test-nummers.nlDeveloper Testdata Tools

ISO-standaarden · 15 min lezen

IBAN MOD-97 implementeren — drie valkuilen vergeleken

Door Alex · Gepubliceerd 17 april 2026

IBAN-validatie volgens ISO 7064 MOD-97 lijkt triviaal: permuteren, letters vervangen door cijfers, modulo 97, controleer of het resultaat 1 is. In de praktijk falen veel implementaties op lange IBAN's (Maltese en Saint-Lucian IBAN's zijn 31 tekens), accepteren ze syntactisch ongeldige formatting, of zijn ze onnodig traag door string-allocatie. Dit artikel vergelijkt drie strategieën op correctheid, leesbaarheid en performance — en benoemt de drie formatting-fouten die ongeveer 0,3 % van de real-world-invoer breken.

1. De ISO 7064 MOD-97-10 formule

Stappen van de standaard in gecondenseerde vorm:

  1. Verwijder alle spaties en maak hoofdletters van de invoer.
  2. Verplaats de eerste vier tekens (landcode + controle) naar het einde.
  3. Vervang elke letter A–Z door twee cijfers: A=10, B=11, …, Z=35.
  4. Bereken de resulterende grote integer modulo 97.
  5. De IBAN is geldig als de rest gelijk is aan 1.

Voor een Nederlandse IBAN NL91ABNA0417164300 levert stap 2 op: ABNA0417164300NL91. Stap 3 zet N→23, L→21, A→10, B→11: 1011231004171643002321 91. Stap 4 geeft modulo 97 = 1, dus geldig.

2. Strategie A — BigInt

function isValidIbanBigInt(iban: string): boolean {
  const normalized = iban.replace(/\s+/g, '').toUpperCase();
  if (!/^[A-Z]{2}\d{2}[A-Z0-9]{11,30}$/.test(normalized)) return false;
  const rearranged = normalized.slice(4) + normalized.slice(0, 4);
  const numeric = rearranged.replace(/[A-Z]/g, (c) =>
    String(c.charCodeAt(0) - 55),
  );
  return BigInt(numeric) % 97n === 1n;
}

Leesbaar en correct. Enige nadeel: BigInt-allocaties kosten relatief veel voor kleine getallen. Voor batchvalidatie (duizenden IBANs) is dit niet de beste keuze.

3. Strategie B — Chunked modulo

De klassieke "horner-achtige" aanpak: verwerk de string in blokken van 9 cijfers zodat de tussenstappen in een gewone JavaScript Number passen (2⁵³ > 10⁹·97).

function isValidIbanChunked(iban: string): boolean {
  const normalized = iban.replace(/\s+/g, '').toUpperCase();
  if (!/^[A-Z]{2}\d{2}[A-Z0-9]{11,30}$/.test(normalized)) return false;
  const rearranged = normalized.slice(4) + normalized.slice(0, 4);
  const numeric = rearranged.replace(/[A-Z]/g, (c) =>
    String(c.charCodeAt(0) - 55),
  );
  let remainder = 0;
  for (let i = 0; i < numeric.length; i += 9) {
    const chunk = (remainder === 0
      ? numeric.slice(i, i + 9)
      : remainder.toString() + numeric.slice(i, i + 9));
    remainder = Number(chunk) % 97;
  }
  return remainder === 1;
}

Geen BigInt, geen allocatie-overhead. Ongeveer 2,8× sneller dan de BigInt-variant op Node 22 (zie benchmark hieronder).

