, SNS en Regio Bank vallen, reageert dat de manier waarop je als klant inlogt losstaat van welke gegevens je te zien krijgt. De Rabobank reageert met: "Wij stellen alles in het werk om de gegevens van onze klanten te beschermen. Hiervoor hanteren wij strenge standaarden. Desondanks kunnen wij helaas niet de garantie geven dat er nooit wat fout zal gaan."

Maasland moedigt banken aan om meer openheid te geven over dit soort fouten. "Het is balanceren tussen vertrouwen en openheid."