Dit is de nieuwsbrief Betaalfraude van juni 2026 uitgegeven door team Banking & Finance. Met in deze editie de finale versies van PSR/PSD3, verschillende rechterlijke uitspraken en het nieuwe PIFI.
Wet- en regelgeving
Akkoord Europese wetgever over PSD3 en PSR
In onze vorige nieuwsbrief beschreven wij dat de Europese wetgever een voorlopig politiek akkoord had bereikt over PSR/PSD3 (Payment Services Regulation en Payment Services Directive). Inmiddels zijn de finale versies van de PSD3/PSR teksten goedgekeurd door de Raad van de Europese Unie. De geconsolideerde versie zoals deze er nu ligt zal naar alle waarschijnlijkheid uiteindelijk ook geldend recht worden (of voor PSD3 geïmplementeerd moeten worden). Wij lichten de belangrijkste punten uit de finale teksten eruit:
In de PSR zijn duidelijke(re) regels opgenomen met betrekking tot de plicht (en uitzonderingen op die plicht) van betalingsaanbieders om niet-toegestane betalingstransacties onmiddellijk terug te betalen.
Artikel 59 van de PSR gaat over de aansprakelijkheid bij spoofing en impersonatiefraude. In de finale teksten is bevestigd dat geen vergoedingsplicht bestaat bij 'impersonatie' van andere entiteiten dan de betalingsdienstaanbieder zelf. De betalingsdienstgebruiker heeft ook pas recht op terugbetaling nadat aangifte van fraude bij de politie is gedaan.
Onlineplatforms kunnen aansprakelijk zijn tegenover betalingsdienstaanbieders. Die aansprakelijkheid ontstaat als de betalingsdienstaanbieder een terugbetaling heeft gedaan aan een slachtoffer van fraude, die op zijn beurt slachtoffer is geworden door het online platform. Voorwaarde voor aansprakelijkheid is dat het platform is geïnformeerd over frauduleuze content. De PSR kleurt de verhouding tussen onlineplatforms en betalingsdienstaanbieders verder in. Er bestaat een wederzijdse plicht om te informeren tussen onlineplatforms en betalingsdienstaanbieders over frauduleuze content. Ook hebben onlineplatforms de plicht om gebruikers van hun service te informeren over het herkennen van pogingen tot fraude.
Betalingsdienstaanbieder dienen transparant te zijn over kosten en wisselkoersen bij geldopnames bij ATM's (artikel 7 PSR). Deze informatie moet op een duidelijke, neutrale en begrijpelijke wijze worden weergegeven voordat de betalingstransactie wordt geïnitieerd. De informatie over eventuele kosten wordt op verzoek van de klant tevens op een duurzame drager ter beschikking gesteld zodra de transactie is voltooid.
De regels rondom de authenticatie van klanten zijn verscherpt en uitgebreid. Zo stelt artikel 88 lid 2 PSR dat een mobiele telefoon in principe niet de enige manier mag zijn waarmee gebruikers sterke authenticatie kunnen instellen bij hun bank.
Met de finale teksten kunnen betaaldienstverleners, banken en online platforms aan de slag en anticiperen op de aanstaande verplichtingen met een impact assessment.
Advocaat Generaal Rantos heeft zich gebogen over een prejudiciële vraag over de interpretatie van artikel 73 en 74 van de (geldende, maar te vervangen) PSD2. Het ging om de situatie waarin de inloggegevens van een betaler door een fraudeur zijn achterhaald. Wanneer de fraudeur vervolgens een niet-toegestane betalingstransactie uitvoert, dient de bank (ex artikel 73 lid 1 PSD2) de betaler onmiddellijk het bedrag van de niet-toegestane betalingstransactie terug te betalen, zo stelde de betalende klant. In deze situatie deed de bank dit niet, omdat artikel 74 lid 1 PSD2 volgens haar van toepassing was. In dat artikel staat dat de betaler de verliezen draagt, als deze zijn ontstaan als gevolg van zijn eigen grove nalatigheid. A-G Rantos is van mening dat artikel 74 PSD2 echter alleen gaat om wie uiteindelijk aansprakelijk is en dat de bank zich – ook bij grove nalatigheid – dient te houden aan de hoofdregel in artikel 73 PSD2, waarin staat dat de bank onmiddellijk de betaler moet terugbetalen.
Het is voor nu afwachten of het HvJ EU A-G Rantos zal volgen om te zien of dit inderdaad is hoe banken moeten handelen op het moment dat er door grove nalatigheid van de betaler niet-toegestane betalingstransacties worden gedaan. De tekst van de hierboven genoemde binnenkort in werking tredende PSR is gelukkig duidelijker en ondubbelzinnig. Artikel 56 lid 1 PSR bepaalt dat als de bank objectief gerechtvaardigde redenen heeft om te vermoeden dat de betaler grof nalatig is geweest, de bank niet gehouden is om onmiddellijk het bedrag terug te betalen. De bank dient deze redenen dan wel te communiceren aan de betaler. Het zou logisch zijn als het HvJ PSD2 zoveel als mogelijk zou interpreteren in lijn met de aanstaande PSR, zodat banken niet halsoverkop hun beleid en werkwijzen hoeven aan te passen, en dat slechts tótdat PSR in werking treedt.