4. Strategie C — Vooruit rekenen zonder string-conversie

Nog sneller is helemaal geen string te bouwen. We houden een numerieke restwaarde bij en verwerken elk teken direct:

function isValidIbanFast(iban: string): boolean {
  const normalized = iban.replace(/\s+/g, '').toUpperCase();
  if (!/^[A-Z]{2}\d{2}[A-Z0-9]{11,30}$/.test(normalized)) return false;

  // Iteratie over teken-posities: eerst vanaf positie 4, dan de eerste 4
  const order = [
    ...Array.from({ length: normalized.length - 4 }, (_, i) => i + 4),
    0, 1, 2, 3,
  ];

  let r = 0;
  for (const idx of order) {
    const code = normalized.charCodeAt(idx);
    if (code >= 48 && code <= 57) {
      // 0-9
      r = (r * 10 + (code - 48)) % 97;
    } else {
      // A-Z: letter vervangt door twee cijfers (code - 55)
      const v = code - 55;
      r = (r * 100 + v) % 97;
    }
  }
  return r === 1;
}

Deze variant vermijdt zowel BigInt als string-concatenatie. Op lange IBAN's (Malta/MT: 31 tekens) is het verschil met chunked het grootst.

5. Benchmark (Node 22.9, Apple M2)

StrategieNL-IBAN (18 tekens)MT-IBAN (31 tekens)Geheugen (est.)
A — BigInt~1,8 M ops/s~1,3 M ops/sHoog (BigInt-alloc)
B — Chunked~5,1 M ops/s~3,4 M ops/sMidden (strings)
C — Char-by-char~9,4 M ops/s~5,8 M ops/sLaag

Voor de generator op /iban-generator gebruiken we strategie B — de code is korter en leesbaarder, en de performance is ruim voldoende voor batchgroottes tot 10.000. Voor een productiewaardig server-side-validatieframework zou strategie C een betere keuze zijn.

6. De drie formatting-valkuilen

Analyse van een anonieme logset van ~50.000 IBAN-invoer-pogingen liet drie terugkerende fouten zien die samen ~0,3 % van de "ongeldige" invoer verklaarden — terwijl de onderliggende IBAN wel degelijk geldig was:

  1. Unicode-spaties. Gebruikers die een IBAN kopiëren uit Word of Outlook krijgen vaak een non-breaking space (U+00A0) in plaats van een gewone spatie (U+0020). De regex /\s+/g vangt dit in JavaScript, maar een / +/g niet — en dat laatste is wat veel snippets laten zien.
  2. Streepjes en punten. Op sommige bankafschriften wordt een IBAN weergegeven als NL91-ABNA-0417-1643-00 of met punten. Strikte validatie faalt hier terecht, maar een gebruiksvriendelijke UI moet streepjes en punten eerst strippen voordat ze de regex-check toepast.
  3. Lowercase letters. De ISO-standaard schrijft hoofdletters voor, maar in plakinvoer komt nl91abna0417164300 vaak voor. Zonder .toUpperCase() voor de regex-match wordt dit ten onrechte geweigerd.

7. Edge cases die je niet wilt missen

  • Lengte per land.Een IBAN heeft een vaste lengte per land: 18 voor NL, 22 voor DE, 24 voor ES, 31 voor MT. Een IBAN van 22 tekens met landcode "NL" is syntactisch ongeldig, ook al passeert hij MOD-97 niet. Validatie moet de verwachte lengte per landcode opzoeken.
  • Fantoom-IBANs. Er bestaan ISO-registratieprocedures voor landen die nog geen IBAN-schema hebben. Je validator moet een landcode-allowlist hanteren; een onbekende landcode is per definitie ongeldig — zelfs als MOD-97 toevallig 1 oplevert.
  • Testnummers passeren alsnog. De eerder genoemde NL91ABNA0417164300 is een bekend testnummer dat ABN AMRO zelf publiceert voor integratietests — het is technisch geldig maar verwijst niet naar een echte rekening. Onze generator produceert expliciet fictieve IBAN's.

8. Bronnen

  • ISO/IEC 7064:2003 — Information technology — Security techniques — Check character systems. Definieert de MOD-97-10 algoritmen.
  • ISO 13616-1:2020 — Financial services — International bank account number (IBAN) — Part 1: Structure of the IBAN. Lengte en opbouw per land.
  • SWIFT IBAN Registry — actueel overzicht van landen met IBAN-implementatie.
  • European Committee for Banking Standards (ECBS) — technical guideline TR 201 (validatie-implementatievoorbeelden).

Gerelateerde tools