Cécile Zoetemelk kampt bijna drie jaar met de naweeën van diefstal. Sinds zij in augustus 2009 beroofd werd van haar Visa Card, probeert zij haar geld en rechtsgevoel terug te krijgen. Maar de bankwereld geeft niet thuis

In een onbewaakt ogenblik ontfutselt een onverlaat haar betaalpas in een Leiderdorpse kledingzaak. Vervelend, vindt Zoetemelk, maar er is geen man overboord. De dief kent immers haar pincode niet? Alleen een helderziende zou de cijferformule kunnen raden. Maar uit afschrijvingen blijkt dat de dief toch 1200 euro heeft kunnen pinnen zonder dat Zoetemelk de code heeft prijsgegeven.

Als klant van Visa ICS rekent zij op een schadevergoeding. Maar het bedrijf betaalt niets, omdat Zoetemelk haar Visa Card en code niet goed zou hebben beheerd. ,,Hoe komen ze erbij!’’, zegt Zoetemelk boos als zij mij de zaak voorlegt. ,,Natuurlijk had ik die code niet bij het pasje bewaard. Wel dacht ik altijd: als ik mijn pas kwijtraak, kan niemand aan mijn geld komen. Want daarvoor heb je de pincode nodig.’’

Zoetemelk heeft het gevoel dat zij niet alleen Visa ICS, maar ook het hele Nederlandse bankwezen van haar gelijk moet overtuigen. Met behulp van Norbert van de Laar van Slachtofferhulp Nederland en later ook de ombudsman van de krant zoekt zij het hogerop. Maar bij de geschillencommissie Kifid vangt zij na een maandenlange procedure bot. Tegenover haar wetenschappelijk onderbouwde bewering dat een pincode te kraken is, stelt Visa dat zo’n slimme kraker die methode dan ongetwijfeld vaker zou toepassen. Volgens woordvoerder André IJbema blijkt dat echter nergens uit. Het voorval is niet te wijten aan het systeem, maar aan de klant.

Tegen Visa pleit dat de pasjesdief meer dan de daglimiet van de rekening van Zoetemelk kon plunderen. Ook beweerde Visa zwart op wit dat de clandestiene transacties in Den Haag en Amsterdam binnen 2 minuten zouden hebben plaatsgehad. De bank herstelde die fouten weliswaar, maar won daarmee in de ogen van Zoetemelk c.s. niet aan geloofwaardigheid. De geschillencommissie oordeelt anders. Zij brandt haar vingers niet aan de pincode, maar vindt dat de klant beter op haar Visa Card had moeten passen. Zoetemelk krijgt geen cent terug.

Nog geeft de Leiderdorpse haar kruistocht voor slachtoffers van pinpasfraude niet op. Na een ’ethische hacker’ - die het mogelijk acht dat de code van haar pas te kraken is - komt zij een hoogleraar informatica op het spoor. Professor Chris Verhoef van de VU steekt de Leiderdorpse een hart onder de riem. Volgens hem kunnen banken de onfeilbaarheid van EMV-passen niet garanderen. Hij heeft er (in de Automatisering Gids) een artikel aan gewijd. Brits onderzoek bewijst onomstotelijk dat onbevoegden ook zonder kennis van de pincode een pas kunnen gebruiken. Daarom, vindt Verhoef, moet de bank een slachtoffer van pinpasfraude ruimhartiger schadeloos stellen totdat uit onafhankelijke bron is aangetoond dat de beveiliging deugt.

Nu banken geen waterdichte beveiliging van de EMV-pas kunnen overleggen, kiest Verhoef de kant van slachtoffers van het haperende systeem. Zo reikt hij mij een recente Amsterdamse parallel aan van de Zoetemelk-kwestie. Op Koninginnedag werd in de tram de betaalpas gerold van de vrouw van Jan van der Meer. Hij ontdekt dat pas een dag later. De schade bedraagt ’slechts’ 400 euro. Van der Meer vraagt zijn bank (ING) vergeefs om een schadeloosstelling.

Maar net als bij Zoetemelk was er geen pincode in het spel, want die bestaat alleen in het hoofd van Van der Meer. ,,De dief heeft geld geïnd zonder dat iemand de code heeft prijsgegeven’’, zegt hij. ,,De pincode was voor ons zo gemakkelijk te onthouden, dat wij die nooit hebben opgeschreven. Ook hadden wij die dag nergens gepind of de pas gebruikt.’’

Hoe de code is gekraakt, weet Verhoef niet. ,,Maar de EMV-chip is aantoonbaar niet veilig.’’