Een klant van Bunq werd slachtoffer van bankhelpdeskfraude. Deze klant werd telefonisch gemanipuleerd om de inloggegevens van haar elektronische bankrekening door te geven en om een nieuw mobiel apparaat aan haar bankaccount te koppelen. Kort daarna werd circa 50.000 euro van haar bankrekening afgeschreven en naar verschillende bankrekeningen doorgeboekt. De fraudeur was het kennelijk gelukt om de spaarrekening van de consument om te zetten in een betaalrekening. Slachtoffer en bunq waren het eens dat er sprake was van een niet-toegestane betalingstransactie. Bij een dergelijke niet-toegestane betalingstransactie draagt een bank in principe het verlies, tenzij sprake is van grove nalatigheid van de klant. In geschil was of er sprake was van grove nalatigheid.
De Geschillencommissie oordeelde dat het slachtoffer inderdaad grof nalatig had gehandeld. De Commissie van Beroep gooide het over een andere boeg. Van grove nalatigheid is volgens haar pas sprake, als de consument zich welbewust was van het feit dat zij het slachtoffer dreigde te worden van bankhelpdeskfraude. Dat de klant veiligheidsverplichtingen had veronachtzaamd, was volgens de CvB onvoldoende om te spreken van 'grove nalatigheid'. De CvB legt de lat om te spreken van 'grove nalatigheid' duidelijk hoger dan tot dan toe in rechtspraak werd aangenomen. Ook lijkt deze lat hoger te liggen dan de Europese wetgever voor ogen heeft in PSR (overweging 82), maar de EBA zal nog nadere richtlijnen vaststellen ter invulling van het begrip 'grove nalatigheid'.
In deze zaak ging het om een rekeninghouder die klant was bij een Belgische bank. Deze klant maakte een groot bedrag over naar een rekening van Bunq voor de aankoop van een auto en werd hiermee slachtoffer van factuurfraude. De klant eiste van Bunq terugbetaling van dit bedrag en stelde dat Bunq haar bijzondere zorgplicht had geschonden. Hierbij beriep de klant zich onder andere op verplichtingen die Bunq heeft onder de Wwft en de algemene voorwaarden van Bunq. Over het beroep op de Wwft oordeelt de rechtbank dat deze strekt tot de bescherming van het algemene belang en niet ten doel heeft om de belangen van derden, zoals die van eiser, te beschermen. Een beroep op de algemene voorwaarden gaat ook niet op, omdat deze alleen tussen de fraudeur en de Bunq bank gelden en niet tussen Bunq en eiser, omdat deze geen onderlinge bankrelatie hebben. De hoofdvraag was daarom of bunq in dit geval subjectieve wetenschap had van enige onregelmatigheid. In dit geval had Bunq haar onderzoek goed verricht en had zij geen subjectieve wetenschap van enige onregelmatigheid. Van bunq kon dus niet worden gevergd dat zij ingreep. Deze zaak bevestigt en past in de bestendige lijn van de rechtspraak dat uiteindelijk de doorslag geeft of de bank subjectieve (daadwerkelijke) wetenschap had van onregelmatigheden.
De bankklanten hebben zich in deze zaak laten overhalen zelf geld over te boeken naar de fraudeur of een derde. De bank is juridisch gezien verplicht om deze transacties uit te voeren. De bank kan alleen de verplichting hebben de betaalopdracht te controleren als zij zich daadwerkelijk bewust is van of serieuze aanwijzingen heeft voor fraude. In dit geval was daar geen sprake van. Belangrijk om op te merken is dat de in de voorgestelde versie van artikel 59 PSR het uitgangspunt wél lijkt te zijn dat er een verplichting is om de toegestane betalingstransactie terug te betalen in een situatie als dit. Uiteraard niet als sprake is van grove nalatigheid of een andere uitzondering.
Overige ontwikkelingen
Het vernieuwde Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) is op 1 april 2026 van kracht geworden. Dit betekent dat de Autoriteit Persoonsgegevens heeft ingestemd met het PIFI en dat het voor financiële instellingen mogelijk blijft om incidenten – onder voorwaarden – te registreren in het Incidentenregister en het Extern Verwijzingsregister. Het nieuwe PIFI is nu voor 8, in plaats van 5, jaar geldig. Inhoudelijk zijn in het PIFI 2026 het incidentbegrip en andere definities gemoderniseerd en uitgebreid en is ook de kring van mogelijke deelnemers verruimd van een vooral brancheverenigingsgebonden systeem naar een breder vergunning- en toezichtgedreven toelatingsmodel. Betrokken organisaties doen er goed aan te toetsen of zij onder de deelnemers (kunnen) vallen, interne definities en werkinstructies te herzien en te voorzien in audits en jaarlijkse trainingen voor medewerkers van Veiligheidszaken.
Vragen?
Vragen over ontwikkelingen op het gebied van betaalfraude of aanstaande wijzingen in wet- en regelgeving? Neem dan contact op met één van onze specialisten.
