175.000 kr. på den gale konto ændrer ikke praksis hos netbank
Et tal for lidt i kontonummeret, og så var de 175.000 kroner forsvundet.
Sparbank-kunden Eli Bammeskov fik sig en ordentlig forskrækkelse, da han via netbank kom til at sende en mindre formue til en forkert konto.
Pengene kom tilbage igen, men efterfølgende har Eli Bammeskov undret sig over, hvordan netbank-løsningen kunne lade ham slippe af sted med at indtaste et kontonummer, der var forkert. Det skriver Morgenavisen Jyllands-Posten.
Der blev puttet et nul ind automatisk, uden at han fik besked, og fordi netbanken på den måde gættede på kontonummeret - uden at advare ham - opdagede han ikke fejlen, lyder hans kritik af Sparbanks netbank-løsning, som it-leverandøren SDC står bag.
Men løsningen er god nok, mener Erik Jakobsen, direktør for SDC, da Version2 taler med ham.
SDC: Vi ændrer ikke procedurerne Problemet opstod, fordi der på grund af banksammenlægninger gennem årene findes kontonumre med et forskelligt antal cifre, også inden for samme bank. Derfor bliver et for kort kontonummer fyldt op med nuller foran de tal, der er indtastet, så der i alt er ti cifre.
»Vi har kørt med denne løsning i 12 år, og vi har millioner af transaktioner om dagen. Det er første gang, vi oplever dette problem. Kunden har været rigtig uheldig og ramt et nummer, som både lever op til modulus 11-testen og som bliver brugt som kontonummer i samme bank,« forklarer direktøren.
Modulus 11-testen er et sikkerhedstjek af kontonummerets struktur.
Fordi kontonummeret passede på et i Sparbank, blev registreringsnummeret også ignoreret. Det er ligeledes almindelig praksis, for på grund af opkøb kan der være mange forskellige registreringsnumre tilknyttet én bank.
»For at man ikke skal bøvle med registreringsnumre for hver overførsel inden for samme bank, så er kontonummeret nok, så længe man er inden for samme bank. Det er ligesom, når man sender et brev. Du går ud fra, at det skal til et sted i Danmark,« siger Erik Jakobsen.
Han regner ikke med, at SDC vil ændre i procedurerne på baggrund af denne sag. Sparbank har ikke bedt om nogle ændringer, men for en sikkerheds skyld vil SDC spørge de fem banker, der fungerer som SDC's testpanel, om de mener, der skal laves om.
»Det er op til dem. Der er jo den fordel ved det, at mange netbank-brugere hver dag slipper for at skulle indtaste ekstra nuller foran selv,« siger direktøren.
Kommentarer (12)
Alarmklokken burde bimle i systemet da registreringsnummeret ikke passede. Det med de foranstillede nuller er ikke noget problem, sålænge man har registreringsnummeret.
-
0 -
0
For at man ikke skal bøvle med registreringsnumre for hver overførsel inden for samme bank, så er kontonummeret nok, så længe man er inden for samme bank. Det er ligesom, når man sender et brev. Du går ud fra, at det skal til et sted i Danmark, siger Erik Jakobsen.
Ja, men det er nok ikke for sjov, at manden har skrevet et registreringsnummer for overførslen.
-
0
-
0
Som det bliver pointeret, så er det normalt nok, hvis registreringsnummeret tilhører samme bank som kontonummeret.
Jeg har ihvertfald oplevet at jeg skiftede registreringsnummer 3-4 gange, uden at skifte kontonummer, fordi Nordea ændrede organiseringen af deres afdelinger.
Jeg er da glad for, at jeg stadig kan få overført penge via det oprindelige registreringsnummer.
-
0
-
0
Som teknikker synes jeg helt klart at registreringsnummeret skal passe.
Og i øvrigt, at man ikke skal ændre registreringsnummer på kundernes konti.
Det er fint nok hvis man ikke behøver at angive registreringsnummer, hvis det alligevel er det samme for afsender og modtager. Men når man angiver et registreringsnummer, så skal det altså passe.
Ifølge hans egen analogi: Hvis jeg skriver Spanien på kuverten, så forventer jeg at brevet ender i Spanien, uanset om der er en adresse magen til i Danmark.
Men nogle gange må teknikken og sikkerheden jo vige for brugervenligheden. Er det okay her? Tjah. JEG synes det ikke.
