De Finansinspektionen stelt een onderzoek in naar Klarna. De Zweedse financiële toezichthouder brengt een kortstondig datalek in kaart, waar het bedrijf in mei mee te kampen had. De uitkomsten van het onderzoek worden samengevoegd met een ander onderzoek dat momenteel tegen het bedrijf loopt.
Dat bevestigt de toezichthouder tegenover persbureau Reuters.
Toezichthouder kijkt of Klarna het bankgeheim heeft geschonden
Op 27 mei zagen klanten die ingelogd waren een half uur niet hun eigen gegevens, maar die van een ander. Begin juni maakte de Zweedse betaaldienst kenbaar dat dit het gevolg was van een menselijke fout en dat het niet nog een keer zou voorkomen. Bovendien waren kaartgegevens van klanten niet zichtbaar bij het lek, zo benadrukt Klarna. De mededeling was voor de Finansinspektionen onvoldoende om haar gerust te stellen.
“We gaan onderzoeken of Klarna het bankgeheim geschonden heeft in verband met een IT-incident dat zich in mei heeft voorgedaan. Daarbij hadden de klanten van de bank voor een beperkte tijd toegang tot informatie over elkaar”, vertelt de financiële waakhond in een verklaring tegenover Reuters.
Een woordvoerder van Klarna vertelt dat het onderzoek niet als een grote verrassing komt. “[Het] werd zeer verwacht als onderdeel van onze reguliere dialoog met de Zweedse financiële autoriteit. Zoals altijd benaderen we dit met volledige samenwerking en transparantie.”
‘Klarna beschermt klanten onvoldoende tegen identiteitsfraude’
De toezichthouder zegt dat de uitkomsten van het onderzoek over mogelijke schending van het bankgeheim worden toegevoegd aan een ander onderzoek. Het laatst genoemde onderzoek loopt sinds afgelopen maart en probeert een antwoord te geven op de vraag hoe Klarna omgaat met het verwerken van klantgegevens en cybersecurityrisico’s.
De Consumentenbond vroeg hier afgelopen februari al aandacht voor. De belangenorganisatie claimde dat de Zweedse betaaldienst klanten onvoldoende beschermt tegen identiteitsfraude. De bond ontdekte in september 2020 dat het mogelijk is om via Klarna een bestelling te plaatsen op naam en rekening van een ander, terwijl de bestelling wel netjes bij jou op de deurmat belandt. Bij het afrekenen vraagt de betaaldienst niet om een wachtwoord. Het invullen van persoonsgegevens is volgens de Consumentenbond voldoende. Ook is er geen vorm van meerfactorauthenticatie.
In een reactie liet Klarna weten dat het om een incident ging en dat de beveiliging van het betaalsysteem op orde is. Sandra Molenaar, directeur van de Consumentenbond, noemde de reactie van de Zweedse betaaldienst ‘bijzonder laconiek’. In januari nam de belangenorganisatie nogmaals de proef op de som en wederom slaagde ze erin om bestellingen succesvol op een ander adres af te leveren dan het factuuradres.
Klarna komt met extra beveiligingsmaatregelen om identiteit van klanten vast te stellen
Daarop besloot Klarna om extra beveiligingsmaatregelen te nemen. In een persverklaring zei het bedrijf dat ze ‘extra authenticatie maatregelen’ had toegevoegd, zonder in te gaan op de details daarvan. Verder maakt ze gebruik van ‘hoogwaardige detectietechnologie, interne algoritmes en risicomodellen’ om fraude op te sporen. Tot slot implementeerde Klarna ‘aanvullende autorisatie tools’ als One Time Passwords (OTP) om de identiteit van klanten tijdens een aankoop vast te stellen.
“Deze optelsom van maatregelen stelt Klarna gelukkig in staat om het overgrote deel van verdachte transacties te onderscheppen”, aldus het bedrijf in een persbericht.
