Bank-kunden Grete Fossbakk fra Tromsø skulle overføre 500 000 kroner til datteren, men tastet ett siffer for mye i kontonummerfeltet. Nummeret ble godtatt og pengene overført til feil person.
– Det er ikke tvil om at jeg gjorde en feil i utgangspunktet, men det må jo stilles spørsmål ved at bankene oppfordrer sterkt til bruk av nettbank, samtidig som de overlater hele risikoen til kundene når det går galt. Du får en feilmelding hvis du skriver feil dato eller kid-nummer, men taster du ett tall for mye i et kontonummer, tar nettbanken automatisk bort det overflødige tallet og godkjenner nummeret, sier Fossbakk til Dagens Næringsliv.
I Skandiabanken er det f.eks slik at kontonummerfeltet har en maksimal lengde på 11 tegn. Det arter seg da slik at eventulle overflødige tegn, enten de er inntastet eller limt inn ikke havner i feltet, men ignoreres. Dette er uheldig av flere grunner. Ofte kopiererer jeg et kontonummer fra en webside eller en epost. Ofte er denne gruppert med enten mellomrom eller punktum slik xxxx.xx.xxxxx
Når jeg så limer det inn forsvinner de to siste sifrene. Før jeg kan få legge dem inn manuelt må jeg fjerne skilletegnene. Fare for feil. Eventuelt må jeg lime inn i Notisblokk først, fjerne skilletenene der og kopiere igjen. Tungvint.
Opplysning: Siste sifferet i et 11-sifret bankontonummer er et et sjekksiffer. Dette vil hindre de aller fleste tastefeilene, men med bare ti ulike mulige verdier av kontrollsiffret så kan en feil forbli uoppdaget i omtrent én av ti tilfeller. Og da skjer det jo naturligvis at mange kunder er uheldige her.
Nå har det blitt hevdet at løsningen må være at nettbanken validerer kontonummret. Det betyr at nettbanken til enhver tid må ha en oppdatert liste over gyldige kontonumre. Til det er å si at, ja, det ville være prima, men det krever en stor omlegging av kontosystemene til bankene. Det er ikke én bank, men et utall små og store. Først når en transaksjon kommer frem til mottakerbankens system sjekkes at kontoen finnes. Oppbyggingen av et bankkontonummer er litt som en IP-adresse. Det leses og tolkes fra venstre, fra det mest signfikante sifferet. Det er bank, så filial, så kontogruppe så selve kontonummret. Skal dette endres og legges i en sentral database så oppstår forhold som ikke er drøftet og avtalt per i dag. F.eks kan banker ønske at kontooversikten og kontienes antall holdes skjult for både konkurrenter og folk flest. Det vil ta tid og trolig kreve endringer av offentlige regler for å gjennomføre dette. Banker tukler ikke med sine fundamenter uten at de må.
Det er også hevdet at nettbanken burde slå opp navnet på mottakeren i det samme et numemr legges inn. Dette vil da naturligvis ha akkurat samme implikasjoner som nevnt over, pluss noen til som angår personvern.
Når det gjelder registerte betalingsmottakere er saken allerede løst. Kontonummeret slåes opp med navn, som så vises før du gjennomfører betalingen.
Jeg kan tenke meg noen andre og mer opplagte regler:
- Kunde skal alltid oppgi navn og adresse på private mottakere. Når en slik betaling ankommer mottakerbanken skal navnet kontrolleres før beløpet godskrives. Skjer det ikke automatisk må man eventuelt ta det manuelt. Her kan lages regler slik at i alle fall store beløp kontrolleres manuelt ved avvik. Ved totalt navne-avvik avvises transaksjonen.
- Meget store beløp får ikke overføres samme dag før etter spesiell bekreftelse eller i det minste et tidsforsinket navneoppslag (asynkron forespørsel). Når store beløp overføres går en forespørsel over til mottakerbanken først, og kunden får så et navneoppslag i ettertid, eller får en eller annen slags tilbakemelding på mottakers navn. Så må overførselen bekreftes en gang til. Apropos: Siden datteren i dette tilfellet var på ferie, så var det neppe egentlig nødvendig å overføre beløpet med forfall samme dag.
I mellomtiden kan det hele løses ved bare litt bedre html og noe smartere programmering. Jeg har laget en demonstrasjon av dette, som også løser mitt problem med innliming, og som ville ha hindret Grete Fossbakks tragiske feil. Siden jeg selv driver med html og programmering av webapplikasjoner som levebrød, og siden jeg er glad i tall og den type utfordringer så gikk jeg i gang med dette, som en illustrasjon av hvor enkelt det kan gjøres sikrere og mer brukervennlig. Er du bank, så er ideen gratis.
Sjekk demoen min her. Den er selvforklarende.
Kommentarer
6 kommentarer til “Nettbank og kontonummer”
Hvordan gikk det med hun dama a ?
Dama har klaget til Bankklagenemnda og går til søksmål mot den urettmessige mottakeren. Det siste trolig uten særlig håp om å få mer tilbake enn de hundre tusen politiet fant. Alt i følge avisene.
Flott demo Knut, vi har skrevet en bloggpost om det samme på http://www.iallenkelhet.no
Takk for et veldig bra blogginnlegg, med konstruktive forslag og bra demo!
Bankene blir sikrere mot tabber.