Kabinet wil telecomproviders verplichten om telefoonspoofing aan te pakken

| AE 12738 | Ondernemingsvrijheid | 17 reacties

Het kabinet komt later dit jaar met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat las ik bij Security.nl, dat zich baseert op een brief aan de Tweede Kamer van demissionair minister Grapperhaus. Een logische maatregel lijkt me dat je niet zomaar toestaat dat iedere klant ieder nummer als afzender kan sturen, waar ik vorig jaar over blogde. Eind vorig jaar besloten banken na overleg met minister Hoekstra om slachtoffers van telefoonspoofing met terugwerkende kracht te vergoeden. 96 procent van de slachtoffers is inmiddels vergoed. Dat voelt als een stuk meer geld dan zo’n maatregeln.

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Nu is er dus een plan om de wet aan te passen om hier regels voor te maken:

De regels voor nummerdoorgifte (de afzenderinformatie van een oproep of bericht) zullen daarbij worden aangepast en ook zal het gebruik van alfanumerieke informatie worden betrokken door hieraan passende voorwaarden te verbinden. Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. Bij de regels voor nummerdoorgifte zullen concrete verplichtingen bij telecomaanbieders worden gelegd, en zal nadrukkelijk ook de rol van de aanbieder van de telecomdienst van waaruit de oproep plaatsvindt of het bericht wordt gestuurd, worden geadresseerd.
De kern van het probleem – als ik het ondertussen goed begrijp – is dat telecomproviders vaak geen eigen infrastructuur hebben, maar deze inkopen bij een grotere partij. Dat kan zelfs bij meerdere lagen (ik koop bij A, die inkoopt bij B, die weer bij C, enzovoorts tot ergens bij X of Y). En als je dan als X of Y dat mogelijk wil maken, dan is controleren of de klanten van A wel gerechtigd zijn tot die nummers wel héél veel rompslomp. Zeker omdat het dan gaat om A1 t/m A9001 bij wijze van spreken.

Desondanks lijkt me een check als deze de enige mogelijkheid. Het enige alternatief dat ik kan bedenken is een zwarte lijst – gij zult niet toestaan dat er met deze nummers outbound gebeld wordt, behalve provider K want die hééft de bank als klant – maar dan moet dat continu geupdate worden en is er discussie over wie er wel of niet op mag. Alleen banken, ook betalingsproviders, en hoe zit het met pakketbedrijven zoals DHL waar ook veel oplichting plaatsvindt (“Uw pakketje vereist inklaringskosten”)?

Arnoud

Zijn telecomproviders aansprakelijk voor gespoofte telefoonnummers?

| AE 12139 | Ondernemingsvrijheid | 51 reacties

Een lezer vroeg me:

Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.

Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.

Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Aansprakelijk voor problemen als gevolg van zo’n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder “informatie” valt ook metadata zoals het nummer van de afzender/beller.

Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen. Het lijkt mij een vrij eenvoudige regel om in te voeren, en gezien de opkomst van deze fraude ook geen gek idee. Of mis ik een reële case waarom mensen arbitraire nummers moeten kunnen meesturen met uitgaande telefoongesprekken?

Arnoud