Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

Fraude en misbruik van betaalmiddelen

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst ("phishing") en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Inhoudsopgave

Fraude bij elektronisch betalen

Steeds meer betalingsverkeer verloopt elektronisch, bijvoorbeeld via internetbankieren. Maar ook creditcardbetalingen of gewoon pinnen in de winkel is elektronisch. Het is dan mogelijk om fraude te plegen door dit verkeer te manipuleren, pincodes af te kijken of in te breken op iemands computer en met een Trojaans paard het bankverkeer om te leiden.

Waar honderd jaar geleden betalen eigenlijk alleen met contant geld verliep, gaat nu een groot deel van het betalingsverkeer elektronisch. We pinnen in de winkel of halen geld uit de muur, op internet betalen we met iDeal, creditcard of PayPal en vrijwel elk abonnement vraagt om automatische incasso. Dat is handig en efficit, maar het introduceert ook nieuwe risico's.

Elektronisch betalen heeft als fundamentele zwakheid dat er gewerkt wordt met informatie in plaats van concreet een stapel munten of biljetten. Informatie is te kopien en na te maken. Wie het creditcardnummer of Paypal-wachtwoord van een ander weet, kan daarmee bestellingen plaatsen. Allerlei technische maatregelen zijn ontwikkeld om dit tegen te gaan, van pincodes en wachtwoorden tot chips en zwaarbeveiligde communicatieprotocollen.

Skimmen: kopiëren van kaarten

Bij betalingsautomaten en pinautomaten is het zogenaamde skimmen populair. Een automaat wordt dan voorzien van een opzetstuk die de pas uitleest en filmt hoe de pincode wordt ingevoerd, of met een kleine chip het intypen van de pincode registreert. Vervolgens kan men daarmee de pas dupliceren en zo zelf transacties uitvoeren. Soms wordt zelfs een compleet nagemaakte automaat neergezet.

Phishing en nepsites

Op internet worden nepsites opgezet, de zogeheten phishingsites. Hier worden mensen verleid hun pincode of andere codes voor elektronisch betalen in te voeren, waarna de criminelen achter deze site deze codes gebruiken om de bankrekening te plunderen.

Strafbaar

Dergelijk handelen is strafbaar als oplichting en namaken van betaalkaarten. Als skimmers of phishers gepakt worden, lopen ze het risico op gevangenisstraf en/of hoge boetes. Helaas is het erg moeilijk om met succes een skimmer of phisher op te sporen. Zeker bij phishing op internet is dit erg moeilijk, want vaak wordt dit vanuit een ver buitenland uitgevoerd en zijn er geen duidelijke sporen te vinden.

Het is dus helaas onvermijdelijk dat er van tijd tot tijd fraude wordt gepleegd met gestolen of verloren betaalkaarten of online via afgetroggelde betaalgegevens zoals TAN-lijsten of creditcardnummers.

Risicoverdeling bij fraude

Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt. De klant heeft een eigen risico van maximaal € 150.

Wettelijke regels

Om elektronisch betalingsverkeer te stimuleren en te zorgen dat mensen zich door de risico's niet laten afschrikken, heeft de wet een aantal regels gesteld over het risico bij gebruik van elektronische betaalmiddelen. Deze zijn ontworpen om elektronisch betalingsverkeer te stimuleren.

Hoofdregel (art. 7:529 BW) is dat de bank het risico draagt van ongeautoriseerd gebruik van een elektronisch betaalmiddel zoals een pinpas, creditcard of internetbankieren. Zij hebben het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren.

Eigen risico

De klant heeft echter wel een eigen risico van maximaal 150 euro, zo staat in datzelfde artikel. De bank mag de klant een lager eigen risico geven. Dit eigen risico geldt bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd. Weet iemand de pas te gebruiken ondanks alle veiligheidsmaatregelen, dan hoeft de klant geen eigen risico te dragen.

