Analyse: is Itsme betrouwbaar?
Itsme zag het levenslicht in 2017 als een unieke samenwerking tussen banken, overheidsinstanties en de grote telecomoperatoren van ons land. Het doel van Itsme is om het inloggen op digitale platformen een stuk eenvoudiger te maken voor de consument. Dankzij de applicatie heb je niet langer meer een kaartlezer nodig om je bankverrichtingen uit te voeren of je jaarlijkse belastingaangifte in te dienen. Je koppelt je identiteitskaart en bankkaarten aan je Itsme-account, en nadien heb je enkel nog je smartphone en vinger nodig om in te loggen.
In het digitale tijdperk is een dienst zoals Itsme nagenoeg onmisbaar geworden. Nu ook banken en de overheid veel meer beginnen terugvallen op digitale dienstverlening, een proces dat door de coronapandemie alleen maar versneld is, hebben we de app ook veel meer nodig. Itsme telde meer dan 80 miljoen inlogpogingen in 2020, een verdubbeling ten aanzien van een jaar eerder. Maar is Itsme wel volledig veilig en betrouwbaar? Dat zoeken we graag voor je uit als je nog met twijfels zit.
Inloggen met je vingerafdruk
Eerst moeten we goed begrijpen hoe Itsme precies in elkaar zit. We starten dus met een snelcursus voor de app. Itsme is een gratis app die zowel voor Android- als iOS-toestellen kan gedownload worden. De eerste keer dat je inlogt op de app, zal je een account moeten aanmaken met je gsm-nummer en e-mailadres. Nadien kan je jouw bankrekening en eID koppelen aan je account. Voor je bankrekening zal je worden doorverwezen naar de app of website van je bank. Je ontvangt een sms met een code die je in de app moet ingeven. Daarna maak je nog een 5-cijferige pincode aan om je bankkaart te beveiligen. De koppeling van je eID verloopt min of meer hetzelfde. Je connecteert je elektronische kaartlezer en geeft de pincode van je identiteitskaart in de app. Nadien ontvang je een identificatiecode en controlecode per sms. Geef die laatste code in de app en je ID is verbonden. Je kan ook nog een scan van je vingerafdruk maken om daarmee in te loggen.
[related_article id=”268331″]Eens je account aangemaakt is, kan je het gebruiken om in te loggen bij platformen die de app ondersteunen. Zowat alle banken en overheidsdiensten bieden die ondersteuning. We leggen ook even kort uit hoe dat loopt. Ga naar de website en kies voor de optie Inloggen met Itsme. De website zal dan een inlogalert naar je Itsme-app sturen. Ga naar de app en tik op de notificatie. Is de informatie correct, tik dan op bevestigen en plaats dan je vinger op de scanner om nog eens te bevestigen. Zo simpel is het.
Strenge veiligheidsnormen
Één van de voornaamste redenen om Itsme te gebruiken is dus vooral het gebruiksgemak. Maar is het ook allemaal wel veilig? De Europese Unie legt aan appontwikkelaars zeer strenge privacynormen op voor de opslag en het beheren van gebruikersdata. De ontwikkelaars van Itsme hebben die regels gewoon te respecteren, punt. Op haar website is Itsme overigens zeer transparant over de data die het van jou opslaat. Dat zijn je identiteitsgegevens (naam, mailadres), locatiegegevens, transactiehistoriek en inschrijvingsgegevens. Alle gegevens worden versleuteld zodat ze niet door derden toegankelijk zijn en bewaard binnen de grenzen van België. Belangrijk gegeven is dat je unieke inlogcode niet wordt opgeslagen. Stel dat in het slechtste geval Itsme toch betrokken raakt bij een datalek – het is de beste al overkomen – dan nog kan enkel jij je code weten.
Een ander kritiek beveiligingspunt is de netwerkverbinding tussen Itsme en de websites waarop je inlogt. Die moeten met elkaar communiceren om de inlogalert en de bevestiging naar elkaar te verzenden. Als die verbinding via een openbaar netwerk zou gebeuren, kan deze door hackers halverwege ‘onderschept’ worden. Dat noemen ze in hackerstermen een man-in-the-middle-aanval. De telecomoperatoren hebben hun schouders mee onder het project gezet precies om dat te voorkomen. De interactie verloop niet via publiek internet maar via een privaat netwerk van je provider waar je via je simkaart toegang toe krijgt.
“Itsme is zoals je bankkaart: zonder pincode kan niemand buiten jij er gebruik van maken.”
Wat gebeurt er nu als je je smartphone zou verliezen? In principe kan wie je smartphone vindt onmogelijk toegang krijgen tot je Itsme-account als die je pincode niet kent. Net als dat iemand geen geld van je bankkaart kan halen zonder de pincode van je bankkaart. Maar het is aangeraden om in dat geval wel je Itsme-account te blokkeren via de website van de app of via de helpdesk. Je kan je account nadien probleemloos weer heractiveren. De optelsom van al deze voorzorgmaatregelen maken dat wanneer je Itsme gebruikt om bij je bank in te loggen, je op je beide oren kan slapen dat dat in een veilige omgeving gebeurt.