Logo Parlement Buxellois

Schriftelijke vraag betreffende de door de vzw IRISteam ASBL gebruikte online banking app en het risico op fraude.

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 795)

 
Datum ontvangst: 19/07/2021 Datum publicatie: 26/10/2021
Zittingsperiode: 19/24 Zitting: 20/21 Datum antwoord: 13/10/2021
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
24/09/2021 Ontvankelijk p.m.
 
Vraag   

In het 25e boek van het Rekenhof, voorgelegd aan het Brussels Hoofdstedelijk Parlement en aan de Verenigde Vergadering van de Gemeenschappelijke Gemeenschapscommissie (A-271/1-2020-2021 / B-54/1-2020-2021)1, vestigt het Rekenhof onder meer de aandacht op het volgende punt:

«Door de manier waarop de door IRISteam gebruikte onlinebankapplicatie is geconfigureerd, biedt ze de mogelijkheid manueel stortingen aan te maken en uit te voeren zonder beperking qua bedrag en zonder dat het IT-systeem controleert of er een van een bevoegde ordonnateur afkomstige, regelmatige betalingsopdracht voorhanden is. Het risico op fraude wordt dus niet volledig in de hand gehouden.» 2

Ter aanvulling van mijn informatie, zou ik u de volgende vragen willen stellen in verband met de door de vzw IRISteam gebruikte toepassing voor internetbankieren en het risico op fraude:

  • Welke middelen zijn, sinds het Rekenhof uw aandacht en die van uw kabinet hierop heeft gevestigd, ingezet en concreet toegepast om het risico op fraude tot een minimum te beperken? Werd in voorkomend geval een beperking qua bedrag opgelegd?

  • Wordt met de huidige configuratie van de toepassing voor internetbankieren het risico op fraude volledig voorkomen? Werd een nieuwe, meer betrouwbare configuratie geïmplementeerd?

1 Rekenhof, "25e Boek van het Rekenhof, voorgelegd aan het Brussels Hoofdstedelijk Parlement en aan de Verenigde Vergadering van de Gemeenschappelijke Gemeenschapscommissie", https://www.ccrek.be/FR/Publications/Fiche.html?id=e07ba888-8e71-4663-9d06-511a251b7205, geraadpleegd op 8 juli 2021.

2 Idem, blz. 157.

 
 
Antwoord    1/
Zoals ik had meegedeeld in het antwoord op uw vorige vraag betreffende hetzelfde onderwerp aangaande het CIBG, maakt ook IRISteam vzw gebruik van een door Belfius Bank ontwikkelde banking app. Als gevolg daarvan is men onderworpen aan de configuratiebeperkingen die door deze applicatie worden opgelegd.
Net als bij andere applicaties (Isabel bijvoorbeeld) laat deze toepassing bijvoorbeeld niet toe om handmatige overschrijvingen rechtstreeks op het platform te blokkeren of om limieten voor betalingsverrichtingen te beheren.

Om het risico op fraude te beperken, dient via deze applicatie een overschrijving echter te worden goedgekeurd met een dubbele handtekening. Dat werd geïmplementeerd voor IRISteam vzw en verplicht gemaakt voor alle betalingen, ongeacht of deze worden gegenereerd door de boekhoudkundige applicatie van IRISteam vzw zelf, dan wel handmatig worden opgemaakt. Er geldt steeds de verplichting van de 2 handtekeningen, waaronder deze van de gedelegeerd bestuurder of deze van de bestuurder.

Bovendien zijn alle betalingsvoorstellen (gegenereerd door de boekhoudkundige applicatie van IRISteam vzw ofwel handmatig) vooreerst het voorwerp geweest van een boekhoudkundige verbintenis en vereffening, die werden goedgekeurd door de gevolmachtigde in het boekhoudkundige systeem van IRISteam vzw.

Daarnaast maakt IRISteam vzw gebruik van de door de Belfius-banking app geboden mogelijkheid om handmatige overschrijvingen uit te voeren, maar uitsluitend in het geval van internationale overschrijvingen, die niet automatisch worden beheerd door de boekhoudkundige applicatie van IRISteam vzw.


2/
Qua functionele mogelijkheden wordt IRISteam vzw beperkt door wat de Belfius-toepassing toelaat, zoals uitgelegd in punt 1.

Hoewel tot op heden nooit enige fraude of dubbel gebruik werd vastgesteld, herziet IRISteam vzw momenteel de rechten van de verschillende gebruikers, zodat één en dezelfde persoon niet handmatig een overschrijving kan aanmaken en ondertekenen:
- Exclusieve schrijfbevoegdheid: enkel één of twee personen zullen het recht hebben om te uploaden en/of handmatige overschrijvingen aan te maken.
- Exclusieve tekenbevoegdheid: enkel bepaalde personen zullen het recht hebben om collectieve of handmatige betalingsvoorstellen te ondertekenen.
- Niemand zal over zowel schrijf- als tekenbevoegdheid beschikken.

Ook zal het risico op fraude verder beperkt worden, door naast de verplichte dubbele handtekening nog een extra beveiligingsniveau in te voeren: ten minste de handtekening van de gedelegeerd bestuurder of van de bestuurder zal daarbij vereist worden.