Tde Indiase regering is slecht geïnformeerd en heeft zich nu teruggetrokken, richtlijn om de app ‘Sanchar Saathi’ vooraf te laden op elke nieuwe smartphone bevindt zich op het kruispunt van twee echte problemen: de duidelijke groei van cyberfraude en identiteitsdiefstal, en de gestage uitbreiding van de toegang van de overheid tot persoonlijke gegevens via hulpmiddelen die moeilijk te controleren zijn. De regering presenteerde ‘Sanchar Saathi’ als een praktisch antwoord op oplichting waarbij gebruik wordt gemaakt van valse apparaten en anonieme accounts. Maar wanneer dezelfde app geprivilegieerde toegang krijgt op honderden miljoenen apparaten, verandert dit structureel de surveillancecapaciteit van het land.
Fabrikanten werd gevraagd de app zo te leveren dat deze zichtbaar was wanneer een gebruiker een apparaat voor het eerst gebruikte en ervoor zorgde dat gebruikers deze niet konden uitschakelen. Uit rapporten bleek dat de app zou worden geïnstalleerd met een bevoorrechte status, waardoor deze brede toegang zou krijgen tot apparaatfuncties zoals telefoon, sms en locatie, waarbij updates via de ether zouden worden gepusht. Dit was verontrustend vanwege dat feit dat de regering van India Sanchar Saathi al exploiteert als een reeks portalen en korte codes. Tegenwoordig kunnen gebruikers het IMEI-nummer van een apparaat verifiëren door een sms met de tekst “KYM” en hun IMEI-nummer naar 14422 te sturen of door het nummer te controleren op de websites van Sanchar Saathi of CEIR. Deze tools werken zonder alwetende apps op de telefoon.
In een toevallige (U-)wending van de gebeurtenissen De regering heeft haar richtlijn op 3 december ingetrokken na overweldigende reacties van maatschappelijke groeperingen, politieke oppositieleiders en activisten voor digitale rechten. Naad De Hindoe meldde dat de overheid “de verplichte voorafgaande installatievereiste niet langer zal handhaven” en dat “functionarissen benadrukten dat gebruikers de app op elk moment konden verwijderen”.
Beproeving van de noodzaak
De Hindoe’s manager op 3 december wees erop dat de richtlijn de door het Hooggerechtshof geformuleerde evenredigheidstoets zou doorstaan KS Puttaswamy (2017) omdat dezelfde doelen kunnen worden bereikt door bestaande portalen, USSD-codes en op sms gebaseerde controles.
‘Sanchar Saathi’-app kan ook niet slagen voor de noodzakelijkheidstoets uit hetzelfde vonnis. (De derde test is de legaliteit.) Het lijdt geen twijfel dat cyberfraude, inclusief fraude met “digitale arrestaties” en investeringsplannen, overal geavanceerder is geworden. INTERPOL schat dat online financiële fraude de slachtoffers wereldwijd meer dan een biljoen dollar zal kosten in 2023. Maar constitutioneel gezien is “dit een ernstig probleem” een onvoldoende rechtvaardiging; de staat moet laten zien dat er geen even effectieve, minder ingrijpende manieren zijn om dat probleem op te lossen. En in India gaat het record al jaren de andere kant op.
Ten eerste beschikt het land al over een telecom-spam- en frauderapportagesysteem dat is opgebouwd rond de TRAI ‘DND’-app en de korte code 1909, die klachten van gebruikers gebruikt om spamnummers te ontkoppelen en op de zwarte lijst te zetten. De portalen Sanchar Saathi en CEIR ondersteunen ook al IMEI-verificatie en -blokkering via sms en webgebaseerde interfaces.
De ‘DND’-app had ook een waarschuwingsverhaal. Het is ontworpen om oproep- en sms-logboeken te lezen, zodat gebruikers spam kunnen melden. Apple weigerde jarenlang om die versie in zijn winkel toe te staan, omdat uitgebreide toegang tot telefoonlogboeken een ernstige schending van zijn privacybeleid was. Na een compromis heeft Apple tools op systeemniveau toegevoegd om spam te rapporteren en uiteindelijk een smallere versie van de app goedgekeurd. Het nieuwe ‘Sanchar Saathi’-mandaat leek op hetzelfde patroon, maar op een veel grotere schaal en met een door de staat gecreëerde app die op de meeste apparaten zowel geprivilegieerd als niet-verwijderbaar was.
