Volt als betaalmethode bij online casino’s: techniek, PSD2 en praktijk

Redactie «Volt Casino» juni 6, 2026 Leestijd: 26 min

Waarom Volt geen wallet, geen kaart en geen klassieke betaaldienst is

De eerste keer dat ik Volt in een kassastraat tegenkwam, dacht ik: nóg een wallet erbij. Dat bleek dom. Volt is geen wallet. Het is ook geen kaartschema, geen prepaid-balans en geen tussenrekening waar geld even blijft hangen. Dat onderscheid lijkt klein, maar het bepaalt vrijwel alles wat een speler daarna ervaart — snelheid, fraudeprofiel, juridische status en wat een operator over hem te zien krijgt.

Wie de marktanalyse leest van het Nederlandse onlinelandschap, ziet Volt in een eigen hoek staan: een Britse open-bankingdienstverlener uit 2019 die in vijf jaar tijd bij een verbazend grote groep iGaming-operators in het Europese landschap is opgedoken. Het bedrijf werd in Londen opgericht, groeide via een API-first model en kreeg in 2024 de prijs UK FinTech of the Year.

Wat veel Nederlandse spelers verwart: ze zien een knop met “Volt” in de kassa van een casino, klikken erop en worden naar hun eigen bank doorgestuurd. Voor het oog lijkt dat op iDEAL. Onder de motorkap is het iets fundamenteel anders. Bij iDEAL praat het casino feitelijk met een Nederlandse bankcoöperatie via een lokaal schema; bij Volt praat het casino met een Europese open-bankingaggregator die op zijn beurt PSD2-API’s van honderden banken in tientallen landen aanspreekt. Het verschil bepaalt wie wat te zien krijgt, welke beveiligingseisen gelden en wat een bank moet doen als een speler ergens halverwege afhaakt.

In dit stuk ontleed ik die machine. Niet op het niveau van “het is veilig en snel” — dat staat al op tientallen affiliate-sites. Ik wil weten wat er bit voor bit gebeurt tussen het moment dat een speler op de Volt-knop tikt en het moment dat zijn speelkas met €50 oploopt. Welke standaard ligt eronder? Welke partij draagt welk risico? Wat ziet de operator wel, wat niet? En wat gaat er typisch fout, en bij wie ligt dan de bal?

Een waarschuwing vooraf. Ik schrijf hier over Volt als infrastructuur, niet over individuele casino’s die de methode aanbieden. De vraag of een specifieke aanbieder legaal in Nederland mag werven, is een aparte juridische discussie. De techniek werkt overal hetzelfde; de vraag of hij in jouw land legaal mag draaien staat los van hoe hij technisch in elkaar zit.

Account-to-account-betalingen: hoe het verschil met kaarten ontstaat

Pak je laatste bankafschrift erbij. Zie je een transactie naar “VISA EUROPE” met een verwerkingsdatum twee dagen na de aankoop? Dat is een kaartbetaling: een keten met meerdere tussenpartijen, een autorisatiebericht, een settlement-bericht en een rekenkundige verrekening die ergens in de nacht draait. Vergelijk dat met een gewone overschrijving naar een vriend. Eén regel, één bedrag, één eindbestemming. Account-to-account, kortweg A2A, hoort bij die tweede familie.

Het verschil zit in wie er aan tafel zitten. Bij een kaartbetaling staan er minstens vier partijen om de transactie heen — de uitgevende bank, de aanvaardende bank, een schema als Visa of Mastercard, en een acquirer of payment service provider. Elk rekent iets, neemt een margetje, voegt zijn eigen risicobeoordeling toe. Bij A2A spelen er feitelijk twee partijen: de bank van de betaler en de bank van de ontvanger. Daar zit een betaaldienstverlener tussen die de communicatie regelt, maar het geld zelf maakt geen omweg via een kaartschema.

Dat ene verschil heeft cascade-effecten. Allereerst de kosten. Een kaartbetaling kent interchange fees plus schema fees voor Visa of Mastercard. Bij A2A bestaan die fees niet, want er is geen kaartschema in het midden. Een operator die kaarten accepteert betaalt typisch ergens tussen 1,5 en 3 procent over het transactievolume; bij A2A zit dat percentage doorgaans onder de procent.