-
0
-
0
Jeg har lige testet systemet for kontooverførsel hos Danske Bank.
Det viser sig, at netbank IKKE viser modtagerens navn - end ikke inden for SAMME bank.
Det er da for ringe !
(Jeg kan godt forstå, at netbank ikke kan slå op i kunderegistret på enhver fremmet bank, men eget kunderegister ?).
Modsætningsvis for indbetalingskort - her vises modtagerens navn (men jeg kan ikke vide om det er en DB kunde.
Og jeg ser (normalt) efter inden jeg godkender.
Så mon ikke SDC og andre skal deres sit system efter ? Mindstekravet må være, at modtagerens navn vises når det overhovedet er muligt - og det er det ihvertfald indenfor samme bank.
-
0
-
0
Jan, mener du seriøst at "Det er for ringe !" at et pengeinstitut ikke oplyser navnet på ejeren af en konto?
Så med udgangspunkt i dit eget kontonr, og en lille simpel modulus kontrol på de efterfølgende numre , så har du en række valide kontonumre (dog ikke nødvendigvis aktive konti). Du mener så at banken skal oplyse dig om ejerforholdene af disse konti, bare fordi du forsøger at overføre nogle penge? En transaktion du ikke nødvendigvis gemmenfører.
Hvor mange konti og ejerforhold syntes du skal man have lov at høste om dagen?
Kan godt være du syntes det er for ringe, men jeg føler mig nu rimeligt tryg ved at du ikke er ansat som systemdesigner hos SDC.
-
0
-
0
At bankerne ikke viser hvem modtageren er, er ikke af mangel på evner eller vilje (for det meste), men fordi de ikke bare må udlevere oplysninger om hvem der har en given konto.
Ved bank-overførsler mangler man dog generelt en eller anden form for sikkerhed/verifikation for at man overfører beløbet til den rigtige person.
-
0
-
0
Selvfølgelig skal der bedre kontrol til. Hvad er meningen? Med online systemer er det da klart muligt.
Der mangler også brugervenlighed. Selv om jeg bruger mange banker ser jeg ikke et mønster. Der er forskel overalt. F.eks. kan man ikke se om nummeret er numerisk altså højrestillet - hvorfor jeg ikke ville tro at antallet af nuller foran betyder noget. Men nu bruges der også venstrestilling så kan det let gå rivende galt.
Det burde oplyses i det mindste.
Alternativt skal der være bedre søgemuligheder så man selv kan kontrollere det på forhånd.
Swift har en sådan søgning, men man skal sku' nærmest være medlem for at få et brugeligt resultat!
Så se at komme i gang.
-
0
-
0
Selvfølgelig skal der bedre kontrol til.
Det er nemt at sige, men hvad vil du så foreslå at man gør?
F.eks. kan man ikke se om nummeret er numerisk altså højrestillet - hvorfor jeg ikke ville tro at antallet af nuller foran betyder noget. Men nu bruges der også venstrestilling så kan det let gå rivende galt.
Hvor kan det gå galt, at droppe foranstillede nuller mens man indtaster? Jeg kan umiddelbart komme i tanker om postnumre og CPR-numre, men der er man jo ikke i tvivl.
Alternativt skal der være bedre søgemuligheder så man selv kan kontrollere det på forhånd.
Hvad vil du søge i, når banken ikke må oplyse hvem der ejer en given konto? Det eneste de reelt kan fortælle dig, er om kontoen eksisterer. Og det gør de jo.
-
0
-
0
Jeg mener nu jeg har oplevet netop denne feature ved overførsler indenfor Jyske Bank. Jeg ser nu heller ikke så stort et problem, så længe kontonumre behandles som det de nu engang er: en identifier, der ikke kan bruges til andet end at sende penge til. Altså lidt i samme stil som et CPR nummer ikke er andet end en unik identifier for en person i Danmark.
Jeg bor pt. i Korea, og her er de lidt mere fremme i skoene hvad angår overførsler. Inden man godkender overførslen, så får man vist navn på bank og kontoindehaver, så man kan verificere at man sender til den rette. Men i Korea har man også den rigtige indstilling: Her er et kontonummer ikke mere hemmeligt end et telefon nummer, og i nogle banker kan man faktisk oprette sit telefonnummer som kontonummer. Prikken over i'et: kontooverførsler udføres omgående 24/7, så man ikke er begrænset af gammeldags 8-16 mentalitet (email vs. snail mail).
-
0
-
0