Tegen de achtergrond van onopgeloste vragen over het gebruik van Pegasus-spyware tegen journalisten, politici en activisten in India is er een duidelijk gebrek aan vertrouwen in elke maatregel die wordt bezield door een centraliserende impuls.
Cynische oplossing
Ten tweede is een geprivilegieerde app op bijna elke smartphone een aantrekkelijk doelwit, niet alleen voor overreactie door overheidsinstanties, maar ook voor criminele actoren die erin slagen de app zelf of de updatekanalen ervan in gevaar te brengen. Onderzoek op het gebied van cyberbeveiliging heeft herhaaldelijk aangetoond dat zodra aanvallers voet aan de grond krijgen binnen een wijdverspreide systeemcomponent, zij zich lateraal op schaal kunnen verplaatsen. De richtlijn was verwerpelijk omdat de overheid redelijkerwijs niet van burgers kon verlangen dit extra systeemrisico te accepteren wanneer de kernfunctie van apparaatauthenticatie zou kunnen worden geleverd via smallere kanalen die alleen op aanvraag toegankelijk zijn en niet op de achtergrond blijven.
Ten derde, en misschien wel het allerbelangrijkste, was de richtlijn een aantoonbaar cynische oplossing. Digitale fraude is sterk afhankelijk van social engineering: fraudeurs slagen niet wanneer ze geld of inloggegevens stelen, maar wanneer ze angst, urgentie en een gevoel van valse autoriteit in de geest van een gebruiker creëren. Uit een recent onderzoek van de Bank for International Settlements naar digitale fraude bleek dat bij veel incidenten misbruik werd gemaakt van gebruikers in plaats van van technische storingen, en werd zowel klantenvoorlichting als technische maatregelen aanbevolen om het probleem aan te pakken. Het werk van de OESO op het gebied van digitale financiële geletterdheid heeft het veilige gebruik van digitale betalingen op vergelijkbare wijze geformuleerd als een competentie die kan worden onderwezen en geoefend.
Het veranderen van gebruikersgedrag is wenselijker dan het dreigen met het in gevaar brengen van de (digitale) integriteit en rechten van individuen. Op deze manier zullen individuen de vaardigheden en de bereidheid verwerven om alle vormen van fraude te weerstaan, in plaats van alleen degenen die afhankelijk zijn van digitaal analfabetisme en angst voor autoriteit. Hoewel deze manier ook arbeidsintensiever en tijdrovender is, zullen de voordelen ervan krachtiger en duurzamer zijn.
Bewijsmateriaal uit de mondiale Zuid-landen ondersteunt een dergelijke focus. In Kenia ontwikkelden onderzoekers die in 2023 telefonische fraude bestudeerden een maatstaf voor het ‘fraude-identificatievermogen’ en testten ze een zachte educatieve interventie op basis van algemene tips. Ze ontdekten dat generiek advies het algehele vermogen van gebruikers om oplichting van echte berichten te onderscheiden niet verbeterde en gebruikers soms overdreven voorzichtig maakte, waardoor ze zelfs legitieme communicatie verkeerd classificeerden. De les is niet dat gedragsverandering niet relevant is, maar dat gedragsverandering niet kan worden aangepast door middel van slogans. Het moet continu zijn, cultureel gevoelig, afgestemd op lokale fraudepatronen en compatibel met de manier waarop telecommunicatieaanbieders en overheden daadwerkelijk communiceren.
Digitale geletterdheid
India beschikt al over de bouwstenen voor een dergelijke missie. De Reserve Bank of India organiseert al lang e-BAAT-sessies en andere outreachprogramma’s over veilig digitaal bankieren, waarbij gebruikers worden gewaarschuwd om geen pincodes, wachtwoorden en OTP’s te delen en typische fraudescripts worden uitgelegd. De ‘RBI Kehta Hai’-campagne heeft deze boodschappen naar de massamedia en digitale platforms gebracht, met de nadruk op verantwoord bankieren en fraudepreventie, waarbij gebruik werd gemaakt van de brede aantrekkingskracht van beroemdheden als Poorvisha Ram, Umesh Yadav en Amitabh Bachchan.