Ten tweede de snelheid bij settlement. Een kaartbetaling wordt geautoriseerd in real time, maar het geld komt pas later op de rekening van de operator — soms één werkdag, soms twee. A2A op een SEPA Instant-rail kan in tien seconden van bank A naar bank B. Voor een operator betekent dat zijn liquiditeit anders gedraagt: hij ontvangt geld vrijwel onmiddellijk en kan dat ook vrijwel onmiddellijk weer uitkeren.

Ten derde de herroepbaarheid. Een creditcardtransactie kan tot 120 dagen later teruggedraaid worden via een chargeback. Voor een casino is dat een nachtmerrie: een speler stort €1.000, verspeelt het, en draagt vervolgens zijn bank op om de transactie te betwisten. A2A kent dat mechanisme niet. Een SEPA Credit Transfer of SEPA Instant is definitief op het moment dat hij gesettled is. Wie zich vergiste, kan vragen om vrijwillige terugboeking, maar er bestaat geen wettelijk dwingend chargeback-recht.

Voor de speler heeft die definitieve aard twee gezichten. Aan de ene kant: minder bureaucratie als alles goed gaat. Geen hold periods, geen chargeback-administratie. Aan de andere kant: minder bescherming als er iets misgaat — bijvoorbeeld als een operator weigert uit te betalen en de speler de civiele weg op moet. De globale Open Banking-transactiestroom is volgens Juniper Research op weg naar $330 miljard aan jaarlijks volume tegen 2027; die schaal komt er omdat de architectuur fundamenteel goedkoper en sneller is. Maar schaal betekent ook dat de consumentenbescherming in dit segment nog volop in ontwikkeling is.

Een laatste eigenschap van A2A die regelmatig over het hoofd wordt gezien: de betaling vertrekt vanuit de bank-app, niet vanuit de site van het casino. Dat verschuift de identificatie-handeling van de operator naar de bank — het is de kern van het beveiligingsmodel.

Het juridische fundament: PSD2 en Article 97 SCA

Vraag aan tien spelers wat PSD2 is en je krijgt tien blanco gezichten. Vraag het aan tien fintech-juristen en je krijgt twee uur college. De waarheid zit ertussenin: PSD2 is de Europese richtlijn waar het hele open-bankingmodel — en dus Volt — zijn bestaansrecht aan ontleent. Zonder PSD2 was Volt niet legaal mogelijk geweest.

De tweede Payment Services Directive, in werking sinds januari 2018, deed twee dingen tegelijk. Eén: ze verplichtte banken om gestandaardiseerde API’s open te stellen waarmee derde partijen, onder strikte voorwaarden, namens een rekeninghouder informatie kunnen opvragen of betalingen kunnen initiëren. Twee: ze introduceerde Strong Customer Authentication, het beveiligingsregime dat tegenwoordig bij vrijwel elke online betaling zichtbaar is.

Wat Volt in het PSD2-jargon precies is, valt onder de term “Payment Initiation Service Provider”, afgekort PISP. Dat is een gereguleerde rol: een PISP heeft het recht om, na expliciete toestemming van de betaler, een betalingsopdracht naar zijn bank te sturen. De PISP raakt het geld nooit aan. Hij is een boodschapper met een vergunning, geen tussenrekening. Voor de speler betekent dit dat het geld rechtstreeks van zijn bankrekening naar de rekening van de operator gaat, zonder dat Volt er ergens een stop tussen kan inbouwen.

Article 97 van PSD2 regelt Strong Customer Authentication. Het lijkt droge wetgeving, maar het is precies de paragraaf die bepaalt hoe een Volt-betaling op je telefoon eruitziet. De wet schrijft voor dat de betaler bij elke elektronische betaling boven bepaalde drempels geïdentificeerd moet worden via minstens twee onafhankelijke factoren uit drie categorieën: iets wat je weet (wachtwoord of pincode), iets wat je hebt (een apparaat of token) en iets wat je bent (een biometrische eigenschap). Die drie woorden — knowledge, possession, inherence — zie je in elke compliance-documentatie terug.

