Bestrijding online fraude in het betalingsverkeer: NVB pleit voor meer samenwerking

13-04-2023

In een op 29 maart 2023 verschenen nieuwsbericht deelt de Nederlandse Vereniging van Banken (NVB) cijfers over de schade als gevolg van online fraude. De NVB benadrukt het belang van samenwerking in de strijd tegen online fraude tussen banken, telecomproviders, consumentenorganisaties, social media en handelsplatforms samen met politie en het Openbaar Ministerie. Door samenwerking en het uitwisselen van meer gegevens kan meer gedaan worden om (online) fraude te voorkomen en daders op te sporen.  

Schade als gevolg van fraude: wie betaalt de rekening?

In 2022 kwam de (gemelde) schade als gevolg van fraude in het betalingsverkeer uit op bijna 61 miljoen euro, een lichte daling ten opzichte van de schade in 2021 (62,5 miljoen euro). De vraag is: wie betaalt de rekening van deze schade? Dit hangt met name af van de vraag van welke specifieke fraudevorm sprake is en wie de betalingstransactie heeft uitgevoerd. Kort gezegd geldt dat als een betalingstransactie gebeurt zonder instemming van de rekeninghouder, het volledige bedrag uiterlijk aan het einde van de eerstvolgende werkdag door de bank dient te zijn teruggestort (artikel 7:528 lid 1 BW). Van een betalingstransactie zonder instemming ('niet-toegestane betalingstransactie') is bijvoorbeeld sprake bij gestolen/verloren debitcards, creditcardfraude (card-not-present fraude) en bepaalde vormen van phishing waarbij de fraudeur de betaling uitvoert.

Een rekeninghouder dient zich altijd te houden aan de toepasselijke voorwaarden en veiligheidsvoorschriften, waaronder de Uniforme Veiligheidsregels (voor particulieren). Indien een rekeninghouder frauduleus, opzettelijk of met grove nalatigheid handelt, draagt hij zelf de (volledige) schade (artikel 7:529 lid 1 BW). Een rechter kan enkel in geval van grove nalatigheid (dus niet bij fraude of opzettelijk handelen) de volledige schadeplicht van de rekeninghouder beperken, rekening houdend met de specifieke omstandigheden en de aard van de persoonlijke beveiligingsgegevens. Ook als de rekeninghouder zelf de betalingstransactie uitvoert (een 'toegestane betalingstransactie'), draagt hij in principe zelf de schade.

Vergoeding uit coulance bij schade door spoofing

Een van de vormen van online betalingsfraude waar de rekeninghouder (meestal) zelf de betaling uitvoert, is spoofing (ofwel bankhelpdeskfraude). Bij spoofing neemt een fraudeur, zogenaamd namens de bank, contact op met (potentiële) slachtoffers met bijvoorbeeld de vraag om geld over te maken naar een veilige rekening.

De vier grootbanken in Nederland hebben besloten de schade als gevolg van spoofing uit coulance aan gedupeerden (gedeeltelijk) te vergoeden. Het uitgangspunt blijft dat klanten een eigen verantwoordelijkheid hebben en dat banken verantwoordelijk gedrag en oplettendheid verwachten. Daarom hebben deze banken op 2 juni 2021 toetsingscriteria opgesteld om te bepalen in hoeverre zij de schade zullen vergoeden. Gedupeerden krijgen als zij voldoen aan de criteria 100% van de schade vergoed, tenzij de gedupeerde medeplichtig is aan fraude, al eerder een vergoeding heeft gehad bij dezelfde bank of onvoldoende meewerkt aan het fraudeonderzoek. De bank kijkt altijd wel naar de specifieke feiten en omstandigheden van elke fraudezaak en kan besluiten om gedeeltelijk, of helemaal niet, tot coulance over te gaan. In 2022 is in 89% van de gevallen de schade als gevolg van spoofing door banken vergoed.

Geen sprake van 'spoofing' wanneer consument gebeld wordt door medewerker andere bank

Een geval waar door de bank niet (uit coulance) tot vergoeding van schade door spoofing is overgegaan, speelde recent bij de Geschillencommissie van het Kifid. De rekeninghouder heeft het programma AnyDesk op zijn computer geïnstalleerd. Met AnyDesk zijn derden (na toestemming) in staat de besturing van een computer over te nemen. De rekeninghouder heeft daarna ingelogd op internetbankieren, zodat de fraudeur (via AnyDesk) toegang had tot de bankomgeving. Een bedrag van meer dan EUR 25.000 komt vervolgens in de handen van fraudeurs.

De rekeninghouder heeft een beroep gedaan op het coulancekader omdat hij meent slachtoffer te zijn geworden van spoofing. De Geschillencommissie is van oordeel dat het coulancekader voor spoofing hier niet van toepassing is, omdat de rekeninghouder niet is gebeld door het telefoonnummer van zijn eigen bank door iemand die zich voordeed als medewerker van zijn eigen bank, maar enkel door een medewerker van een andere bank. Ten overvloede merkt de Geschillencommissie daarbij op dat het niet aan haar is om naar eigen believen de coulanceregeling op te rekken.

Nu de coulanceregeling niet van toepassing is, wordt teruggevallen op het wettelijk kader uit titel 7B van boek 7 BW. De Geschillencommissie gaat er – door onvoldoende bewijs van de bank – vanuit dat er sprake is van 'niet-toegestane betalingstransacties'. De bank beroept zich echter op grove nalatigheid van de rekeninghouder.

Grove nalatigheid bij installeren 'AnyDesk' en toestaan betalingen aan onbekenden?

De Geschillencommissie oordeelt dat de rekeninghouder in strijd met de veiligheidsregels voor (internet)bankieren heeft gehandeld. Na het installeren van AnyDesk, heeft hij in opdracht van de oplichter diverse bedragen van de spaarrekening naar de rekening-courant overgemaakt en vervolgens vanaf de rekening-courant naar de betaalrekeningen van twee voor hem volstrekt onbekende begunstigden. Volgens de Geschillencommissie had de rekeninghouder (eerder) argwaan moeten krijgen dat er iets niet klopte, zodat hij de betalingstransacties had kunnen voorkomen. Door dat niet te doen kan zijn handelen als grof nalatig worden aangemerkt.

Uit de praktijk volgt dat de invulling van 'grof nalatig' (bewust roekeloos) handelen een grijs gebied is. Ook verandert de invulling hiervan voortdurend doordat fraudeurs steeds weer innovatieve(re) nieuwe manieren vinden om klanten te bewegen tot frauduleuze overboekingen over te gaan. Banken en betaaldienstverleners doen er in ieder geval goed aan hun veiligheidsinstructies up to date te houden, toegespitst op nieuwe vormen van online fraude. De oproep van de NVB en het op 24 februari 2023 gepubliceerde Actieplan Integrale Aanpak Online Fraude bevestigen dat samenwerking en een integrale aanpak bij de bestrijding van online fraude essentieel is.

Heeft u vragen over fraude in het betalingsverkeer? Of wilt u meer weten over het opstellen en naleven van veiligheidsinstructies of de invulling van 'grove nalatigheid' in de rechtspraak? Neem dan gerust contact op met één van onze specialisten van het team Banking & Finance.

Dit is een Legal Update van Mark Murris en Dylan Verheij.

Download als pdf

 

Specialist(en)