Sommige initiatieven op staatsniveau gaan zelfs nog verder. In Chhattisgarh heeft een bewustmakingsbusje voor cyberveiligheid, ondersteund door de deelstaatregering en een bank uit de publieke sector, districten bezocht met straattheater, video’s en demonstraties en herhaaldelijk reclame gemaakt voor de nationale hulplijn uit 1930 voor het melden van financiële cybercriminaliteit. Telangana’s nieuwe ‘Fraud Ka Full Stop’-campagne combineert schoolclubs, bankklantenprogramma’s en districtsevenementen en heeft al een daling van 8% in cybercriminaliteit en een vermindering van 30% in financiële verliezen gerapporteerd. Banken en lokale politie in steden als Tiruchirappalli in Tamil Nadu hebben mobiele kiosken en openbare sessies gebruikt om filialen om te vormen tot informele cyberveiligheidslokalen.
Vergelijkbare inspanningen in andere landen laten zien dat toezichthouders op fraude kunnen reageren zonder hun toevlucht te nemen tot algemene mandaten zoals het installeren van geprivilegieerde software op privé-apparaten. In de Filipijnen heeft de centrale bank een programma voor digitale geletterdheid centraal gesteld in haar strategie voor financiële inclusie. Het programma combineert cyberveiligheid met het vertrouwen van het publiek in digitale financiën en biedt concrete richtlijnen, zoals het vermijden van verdachte links en het verifiëren van websites en applicaties. In Brazilië exploiteren SaferNet en Anatel hulplijnen en educatieve portalen om gebruikers te helpen veiliger gebruik te maken van telecommunicatiediensten. In elk geval waren de instrumenten van de staat bij uitstek informatie, hulp en prikkels voor aanbieders om fraude te monitoren, in plaats van invasieve instrumenten.
Deze benaderingen hebben op de lange termijn twee voordelen ten opzichte van technische oplossingen. Ten eerste reizen ze over kanalen. Iemand die heeft geleerd ongevraagde links te wantrouwen, oproepen te bevestigen en officiële hulplijnen te gebruiken, is minder kwetsbaar voor oplichting op basis van simkaarten en voor fraude die binnenkomt via berichtenplatforms en nieuwe digitale betaalmiddelen. Ten tweede verminderen ze de noodzaak van herhaald overheidsingrijpen op de applicatielaag. Zodra een routine van rapporteren, kruiscontroles en het zoeken naar bevestiging eenmaal in de samenleving is ingebed, kunnen toezichthouders zich richten op systemische maatregelen zoals het opruimen van mule account-netwerken en het verbeteren van de traceerbaarheid van grote waardestromen.
Een geprivilegieerde app zou de reactie op fraude echter hebben beperkt tot één enkele ontwerpkeuze die jarenlang moet worden verdedigd en bijgewerkt, en niets zou hebben gedaan om de digitale geletterdheid van gebruikers te verbeteren.
Drie pijlers
Kortom, de focus van de staat moet worden verlegd van “wat valt er te verbergen?” naar een combinatie van “wat is er te zien?” en een missie om de digitale geletterdheid te verbeteren. Een dergelijke missie moet op drie pijlers rusten. Ten eerste: strenge verplichtingen voor telecommunicatie- en financiële bedrijven om fraudepatronen op te sporen en te verstoren, ondersteund door gedeelde databases en ondubbelzinnige duidelijke straffen voor niet-naleving; ten tweede, gebruikersrapportage en klachtenmechanismen die daadwerkelijk werken; en ten derde, een duurzaam en goed gefinancierd openbaar onderwijsprogramma over digitale risico’s dat burgers behandelt als capabele partners in plaats van als passieve subjecten.
Sanchar Saathi kan als een reeks portalen en opt-in-services een belangrijke rol spelen in deze architectuur. Als de regering zich daarentegen aan het mandaat had gehouden of in de toekomst opnieuw haar toevlucht had genomen tot het dwingen van mensen om te voldoen aan een overkill aan oplossingen, zal ze alleen maar mislukken.
