Je houdt je pas tegen de terminal, het bedrag verschijnt op het scherm, en voor je het weet knippert er een groen vinkje. Geen pincode, geen handeling, gewoon: betaald. Toch kan dat vreemde gevoel bekruipen — wacht, had ik dit niet moeten bevestigen? Het antwoord zit in een systeem dat de meeste mensen dagelijks gebruiken maar zelden echt begrijpen: de dubbele limiet achter contactloos betalen.
Samenvatting
- Er is niet één limiet voor contactloos betalen, maar twee — en die tweede teller werkt op de achtergrond
- Hoe banken je beschermen tegen diefstal met een slim limietensysteem dat je waarschijnlijk niet kende
- Waarom je telefoon anders betaalt dan je kaart — en wat dat voor veiligheid betekent
Wat er in die fractie van een seconde gebeurt
Via NFC-technologie (Near Field Communication) wordt de betaling binnen een seconde verwerkt. Concreet: de radiogolven kunnen maximaal 10 centimeter overbruggen, wat de technologie zeer geschikt maakt voor betalingen. Die korte afstand is geen toeval, het is de eerste veiligheidsmaatregel. Zomaar iemands pas op afstand leegplunderen is technisch simpelweg niet mogelijk.
Wat er daarna gebeurt is even slim. Wanneer je een betaling uitvoert via NFC, worden je daadwerkelijke betaalgegevens niet rechtstreeks doorgegeven. in plaats daarvan wordt er gebruikgemaakt van tokenisatie, waarbij een uniek, tijdelijk nummer wordt gegenereerd voor elke transactie. Je kaartnummer reist dus nooit letterlijk van pas naar terminal. Elke tik genereert een eenmalige code die na gebruik waardeloos is, vergelijk het met een treintje confetti dat na één keer vallen nooit meer hetzelfde patroon maakt.
Elke betaling wordt versleuteld met een unieke code die maar een keer geldig is. Je kaartgegevens worden niet opgeslagen op de betaalautomaat. Dat de kassière jouw pasnummer zou kunnen afkijken of dat een hacker de communicatie onderschept? De versleuteling van de NFC-chip maakt het vrijwel onmogelijk om bruikbare gegevens te onderscheppen.
De twee limieten die alles regelen
Hier zit de kern van de verwarring. Er zijn namelijk niet één maar twee grenzen die bepalen wanneer jij wel of niet moet pinnen.
De eerste is de transactielimiet. Bij bedragen tot €50 is geen pincode nodig. Boven dat bedrag voer je altijd je pincode in. Dat is de grens die de meeste mensen kennen.
Maar er is ook een tweede teller die stil op de achtergrond tikt. Dit is geen dag- of weeklimiet, maar een doorlopende teller die reset zodra je je pin invoert. Die teller houdt bij hoeveel je in totaal contactloos hebt betaald zonder pincode. Voor de veiligheid is het niet mogelijk om eindeloos kleine bedragen contactloos zonder pincode met een betaalpas te betalen. Wanneer opeenvolgende kaartbetalingen zonder pincode bij elkaar opgeteld de limiet van €100 bereiken, moet alsnog de pincode van de betaalpas worden ingetikt op de betaalautomaat. Dat moet ook als er een paar dagen of weken voor nodig zijn om deze limiet te bereiken.
Stel: je betaalt maandag €38 bij de supermarkt, dinsdag €29 bij de drogist en woensdag €35 bij een kledingwinkel. Dat zijn drie bedragen onder de €50, maar samen kom je op €102. Dan ga je opgeteld over de €100 limiet heen en moet je wél je pincode intoetsen. Heb je dit gedaan, dan kun je weer €100 pinnen zonder gebruik van de pincode. De teller begint na die ene pincodemomenten opnieuw bij nul.
Dat verklaart ook de omgekeerde situatie: waarom een betaling van €47 ineens wél doorging zonder code, terwijl je eerder bij €31 wel moest pinnen. Het gaat niet alleen om het bedrag van dat moment, de cumulatieve teller had zijn grens bereikt en werd net gereset.
Wat als je telefoon betaalt in plaats van je pas?
Betalen via smartphone werkt anders. Bij mobiele betalingen zoals Apple Pay of Google Pay wordt de pas vervangen door een digitaal token in de telefoon. Deze werkt alleen als het toestel eerst wordt ontgrendeld met vingerafdruk, gezichtsherkenning of een toegangscode. Dat heet biometrische verificatie: een extra beveiligingslaag die criminelen buiten spel zet.
Bij Apple Pay, Google Pay en betalingen via iPhone, smartwatches of mobiele telefoons is er altijd eerst ontgrendeling nodig. Zonder vingerafdruk, gezichtsherkenning of toegangscode kan niemand “zomaar contactloos” betalen. Die ontgrendeling vervangt in feite de pincode, waardoor je bij mobiel betalen bij veel hogere bedragen geen pincode op de terminal hoeft in te voeren. Een smartwatch activeer je éénmalig; zolang je die draagt, betaal je veilig en snel.
Ruim 93% van alle pinbetalingen verloopt inmiddels contactloos, een getal dat laat zien hoe grondig dit systeem is ingeburgerd in het dagelijks leven. Nederland loopt daarmee internationaal ver voorop.
Wat bij verlies of diefstal?
De dubbele limietstructuur is niet alleen handig voor jou aan de kassa, ze is ook bewust ontworpen als vangnet. Deze dubbele beveiliging voorkomt dat iemand bij verlies of diefstal van je pas onbeperkt contactloos kan betalen. Je hebt geen eigen risico als iemand anders contactloos betaalt. Als een dief betaalt zonder pincode draai je in principe niet zelf op voor de schade.
Wel geldt: hoe sneller je meldt, hoe beter. De bank blokkeert de pas meestal binnen een paar seconden. Betalingen die na de melding worden gedaan, zijn altijd voor rekening van de bank. Dat is de afspraak. De banken geven aan dat zij schade door verloren of gestolen pinpassen ook tot de hogere limieten blijven vergoeden.
Wie toch extra gerust wil slapen, kan via de bankapp de contactloze limiet verlagen of de functie tijdelijk uitzetten. Je kunt het limiet voor contactloos betalen verhogen tot maximaal €150 per dag. Omgekeerd kun je het ook lager instellen, of zelfs volledig uitschakelen, al kan dat bij sommige banken niet. Schakel contactloos betalen met je betaalpas uit als je het niet gebruikt. Dit kan via internetbankieren of via de app.
De volgende keer dat je kaart zonder piep-piep-pincode door de terminal gaat, weet je wat er in die fractie van een seconde speelt: een keten van tokenisatie, versleuteling en twee onzichtbare tellers die stiller werken dan je ooit had vermoed. De vraag is eerder of beveiliging die zo onzichtbaar is, ons niet een beetje slordig maakt, en of we eigenlijk wél willen weten hoeveel er stilletjes van onze rekening tikt.
Sources : qonto.com | abnamro.nl