Het Rotterdamse vervoersbedrijf RMC is slachtoffer geworden van omvangrijke fraude met zogenaamde ‘laaddruppels’, slimme sleutelhangers die gebruikt worden om hun elektrische voertuigen op te laden.
Door een te eenvoudige beveiliging konden kwaadwillenden de unieke noodcodes kopiëren en de kosten op de rekening van RMC laten lopen. De schade loopt op tot ruim 217 000 euro.
RMC, dat dagelijks honderden elektrische busjes en auto’s inzet voor mensen met een beperking, kwetsbare ouderen en schoolvervoer door heel Nederland, ontdekte de fraude pas toen bij controles laadsessies in het buitenland opdoken. Het bedrijf rijdt nergens buiten Nederland, wat de alarmbellen deed afgaan. Een analyse van de laaddata bracht aan het licht dat sinds januari 2024 ongeveer elfduizend sessies met tien vaak gebruikte codes zijn uitgevoerd, met een schadepost die opliep tot duizend euro per dag op piekmomenten.
In één bewuste dag, zondag 6 april 2025, werd met éénzelfde code op 41 verschillende locaties in Nederland tegelijk geladen. Van Hilversum tot Breda, van Amsterdam tot Eindhoven: soms zelfs gelijktijdig. RMC meldt dat in twee dagen tijd met drie verschillende codes 109 overlappende sessies plaatsvonden. Het kopiëren van deze ‘laaddruppels’ bleek eenvoudig: een jeuk voor een goedkope NFC-lezer of zelfs een mobiele app, waarna in 1,5 seconde de RFID-chip gekopieerd kon worden.
kopieertechniek
Het fenomeen is niet nieuw. In december 2019 waarschuwde een Nederlands beveiligingsbedrijf al voor kopieertechnieken waarmee laadpassen, bankkaarten, ov-chipkaarten en meer eenvoudig vervalst konden worden. Europese laadpassen volgen één internationale standaard, wat beveiliging bemoeilijkt. Ecotap, leverancier van de laaddruppels en onderdeel van het Franse beursgenoteerde Legrand, erkent dat de techniek universeel is gekozen. “We nemen deze klacht serieus en wuiven het niet weg,” zegt Vincent Liebe, commercieel directeur bij Ecotap. Liefde benadrukt dat ze wel data leveren, maar dat RMC zelf verantwoordelijk is voor monitoring: “RMC had zelf de risico’s van misbruik in de gaten moeten houden en monitoren, net zoals je toezicht houdt op het gebruik van een creditcard.”
RMC voert dagelijks tienduizenden ritten uit, wat maakte dat de massale dataset de schending lange tijd verborg. Pas een grondige analyse leidde tot ontdekking van de vermenigvuldigende codes. In maart deed het bedrijf aangifte bij de politie wegens diefstal en fraude, maar tot op heden zijn er te weinig bewijsstukken om individuele verdachten te identificeren.
Twee maanden geleden stelde RMC Ecotap aansprakelijk voor de geleden schade. Ze verwijten de leverancier ‘nalatigheid en het leveren van een ondeugdelijk product’ én het gebrek aan waarschuwing voor deze veiligheidsrisico’s. Ecotap reageert dat RMC het beheer van de passen zelf moest uitvoeren en dat Ecotap niet uitspraak doet over schadevergoeding of afhandeling tussen bedrijven.
diefstal
De zaak staat niet op zichzelf. Er zijn meldingen van incidenten met hoge laadkosten in het buitenland, waarbij gebruikers plots enorme bedragen moesten betalen. Experts wijzen op het groeiende probleem van RFID-diefstal: simpel te kopiëren passen, lage opbrengst per sessie en relatief hoge pakkans maken het een risicovolle vorm van diefstal. Beveiligingsadviseurs raden bedrijven aan eigen monitoring te versterken, passen fysiek te beveiligen met RFID-blockers of technologie te gebruiken waarbij de auto via de kabel authenticatie verzorgt, waardoor traditionele druppels overbodig worden.
RMC gaat naar buiten met deze casus om andere organisaties te waarschuwen. Ze willen de dialoog openen over betere beveiligingsmaatregelen voor laadpassen. Ecotap pleit op zijn beurt voor branchebreed onderzoek naar veiligheid. Voorlopig blijft onduidelijk of dit leidt tot gezamenlijke innovatie of juridische stappen om fraude in de laadsector aan te pakken.