Bewijslast

De klant moet aannemelijk maken dat sprake was van fraude of ongeautoriseerd gebruik. Alleen maar zeggen dàt er geen opdracht is gegeven voor die betaling is niet genoeg. Iets van een toelichting wat er zou kunnen zijn gebeurd, of wat er eventueel wél is gepind is wel vereist. En als de bank om nadere toelichting vraagt, moet hij deze geven.

Opzet en grove nalatigheid

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Bepalen wanneer daarvan sprake is, is in algemene zin heel moeilijk te zeggen.

Fraude, opzet en grove nalatigheid

Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaa worden. Maar bij "grove nalatigheid" is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?

Nalatigheid wil zo veel zeggen als iets niet doen terwijl dat eigenlijk wel had gekund. Maar niet elke nalatigheid levert aansprakelijkheid op. De wet eist grove nalatigheid, oftewel hier had de klant toch heel eenvoudig anders kunnen handelen én een gemiddelde Nederlander had dat toch wel kunnen bedenken.

Uit de (schaarse) rechtspraak blijkt dat grove nalatigheid bepaald moet worden aan de hand van alle omstandigheden van het geval. Er zijn geen algemene regels zoals "als je dagelijks controleert of je je pas nog hebt, is het nooit nalatig" of juist "stop je je creditcard in je tas dan is dat altijd nalatig". Dit maakt het moeilijk om op voorhand te zeggen of in een concrete situatie sprake is van grove nalatigheid.

De bewijslast dat sprake is van grove nalatigheid (of opzet/fraude) ligt bij de bank. En die bewijslast houdt meer in dan zeggen "er is gepind met de pas van klant dùs is sprake van grove nalatigheid." Er moeten feiten of omstandigheden worden aangedragen door de bank waaruit blijkt dat de klant meer dan normaal slordig was.

Voorbeelden van grove nalatigheid

Wanneer de omstandigheden wijzen op verlies door fraude of criminaliteit van een ander, neemt de rechtbank niet snel grove nalatigheid aan. Zo achtte het Gerechtshof Arnhem het niet grof nalatig dat een klant na een vermoeden van zakkenrollen wél naging of zij haar portemonnee nog had, maar niet of de pinpas daar nog in zat. Ook afgeleid worden door de "tientjestruc" (een tientje op de grond laten vallen bij een pinnend iemand, zodat deze afgeleid raakt) was volgens de rechtbank Amsterdam géén grove nalatigheid. Weer wel grof nalatig is het bewaren in een open jaszak van de pas in een drukke winkel.

Als klant word je geacht regelmatig te controleren of je de pas nog wel hebt, en als dat niet zo is dan moet je direct actie ondernemen. Het Gerechtshof Amsterdam achtte het los opbergen in de broekzak een verhoogd risico, zodat je als klant vaker moet controleren of deze er nog in zit. In deze zaak werd 40 minuten(!) wachten als te lang aangemerkt, omdat de pashouder in de trein dit had moeten opmerken en dan meteen (mobiel) had kunnen bellen. En wie pint in een drukke winkel, moet daarna zo snel mogelijk (in ieder geval na thuskomst) controleren of hij de pas nog heeft , ook als daar maar een kwartier tussen zit. Beide gevallen leverde dit grove nalatigheid op.

Opschrijven van de pincode is een risicoverhogende omstandigheid. De rechtbank Amsterdam vond een briefje met pincode erop (in versleutelde vorm) geen grove onzorgvuldigheid. Ook niet als achteraf blijkt dat een derde toch daaruit de pincode had kunnen raden. Het hebben van een briefje met leesbare pincode was wél grof nalatig bij de Geschillencommissie Financiëe Dienstverlening.

Een erg belangrijke factor bij grove nalatigheid is hoe lang de klant wacht met melden dat zijn pas verloren of gestolen is. De wet bepaalt dat dit "onverwijld" moet gebeuren (art. 7:524 BW) en dat daarna de klant niet meer aansprakelijk is voor ongeautoriseerde transacties met die pas (art. 7:529 BW). Maar wie te lang wacht, moet zelf de schade dragen. In deze rechtszaak had een man zijn pincode aan een ander verteld, en pas twee maanden later de pas laten blokkeren. Dat kwam voor zijn rekening.

