Hoe M-Pesa's nieuwe functie voor het maskeren van nummers duizenden oplichterijen kan stoppen

Sinds de lancering van Safaricom's mobiele geldplatform M-Pesa in 2007, laat elke gebruiker die geld verstuurt, betaalt voor brandstof, boodschappen of een boda boda-rit, zijn telefoonnummer achter, dat verschijnt in de transactiemelding die naar de ontvanger of handelaar wordt gestuurd. Dat nummer kan worden opgeslagen, gedeeld of verkocht aan kwaadwillende actoren die betrokken zijn bij SIM-swapfraude.

Voor de meer dan 37 miljoen Kenianen die het platform gebruiken, is het een mogelijke schakel in een keten die er in sommige gevallen toe heeft geleid dat klanten hun geld aan oplichters verliezen.

Op vrijdag keurde de Centrale Bank van Kenia (CBK) Safaricom's langverwachte verzoek goed om telefoonnummers van gebruikers te verbergen wanneer zij betalingen doen. 

De beslissing markeert een aanzienlijke verschuiving in digitale privacy voor de gebruikers van het platform en een directe interventie tegen een fraudedreiging die duizenden oplichterijen in het land heeft aangewakkerd.

"Dit is om u te informeren dat de CBK uw aanvraag en inzendingen ter ondersteuning van de oplossing heeft beoordeeld en uw verzoek goedkeurt om gegevensminimalisatie te implementeren voor peer-to-peer-transacties," aldus CBK in zijn brief aan Safaricom.

Onder het nieuwe systeem worden telefoonnummers gedeeltelijk gemaskeerd bij peer-to-peer-overdrachten. Als een ontvanger het volledige nummer wil zien, moet hij erom verzoeken—en de verzender kan hiermee instemmen of weigeren.

De functie voorkomt ook dat handelaren de volledige naam of het mobiele nummer van de betaler kunnen zien bij het betalen van rekeningen of het kopen van goederen via de Till- of Paybill-nummers van het platform, waardoor de zichtbaarheid van persoonlijke informatie wordt verminderd, wat een zorgpunt is geweest voor miljoenen gebruikers.

Toenemende fraudedreigingen 

De gevolgen van gemakkelijk te vinden telefoonnummers zijn duidelijk geweest. In 2025 arresteerde het Directoraat voor Strafrechtelijk Onderzoek (DCI) zes verdachten van cybercriminaliteit in Mombasa die een oplichtersnetwerk in de kuststad runden. Volgens DCI gebruikten de oplichters ID-spoofing-applicaties—betaald met meer dan KES 500.000 ($3.875)—om zich voor te doen als bank- en telecom-klantenservicemedewerkers.

Met telefoonnummers die uit legitieme transacties werden verzameld, konden zij slachtoffers ervan overtuigen dat ze met een vertrouwde functionaris spraken, waarbij ze pincodes en wachtwoorden ontfutselden.

SIM-swapfraude is ook een van de schadelijkste misdaden geworden in Kenia's mobiel-eerst economie, waarbij wordt misbruik gemaakt van het feit dat een telefoonnummer dient als zowel een bankinloggegevens als een mobiele geldrekening.  Fraudeurs misleiden of omkopen telecomagenten om het nummer van een slachtoffer over te zetten naar een nieuwe SIM-kaart, waardoor de legitieme eigenaar wordt buitengesloten van zijn lijn.

Zodra dat is gebeurd, resetten ze mobiele bankieren en M-Pesa-pincodes, onderscheppen ze eenmalige wachtwoorden en plunderen ze accounts binnen enkele minuten. De omvang van de dreiging heeft herhaaldelijk waarschuwingen opgeleverd van de Communications Authority of Kenya en de Centrale Bank van Kenia, evenals strengere SIM-registratieregels en sterkere klantenverificatievereisten.

Het Hooggerechtshof van Kenia heeft ook schadevergoedingen toegekend aan consumenten wegens ongeoorloofd contact en spam door particuliere bedrijven. Het is bijvoorbeeld gebruikelijk dat lokale bedrijven promotionele berichten sturen naar klanten die via mobiel geld betalen.

Toezichthouders verscherpen nu de verwachtingen rond hoe digitale financiële diensten omgaan met persoonlijke gegevens. In 2024 waren financiële en verzekeringsmaatschappijen goed voor naar schatting 30% van de beschikkingen uitgegeven door het Bureau van de Gegevensbeschermingscommissaris (ODPC), met meer dan 5.000 ingediende klachten.