Moet de bank een frauduleuze overschrijving terugbetalen als u de opdracht nooit gaf?

Wanneer een oplichter via een gehackte mailbox een betalingsopdracht in uw naam de bank binnenloodst, rijst meteen de vraag wie het verlies draagt. In een vonnis van 19 maart 2026 oordeelde de Nederlandstalige ondernemingsrechtbank Brussel dat de bank het volledige bedrag van 40.960,56 euro moest terugbetalen aan een ondernemer die het slachtoffer werd van cyberfraude, en dat de zelfstandige bankagent die de betaling praktisch uitvoerde buiten schot bleef. De uitspraak illustreert de kracht van het beschermingsmechanisme van artikel VII.43 en VII.44 Wetboek van Economisch Recht (WER), ook in een B2B-context.

De feiten

Een onderneming hield sinds 2019 een zichtrekening aan bij een Belgische bank. Betalingsopdrachten werden doorgegeven via een vaste procedure: de financieel verantwoordelijke stuurde per e-mail een aanvraag naar het bankagentschap, waarna een document “opdracht internationale betaling” werd opgesteld, ondertekend, teruggestuurd en na handtekeningcontrole uitgevoerd.

In 2022 ontving de bankdirecteur een e-mail die ogenschijnlijk van de financieel verantwoordelijke kwam, met de vraag om eerst 159.810 USD en na een saldomelding uiteindelijk 41.000 USD over te schrijven naar een begunstigde in New York. Het agentschap voerde een uitgaande transactie van 40.960,56 euro uit.

Kort nadien stelde de onderneming vast dat de mailbox gehackt was en dat zij nooit een dergelijke opdracht had gegeven. De opdrachtmail vertoonde meerdere afwijkingen: geen rekeningnummer, geen factuurreferentie, een oud adres, onjuiste telefoonnummers en een ongebruikelijke aanspreking. De onderneming legde klacht neer en vorderde de terugbetaling van de bank, de bankagent en diens beroepsaansprakelijkheidsverzekeraar.

De beslissing

De rechtbank veroordeelde de bank tot terugbetaling van 40.960,56 euro, vermeerderd met de wettelijke intresten, en wees de vordering tegen de bankagent af.

De rechtbank vertrok van de vaststelling dat de tussen partijen overeengekomen e-mail- en handtekeningprocedure een betaalinstrument vormt in de zin van artikel I.9, 10° WER. Dat begrip wordt ruim uitgelegd en omvat ook analoge of papieren processen, zolang partijen een mechanisme zijn overeengekomen waarmee de bank kan verifiëren dat een opdracht van de gebruiker afkomstig is. Voor de toepassing van artikel VII.43 WER achtte de rechtbank die kwalificatie evenwel minder beslissend, omdat die bepaling ook geldt wanneer de niet-toegestane transactie voortvloeit uit onrechtmatig gebruik van een betaalinstrument.

Vervolgens ontleedde de rechtbank de verhouding tussen artikel VII.43 en VII.44 WER. Artikel VII.43 WER regelt de onmiddellijke, voorlopige terugbetaling door de bank; de enige uitzondering daarop is een gemeld fraudevermoeden tegen de betaler zelf, schriftelijk meegedeeld aan de FOD Economie. Artikel VII.44 WER regelt daarentegen de latere, definitieve risicoverdeling ten laste van de betaler. De bank had geen fraude in hoofde van de onderneming vermoed of gemeld en had dus onmiddellijk moeten terugbetalen.

Over de definitieve aansprakelijkheid oordeelde de rechtbank dat de bank zich niet rechtsgeldig had geëxonereerd. Artikel VII.29 WER laat toe dat een niet-consument contractueel afwijkt van artikel VII.44 WER, maar een exoneratie is een uitzondering op een wettelijk beschermingsmechanisme en moet duidelijk, ondubbelzinnig en geïnformeerd worden aanvaard. Geen enkele ingeroepen clausule uit de algemene bankvoorwaarden verwees rechtstreeks naar artikel VII.44 WER of toonde aan dat de klant bewust afstand deed van zijn bescherming.