PSD2 schrijft geen specifieke implementatie voor. Welke twee factoren een bank kiest, mag de bank zelf weten, mits ze onafhankelijk zijn — compromittering van de ene factor mag de andere niet meeslepen. Daardoor verschilt de Volt-ervaring tussen banken: bij de ene tik je op een melding in de bank-app en bevestig je met je vingerafdruk, bij de andere voer je een tijdelijke code in die je via een hardwaretoken aflas, bij weer een andere is het gezichtsherkenning gevolgd door een numerieke pin.

Voor de speler is de praktische winst dat hij zijn casino-account loskoppelt van zijn betaalmiddel. Hij geeft geen kaartgegevens, geen IBAN-velden, geen wachtwoorden aan het casino. Het casino krijgt alleen een bevestiging vanuit Volt dat de betaling is geslaagd, plus een transactiereferentie. Die scheiding is de stille kracht van het hele PSD2-model.

De drie SCA-factoren in één Volt-transactie

Laat me het concreet maken. Stel: Marieke wil €50 storten bij een Europese vergunninghouder die Volt aanbiedt. Ze tikt op de Volt-knop in de kassa en wordt naar haar bank doorgestuurd. Wat gebeurt er nu in termen van SCA-factoren?

Factor één — possession. De bank-app draait op haar geregistreerde telefoon. Die telefoon is in het systeem van de bank gekoppeld aan haar account via een eerder doorlopen activatieproces; meestal met een eenmalige code via SMS of een fysiek bezoek aan de bank bij het instellen. Het feit dat de melding op die specifieke telefoon binnenkomt, is een impliciet “possession”-bewijs.

Factor twee — inherence. Bij het openen van de bank-app of bij het bevestigen van de transactie scant ze met haar vingerafdruk of gezicht. Biometrie valt onder “iets wat je bent”. De bank slaat geen ruwe biometrische data op — meestal werkt het via een lokale template op de telefoon zelf die alleen “match” of “no match” naar de bank-app teruggeeft.

Sommige banken voegen een derde laag toe: een 5-cijferige app-pin bovenop de biometrie. Strikt genomen overlapt dat met factor één (knowledge), waardoor je theoretisch drie factoren ziet in plaats van twee. PSD2 vereist minimaal twee onafhankelijke factoren, dus een derde mag — het verhoogt de drempel voor fraude maar ook voor gemak. Banken kiezen die balans zelf.

Wat hier niet gebeurt: er wordt geen tweede inlogprocedure bij het casino afgedwongen. De SCA wordt aan de bankzijde uitgevoerd, omdat dat de zijde is waar de rekening ligt. Het casino krijgt het resultaat te zien — geslaagd of niet — en handelt op basis daarvan. Dit is ook de reden waarom Volt geen wachtwoord opvraagt, geen bankgegevens registreert en geen pincode naar zichzelf laat overhevelen. De gevoelige authenticatie blijft binnen de muren van de bank.

Het Volt-platform: één API, 80+ landen

Toen Tom Greenwood Volt oprichtte, was zijn pitch eigenlijk een wiskundig argument. “We pride ourselves on our optimised payment flow, bank connectivity and geographic coverage,” zoals een van zijn collega’s later samenvatte tegen Open Banking Expo. “We translated and productised new-generation instant payment systems to a simple, single point of access” — dat is de hele propositie in één zin. Eén API, en je hoeft je als operator niet meer in tachtig afzonderlijke lokale schema’s te verdiepen.

De waarde zit in dat woord “single”. Het Europese open-bankinglandschap is namelijk verre van uniform. Elke bank heeft zijn eigen PSD2-API-implementatie, met eigen idiosyncrasieën: net iets andere fout-codes, net iets ander authentication flow, net iets ander tarief op data-verzoeken. Voor een operator die kaartbetalingen vervangen wil, is het onbegonnen werk om met honderden banken individuele integraties te bouwen. Volt biedt een laag erbovenop: één endpoint dat namens de operator de juiste API van de juiste bank in het juiste land aanspreekt.