Grove nalatigheid bij de Geschillencommissie Financiëele Dienstverlening

De Geschillencommissie van het Kifid (die bij geschillen bindende uitspraken kan doen) doet regelmatig uitspraken bij geschillen tussen banken en klanten met ongeautoriseerde betalingen. Een bloemlezing van wat zij grof nalatig vinden:

Niet grof nalatig daarentegen waren:

Rol van de algemene voorwaarden

Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Algemene voorwaarden

Iedere bank hanteert bij financiële dienstverlening algemene voorwaarden. Hierin worden uitgebreide veiligheidsvoorschriften opgenomen voor de klant, zoals dat je regelmatig (vaak dagelijks) moet controleren of je je pas nog hebt en of er rare transacties via je bankrekening hebben plaatsgevonden. Dat de pincode strikt geheim gehouden moet worden, is ook een standaardbepaling. En steeds vaker wordt ook voorgeschreven dat je een virusscanner, firewall en dergelijke beveiligingssoftware moet hebben op je PC.

Dergelijke bankvoorwaarden zijn op zich legaal. De wet bepaalt zelfs expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan k de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen "u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies" gaat wat ver.

Redelijkheid

De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW). Eisen dat je een Mac gebruikt is bijvoorbeeld onredelijk, ondanks dat deze op zich veiliger is dan een PC. Eisen dat je dagelijks je transacties naloopt is ook onredelijk, maar eens per maand mag toch wel verlangd worden. In 2011 stelde online bank MoneYou een termijn van tien dagen, wat een storm van protest opleverde.

Terhandstelling

Voor bankvoorwaarden gelden overigens wel dezelfde regels als voor alle andere algemene voorwaarden. Ze moeten bij het sluiten van de overeenkomst ter hand zijn gesteld, of bij elektronische transacties als download zijn aangeboden. Enkel zeggen dat ze bij de Kamer van Koophandel liggen, dat ze op de website van de bank staan of aanbieden ze op verzoek op te sturen is niet genoeg. Als ze niet fysiek zijn overhandigd bij het sluiten van de overeenkomst (of online als PDF) dan zijn ze niet van toepassing.

Niet naleven van voorwaarden: grof nalatig?

Banken stellen vaak dat het niet naleven van de voorwaarden automatisch grove nalatigheid bij de klant oplevert, zodat zij niets hoeven te betalen. Dat gaat wat te snel. Allereerst moet er een verband zijn tussen de voorwaarde en de schade. Wie zijn pincode op zijn pas schrijft, kan dat niet voor de voeten geworpen krijgen als een derde via een phishingsite zijn bankrekening plundert.

Ten tweede wil de rechtbank meer zien dan alleen "de voorwaarden zijn geschonden". De rechtbank Amsterdam oordeelde in 2007 al dat

Het enkele feit dat de onrechtmatige gebruiker van de bankpas de pincode van eiseres heeft weten te bemachtigen, wettigt niet zonder meer de conclusie dat eiseres haar geheimhoudingsplicht heeft geschonden of dat sprake is van grove nalatigheid

Voor grove nalatigheid zou nodig zijn, aldus de rechtbank, dat blijkt dat de eigenaar van de pas iets heeft gedaan om het mogelijk/makkelijk te maken dat een ander met de pas aan de haal ging.

De Geschillencommissie Financie Dienstverlening lijkt wat makkelijker te oordelen dat sprake is van grove nalatigheid; met name wordt "overtreden van de voorwaarden" gelijkgesteld aan "grof nalatig handelen". Zo vindt de commissie (uitspraak 2012-177 en 2012-271) het grof nalatig om niet dagelijks te controleren of je nog je pinpas hebt. Meestal bleek dan pas na een paar weken dat de pas weg was, waardoor de schade in die periode voor eigen rekening moest komen.

Ook het uitlenen van de pas aan de werkster was in strijd met voorwaarden en dus grof nalatig toen bleek dat de werkster ongeautoriseerde bedragen opnam (uitspraak 2012-276).

Tips voor veilig bankieren

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
16 december 2016