Ten slotte stelde de rechtbank vast dat de bank geen grove nalatigheid van de onderneming bewees, dat de anomalieën zich uitsluitend bevonden in de correspondentie tussen de fraudeur en het agentschap, zodat de onderneming de fraude niet vooraf kon vaststellen (artikel VII.44, § 1, tweede lid, 1° WER), en dat geen sterke cliëntauthenticatie was verlangd (artikel VII.44, § 2 WER). In die omstandigheden droeg de betaler geen enkel verlies.

De vordering tegen de bankagent werd afgewezen omdat die geen betalingsdienstaanbieder is in de zin van artikel I.9, 2° WER en, als uitvoeringsagent van de bank, geniet van de quasi-immuniteit tegen buitencontractuele aanspraken.

Juridische analyse en duiding

Eerst betalen, daarna pas argumenteren: de rechtbank scheidt VII.43 van VII.44

De sterkte van dit vonnis ligt in de heldere ontkoppeling van de voorlopige terugbetaling en de definitieve aansprakelijkheid. Artikel VII.43 WER installeert een “eerst terugbetalen, dan procederen”-logica: de bank crediteert de betaler onmiddellijk en desnoods voorwaardelijk, in afwachting van een verder onderzoek. De enige wettelijke uitzondering is het aan de FOD Economie gemelde fraudevermoeden. Een vermoeden van grove nalatigheid volstaat daarvoor niet; dat hoort thuis in de definitieve aansprakelijkheidstoewijzing van artikel VII.44 WER.

Die lezing sluit aan bij een groeiende feitenrechtspraak die de terugbetalingsplicht van artikel VII.43 WER niet langer als dode letter behandelt, en bij de conclusie van advocaat-generaal Rantos van 5 maart 2026 in de zaak C-70/25 voor het Hof van Justitie. Rantos leidt uit de opschriften van artikel 73 en 74 PSD2-richtlijn af dat artikel 73 de onmiddellijke terugbetaling regelt en artikel 74 enkel de latere aansprakelijkheidsverdeling. Het arrest van het Hof moet worden afgewacht, maar de Brusselse rechtbank anticipeert er hier op een verdedigbare wijze op.

De exoneratie faalt op het gebrek aan een duidelijke, geïnformeerde afstand

Dat de betaler een onderneming is, opent op grond van artikel VII.29 WER de deur naar een contractuele afwijking van artikel VII.44 WER. Die deur staat evenwel minder wijd open dan banken vaak aannemen. De rechtbank benadrukt terecht dat een exoneratie een strikt te interpreteren uitzondering is en dat algemene clausules over de gevaren van e-mailverkeer niet volstaan.

Twee observaties verdienen aandacht. Ten eerste is artikel VII.43 WER niet opgenomen in de lijst van afwijkbare bepalingen van artikel VII.29 WER, terwijl artikel VII.44 WER dat wél is. De terugbetalingsplicht van de bank is dus in beginsel dwingend, ook tegenover een onderneming. Ten tweede kan een bank die zelf een risicovolle procedure zonder sterke cliëntauthenticatie toestaat, het daaruit voortvloeiende risico niet zonder meer op de klant afwentelen. Wie onbeveiligde betaalkanalen aanbiedt, draagt de gevolgen daarvan, behoudens een geldige en geïnformeerde afstand.

De zorgvuldigheidsomkering: niet de betaler, maar de bank had de alarmbellen moeten horen

Opvallend is dat de rechtbank de klassieke bankredenering omkeert. Waar banken doorgaans betogen dat de fraude voor de betaler “detecteerbaar” was, stelt de rechtbank vast dat de anomalieën zich uitsluitend afspeelden in de correspondentie tussen de fraudeur en het agentschap. De betaler kon die dus niet zien; de bank wél. Het ontbreken van een rekeningnummer, van een factuurreferentie en de onverklaarde halvering van het bedrag na een saldomelding hadden een normaal zorgvuldige betalingsdienstaanbieder tot een eenvoudige telefonische verificatie moeten aanzetten. Deze benadeling van de detecteerbaarheidsvraag ten laste van de bank ligt in de lijn van de recentere rechtspraak die de bewijslast van de detecteerbaarheid bij de bank legt.