Volt rapporteert connectiviteit met banken in 80+ rechtsgebieden, wat in de praktijk neerkomt op vrijwel het hele Europese kerngebied plus uitlopers in andere regio’s. Dat is overigens niet hetzelfde als zeggen dat elke Volt-betaling in elk land werkt. De API verbindt waar banken hun PSD2-deuren openzetten en in technisch acceptabele staat houden; waar een bank geen werkende production endpoint biedt, kan Volt niets doen. Wat ze wel doen, is meten — en uitvragen wanneer een endpoint kuren vertoont.

Een fragment van de oprichter zelf dat me bijbleef: “as it stands, the emerging real-time payments infrastructure is domestic and disparate, geographically and technologically fragmented, but global. We’ve translated and productised new-generation instant payment systems to a simple, single point of access, creating a highly flexible, scalable solution for a market that by 2025, will be worth $149 billion.” Die opmerking dateert uit de Series A-aankondiging van 2021, en de aantallen kloppen vandaag aardig met de prognoses van Juniper Research die ik eerder noemde. De markt waar Volt zich op richt, is niet hypothetisch.

Voor een speler is dat technisch detail van weinig direct belang. Wat hij ervaart, is dat hij in een Spaans casino-account met zijn Nederlandse bunq-rekening kan storten zonder dat hij ergens een SEPA-formulier moet invullen. Dat gemak is het product. De onderliggende complexiteit — de tachtig API-implementaties, de fout-handeling, de fallback-logica — blijft onzichtbaar tot er iets misgaat.

Wat opvalt is dat Volt zelf geen consumentenmerk probeert te bouwen. Ze hebben geen app voor eindgebruikers, geen account dat een speler kan inloggen, geen klantenservice voor consumenten. Hun klanten zijn merchants en payment service providers. De consument ziet “Volt” hooguit als naam op een knop. Dat is een bewuste keuze. Volt is infrastructuur, geen retail-product. En infrastructuur is het meest waard als ze onzichtbaar is.

Wat er gebeurt tussen klikken op Volt en geld in de speelkas

Tijd om de hele keten in slow motion te bekijken. Wat zien we als we de tien seconden tussen klik en stortingsbevestiging zouden vertragen tot tien minuten?

Stap één duurt enkele milliseconden. De speler tikt op de Volt-knop in de kassa. Het casino stuurt op de achtergrond een verzoek naar het Volt-platform: “bereid een betalingsopdracht voor van €50 naar onze IBAN, met deze transactiereferentie, voor deze klant.” Volt antwoordt met een sessie-token en een redirect-URL.

Stap twee: de speler ziet een keuzescherm waar hij zijn land en bank selecteert. Sommige operators slaan deze keuze over door direct naar een land vooringevuld te springen op basis van geolocatie. De selectie bepaalt welke PSD2-API Volt straks aanroept.

Stap drie: redirect. De browser of mobiele app van de speler wordt doorgestuurd naar een endpoint van zijn bank. Op een telefoon opent dat doorgaans automatisch zijn bank-app via een diepe link; op desktop verschijnt een inlogpagina van de bank. Hier verlaat de speler effectief de digitale wereld van het casino en betreedt hij die van zijn bank.

Stap vier: SCA. De bank toont aan de speler een samenvatting van wat hij gaat goedkeuren — bedrag, ontvangende IBAN, vaak de naam van het casino zoals Volt die heeft doorgegeven, en een referentie. De speler keurt goed via biometrie en eventueel een pin. Hier voltrekt zich het PSD2-Article 97-ritueel dat ik eerder beschreef.

Stap vijf: bank initieert de overschrijving. De bank stuurt het betalingsbericht naar de SEPA Instant-rail of, als die niet beschikbaar is, naar SEPA Credit Transfer. Bij SEPA Instant geldt een SLA van tien seconden van eind tot eind; bij gewone SCT kan het tot één werkdag duren voor het geld bij de ontvangende bank is.

Stap zes: returncode. De bank stuurt naar Volt een confirmatiebericht: “betaling geslaagd” of “betaling mislukt”, met een reden bij mislukken. Volt geeft die status onmiddellijk door aan het casino én aan de browser van de speler.

Stap zeven: speelkas-update. Het casino markeert de storting als ontvangen — meestal nog vóór het geld feitelijk bij hun bank binnen is — en crediteert het speler-account met €50. De speler ervaart een instant credit omdat de operator op basis van Volt’s bevestiging risico neemt.

Stap acht: redirect terug. De speler wordt teruggestuurd naar de casino-pagina en ziet een bevestigingsscherm. De totale duur, van eerste klik tot speelkas-update: tussen 15 seconden en een minuut op een rustige avond, langer als de bank-app traag laadt.

Het mooie van deze keten is dat ze deterministisch is. Elke stap heeft een vastomlijnde input en output. Als iets faalt, valt het terug op een specifieke fout-code die ergens in de logs van Volt of de bank staat. Niets is “magisch” of “ergens onderweg”. Voor een operator die zijn betaalstroom monitort, betekent dit dat hij precies kan zien waar in de keten zijn conversie wegloopt.

Wat een speler effectief betaalt (en wat de operator)

Hier hoor ik vaak een opmerking die net mis is: “Volt is gratis.” Dat klopt voor de speler in de praktijk, het klopt niet voor de operator, en het klopt halverwege voor de bank. Laten we de geldstromen ontrafelen.

Aan de spelerszijde geldt: een Nederlandse bankrekeninghouder die met euros stort bij een Europese ontvanger via SEPA Instant of SCT betaalt zijn bank geen aparte vergoeding. De overschrijving valt onder de standaard-betaaldiensten van zijn betaalrekening. Dat is hetzelfde tarief als wanneer hij naar een vriend overschrijft. Er komen geen wisselkoerstoeslagen bij omdat het van euro naar euro gaat.

Uitzonderingen: bij grensoverschrijdende overschrijvingen buiten de SEPA-zone of in andere valuta gelden andere tarieven, soms met een opslag van enkele procenten. Maar binnen euro-naar-euro SEPA bestaat die kost niet.

Aan de operatorzijde ligt het verhaal anders. Een operator die Volt accepteert, betaalt een transactievergoeding aan Volt — typisch een vast bedrag per transactie plus eventueel een klein percentage. De exacte tarieven onderhandelt elke operator individueel; die contracten zijn niet publiek. De algemene marktrange: A2A-betaalmethoden zitten doorgaans tussen 0,2 en 1 procent van het transactiebedrag, met soms een floor in centen per transactie. Vergelijk dat met de 1,5 tot 3 procent voor kaarten en je ziet waarom operators graag A2A pushen.

Een bijkomend voordeel voor operators: geen chargeback-administratie. Een kaartcasino besteedt serieuze operationele tijd aan het beheren van chargebacks, het verzamelen van bewijs en het schikken van geschillen. Bij Volt-stortingen verdwijnt die overhead. Dat is geen direct zichtbare besparing op de invoice, maar het is reëel.

Wat de operator met die besparing doet, is een ander verhaal. In theorie zou hij betere bonussen kunnen aanbieden of hogere RTP’s kunnen instellen. In de praktijk wordt een groot deel van die marge opgegeten door stijgende kansspelbelasting, marketingdruk en regelgevingskosten. Wie het bonuslandschap rond Volt wil begrijpen, leest de analyse over bonussen bij Volt casino’s.

Voor de speler komt het neer op één samenvatting: hij ziet geen kosten in zijn bankafschrift, hij betaalt geen toeslag in het casino, en hij hoeft zich over wisselkoers of FX-marges geen zorgen te maken zolang zijn rekening en het casino allebei in euro werken. Wat hij wél indirect betaalt, is de kostenstructuur van de operator — maar dat is een laag die zich nooit als regel op zijn afschrift toont.

Welke Nederlandse banken Volt feitelijk ondersteunt

Bankdekking is een hoek waar marketing en realiteit nogal eens uit elkaar lopen. “We ondersteunen alle Nederlandse banken” — die zin lees ik vaak. Het klopt zelden helemaal. PSD2-API-dekking is namelijk geen binaire toestand: het is een spectrum van versies, endpoints, fout-modi en limieten dat per bank verschilt.

Voor de hoofdspelers in het Nederlandse retail-banklandschap ligt de zaak doorgaans op orde. De vier grootste — ING, ABN AMRO, Rabobank, SNS — bieden PSD2-API’s die door het overgrote deel van de Europese PISP’s worden ondersteund. Volt heeft die endpoints in zijn productie-integratie zitten. Voor 80 tot 90 procent van de Nederlandse rekeninghouders is een Volt-betaling vanuit hun gewone betaalrekening dus zonder gedoe mogelijk.

Bij de uitdager- en neobanken wordt het diverser. bunq, Knab, Triodos, Revolut, Wise — elk van die instellingen heeft een eigen PSD2-implementatie met eigen sterke en zwakke punten. Sommige werken sneller dan de traditionals; andere lopen achter op specifieke functionaliteiten of hebben hogere afkeurpercentages. De ervaring per bank kan substantieel verschillen.

Wat ik adviseer: kijk niet naar de bankenlijst die een operator op zijn site toont, maar test het bij je eigen bank met een minimale storting. Bankdekking is iets dat per kwartaal verandert — Volt voegt regelmatig nieuwe banken toe, soms vallen er ook uit. De lijst van vandaag is geen garantie voor de lijst van volgend kwartaal.

Wat soms verwart: ook al staat een bank in de Volt-lijst, dan nog kan een individuele transactie mislukken om bank-specifieke redenen. Misschien staat er een SCA-verificatie open in de bank-app, misschien is de PSD2-sessie verlopen, misschien zit er een SEPA-limiet op de account. Dat soort hiccups hoort bij het ecosysteem; Volt kan het bestaan ervan signaleren maar niet oplossen.

Eén specifieke observatie voor zakelijke gebruikers: Volt is ontworpen voor consumentenrekeningen. Zakelijke rekeningen vallen onder andere PSD2-regimes en niet elke bank biedt voor businessaccounts dezelfde PISP-toegang. Wie een eigen bedrijfsrekening probeert te gebruiken voor een Volt-storting bij een casino — wat overigens beleidsmatig vrijwel altijd verboden is in de casinobepalingen — kan op onverwachte fout-codes stuiten.

De achtergrond: financiering, awards en partnerships

Een payment provider die geen kapitaal heeft, is een payment provider die in zijn eerste serieuze crisis omvalt. Daarom is het bij dit soort infrastructuur niet onverstandig om naar de balans achter de naam te kijken.

Volt werd opgericht in 2019 door Tom Greenwood, met als uitgangspunt — in zijn eigen woorden — dat hij “after reading about open banking in PSD2” tot het inzicht kwam dat A2A-betalingen “could be hugely disruptive to the Visa and Mastercard duopoly.” De ambitie was vanaf dag één Europees in plaats van Brits-binnenlands.

Het kapitaal volgde. Een Series A van $23,5 miljoen in 2021. Een Series B van $60 miljoen in 2023, met fondsen als EQT Ventures, Augmentum en IVP in het deelnemersveld. Totaal opgehaald: ergens boven de $86 miljoen aan publiek bekende investeringsrondes. Dat plaatst Volt comfortabel in de bovenste laag van fintech-startups in Europa. Het is genoeg kapitaal om uit te bouwen, niet genoeg om misbruik te maken van.

De erkenning kwam in 2024 met de prijs “UK FinTech of the Year”. Awards in deze sector zijn deels marketingrituelen, maar de Britse fintech-prijzen worden door een jurystructuur uitgereikt die enige objectiviteit kent. Het is een teken dat Volt door zijn peers wordt gezien als een serieuze speler.

Strategisch interessanter dan de awards zijn de partnerships. In februari 2025 werd Volt strategisch open-bankingpartner van Pay.com voor iGaming, fintech en retail. Pay.com is een paymentsplatform dat operators in deze sectoren bedient; de samenwerking betekent dat Volt’s A2A-rail één van de default-keuzes wordt voor merchants die via Pay.com integreren. Voor de iGaming-verticaal is dat een serieuze stempel.

Eerder al, in 2020, sprak Robert Kraal, een van de bestuurders, over de bredere ambitie: “We see open banking as a transformative mechanism that will drive a paradigm shift in payments services, and we are excited to be at the vanguard of that change.” Vijf jaar later kun je zeggen dat de A2A-revolutie een trage is, maar Volt zit wel in de groep die het ecosysteem werkend houdt.

Wat betekent dit voor een speler die nadenkt over een storting? Volt is geen dubieuze startup zonder kapitaal of toezicht. Het is een door de FCA gereguleerde Britse fintech met institutioneel kapitaal en bestaansrechten in tientallen rechtsgebieden. De infrastructuur waar je storting overheen gaat, wordt door volwassen partijen onderhouden. Dat is geen garantie dat de keten foutloos werkt, maar het sluit het cowboy-scenario uit.

Fraudeprofiel van A2A versus kaartbetalingen

Fraude bij betalingen kent twee soorten slachtoffers: de bank en de eindgebruiker. Bij kaartbetalingen draagt de uitgevende bank veel risico — als een onbekende met een gestolen kaartnummer iets bestelt, betaalt de bank uiteindelijk. Bij A2A-betalingen ligt dat anders, en dat verklaart waarom Volt-stortingen statistisch een ander fraudeprofiel hebben.

Het meest voorkomende kaartfraude-scenario is “card-not-present”-misbruik: iemand heeft een kaartnummer in handen (gestolen, gephished, ergens gelekt via een datalek), tikt het in bij een merchant en koopt iets. Bij Volt kan dat scenario niet bestaan. Er is geen nummer dat je kunt invullen. Een Volt-betaling vereist dat de fraudeur fysieke toegang heeft tot de telefoon en de biometrische factor van het slachtoffer, plus eventueel zijn app-pin. Dat is een veel hogere drempel.

Wat A2A wel kwetsbaar maakt, zijn social engineering-aanvallen. De klassiekers: een oplichter belt het slachtoffer, beweert van de bank te zijn en praat hem ertoe een betaling goed te keuren onder valse pretexten. De betaling die volgt is technisch perfect — SCA geslaagd, biometrie geverifieerd — maar wel naar de verkeerde rekening. Dit heet “authorized push payment fraud” en het neemt in Europa toe naarmate A2A-volumes groeien.

Voor een casino-context is APP-fraude minder relevant dan voor andere segmenten, omdat het pad ingewikkeld is. Een aanvaller zou een slachtoffer ervan moeten overtuigen om geld te storten op een specifiek casino-account dat hij controleert. De realistischer zorg in deze context is iemand die met fysieke toegang tot de telefoon en de bank-app van een ander geld op zijn eigen casino-account stort en het probeert te verspelen of doorsluizen.

De casino-operator heeft hier een eigen verantwoordelijkheid. KYC- en AML-procedures moeten verifiëren dat het account van de speler op zijn eigen naam staat en dat de bankrekening van waar gestort wordt aan dezelfde persoon toebehoort. De Nederlandse zorgplichten en de KSA-richtlijnen schrijven daarom strenge identificatieprocedures voor, met als doel dit type lekkage te voorkomen.

Vergeleken met kaartbetalingen heeft een operator bij Volt een schoner risicoprofiel. Geen chargebacks. Geen disputes over “ik herken de transactie niet” tien dagen na storting. Wat hij in ruil krijgt, is iets minder fraudeoverhead en meer voorspelbare cashflow. Wat hij niet krijgt, is een vrijbrief: APP-fraude en social-engineering-pogingen blijven mogelijk, en de operator moet daar via zijn KYC-/AML-proces tegen wapenen.

Voor een speler is de praktische conclusie dat een Volt-betaling alleen mis kan gaan als zijn telefoon en biometrie in verkeerde handen vallen, of als hij zelf, onder druk, een frauduleuze betaling autoriseert. Wie zo’n telefoontje krijgt van “Volt” of “je bank” met aandrang om iets snel goed te keuren, weet dat het mis is. Volt belt geen consumenten, ooit.

Vragen over de Volt-betaalmethode

Opgesteld door de editors van 'Volt Casino'.