Wat betekent dit concreet?

Voor ondernemingen die het slachtoffer worden van betaalfraude. Ook als niet-consument geniet u de bescherming van artikel VII.43 en VII.44 WER. Vorder in de eerste plaats de onmiddellijke terugbetaling op grond van artikel VII.43 WER, losgekoppeld van de discussie over grove nalatigheid; die vordering kan desnoods in kort geding. Meld de fraude onverwijld en leg klacht neer, zodat de bank zich niet op een laattijdige kennisgeving kan beroepen. Ga na of de bank sterke cliëntauthenticatie verlangde: ontbrak die, dan draagt u in beginsel geen verlies. Bewaar de frauduleuze correspondentie: het is aan de bank om te bewijzen dat u de fraude vooraf kon vaststellen of grof nalatig handelde.

Voor banken en betalingsdienstaanbieders. Een algemene exoneratieclausule over e-mailrisico’s volstaat niet om de wettelijke bescherming uit te schakelen. Wenst u tegenover ondernemingen af te wijken van artikel VII.44 WER, dan is een clausule vereist die uitdrukkelijk naar die bepaling verwijst en waaruit een bewuste, geïnformeerde afstand blijkt. De terugbetalingsplicht van artikel VII.43 WER blijft in elk geval dwingend. Wie een betaalprocedure zonder sterke cliëntauthenticatie toestaat, draagt daarvan het risico.

Voor zelfstandige bankagenten en hun verzekeraars. De agent die louter in naam en voor rekening van de bank optreedt, is geen betalingsdienstaanbieder in de zin van artikel I.9, 2° WER en kan de vorderingen op grond van artikel VII.43 en VII.44 WER niet tegen zich zien gericht. Als uitvoeringsagent geniet hij bovendien de quasi-immuniteit tegen buitencontractuele aanspraken, zolang de verweten fout binnen de contractuele sfeer van de bank blijft en geen andere schade veroorzaakt.

Veelgestelde vragen (FAQ)

Moet mijn bank een frauduleuze overschrijving terugbetalen als ik de opdracht nooit heb gegeven?
In beginsel wel. Bij een niet-toegestane betalingstransactie moet de bank het bedrag onmiddellijk terugbetalen op grond van artikel VII.43 WER, tenzij zij redelijke gronden heeft om fraude in uw hoofde te vermoeden en dit schriftelijk meldt aan de FOD Economie. De uiteindelijke aansprakelijkheid wordt pas nadien beoordeeld.

Geldt die bescherming ook voor ondernemingen en niet enkel voor consumenten?
Ja. Het beschermingsmechanisme geldt voor elke betalingsdienstgebruiker. Voor een onderneming kan de bank wél proberen contractueel af te wijken van artikel VII.44 WER, maar zo’n afwijking moet duidelijk, ondubbelzinnig en geïnformeerd zijn aanvaard. De terugbetalingsplicht van artikel VII.43 WER staat daarentegen niet op de lijst van afwijkbare bepalingen.

Wanneer draag ik als betaler wel het verlies?
Wanneer u frauduleus hebt gehandeld, of wanneer u opzettelijk of door grove nalatigheid uw veiligheidsverplichtingen hebt geschonden. De bewijslast daarvan rust op de bank. Het loutere feit dat uw mailbox werd gehackt, volstaat niet als bewijs van grove nalatigheid.

Conclusie

Dit vonnis bevestigt dat het beschermingsmechanisme bij niet-toegestane betalingstransacties in België stevig verankerd is, ook tegenover ondernemingen. De bank moet eerst terugbetalen en pas daarna discussiëren over de aansprakelijkheid; een geldige exoneratie vereist een uitdrukkelijke, geïnformeerde afstand; en een betaler die de fraude niet kon zien, draagt geen verlies. De verantwoordelijkheid om veilige betaalprocessen te organiseren blijft bij de bank.


Joris Deene

Advocaat-partner bij Everest Advocaten

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics