Wanneer is een phishingslachtoffer grof nalatig en draait het zelf op voor zijn verlies?

Een phishingslachtoffer draagt zijn verlies pas volledig zelf wanneer de bank bewijst dat hij grof nalatig was, en niet al bij loutere onvoorzichtigheid. In een arrest van 29 juni 2026 sprak het Hof van Cassatie zich voor het eerst uit over de invulling van dat begrip in artikel VII.44 Wetboek van Economisch Recht (WER). Het verbrak een arrest dat een smishingslachtoffer 24.852,15 euro liet dragen, en verduidelijkte twee dingen: wat grove nalatigheid juist is, en dat een rechter die kwalificatie niet mag opbouwen uit tussenstappen die niet bewezen zijn.

De feiten

Op 23 januari 2020 kreeg een klant van KBC een sms over een beweerde openstaande belastingschuld van 89 euro, met een betaallink. Het bericht was vals (smishing). Na het klikken op de link betaalde het slachtoffer niet die 89 euro, maar stemde het, zonder dit te beseffen, in met de installatie en activatie van KBC Mobile op een nieuw toestel van de fraudeur. Vanaf dat toestel schreef de fraudeur in totaal 24.852,15 euro weg.

Het hof van beroep te Brussel oordeelde in 2025 dat het slachtoffer grof nalatig was en dus zelf voor het verlies moest instaan. Het steunde daarvoor op een reeks vaststellingen: dat de betaler zich zou hebben aangemeld op onbeveiligde webpagina’s zonder de gebruikelijke aanmelding via Itsme of e-ID, dat hij de contextboodschap “Aanvraag abonnement OK?” op zijn kaartlezer moet hebben gevalideerd, en dat hij automatische waarschuwings-sms’en over de recente installatie had genegeerd. Tegen dat arrest stelde het slachtoffer een cassatievoorziening in.

De beslissing

Het Hof verwerpt eerst het argument van de bank dat het cassatiemiddel niet ontvankelijk zou zijn. De uitleg van het begrip grove nalatigheid uit art. VII.44, § 1, vierde lid WER is een rechtsvraag, geen loutere feitenkwestie. Het Hof mag dus nagaan of de feitenrechter de vastgestelde feiten correct onder de wettelijke maatstaf heeft gebracht.

Vervolgens omschrijft het Hof die maatstaf zelf. Steunend op overweging 72 van de preambule van PSD2 houdt grove nalatigheid meer in dan gewone nalatigheid en veronderstelt zij een gedrag met een aanzienlijke mate van onvoorzichtigheid. Grove nalatigheid is een gekwalificeerde schending van de zorgvuldigheidsplicht: zij bestaat wanneer de betaler iets doet of nalaat wat een redelijk, normaal zorgvuldig betaler nooit zou doen of nooit zou nalaten. Het Hof bevestigt ook dat de loutere registratie van het gebruik van het betaalmiddel met de enkel aan de gebruiker gekende code geen voldoende vermoeden van nalatigheid oplevert (art. VII.44, § 4, derde lid WER).

Toegepast op de zaak: de bank draagt de bewijslast van de grove nalatigheid (artikel VII.44, § 4 WER). Het slachtoffer verklaarde weliswaar geen enkel nazicht te hebben verricht en het bericht blindelings te hebben vertrouwd, maar van de tussenstappen waarop het hof van beroep zijn oordeel van grove nalatigheid bouwde, lag geen sluitende staving voor: welke webpagina’s de betaler precies zag, of de contextboodschap effectief werd getoond en gevalideerd, of de waarschuwings-sms’en werden ontvangen. Uit die vaststellingen kon de appelrechter niet wettig afleiden dat het slachtoffer een van zijn verplichtingen uit artikel VII.38 WER door grove nalatigheid niet was nagekomen. Het Hof vernietigt het arrest en verwijst de zaak naar het hof van beroep te Antwerpen.

Juridische analyse en duiding

Het Hof van Cassatie zet de theorie op scherp, maar beslecht de zaak niet zelf

Het waardevolle aan dit arrest zit in de bevestiging dat de kwalificatie grove nalatigheid toetsbaar is in cassatie. Hierdoor kan tussengekomen worden wanneer de feitenrechter onvoorzichtigheid en grove nalatigheid door elkaar haalt. Nu het Hof oordeelt dat de invulling een rechtsvraag is, wordt een te lichtvaardige gelijkstelling van “hij had het kunnen zien” met “hij was grof nalatig” aanvechtbaar.

Tegelijk is de winst voor de rechtspraktijk beperkter dan in de media wordt gesuggereerd. Het Hof formuleert een abstracte norm en toetst die aan de motieven van één bestreden arrest. Wat het arrest hard oplevert, is dat de norm bestaat en dat het hof van beroep te Brussel zijn oordeel in dit geval onvoldoende had onderbouwd. Waarom er geen grove nalatigheid was, zegt het Hof niet met zoveel woorden. Die terughoudendheid past bij de rol van het Hof van Cassatie, maar ze betekent ook dat het volgende hof van beroep (te Antwerpen) nog altijd zelf de feiten moet wegen, en perfect opnieuw tot grove nalatigheid kan besluiten als het zijn beslissing beter motiveert.

Het echte belang is bewijsrechtelijk, niet inhoudelijk

De inhoudelijke maatstaf (“een gedrag dat een normaal zorgvuldig betaler nooit zou stellen”) is geen breuk met het verleden. De feitenrechtspraak hanteerde die drempel al jaren, met formuleringen als een onvergeeflijke nalatigheid die vrijwel met opzet gelijkstaat. Wat het Hof toevoegt, ligt elders: een rechter mag grove nalatigheid niet opbouwen uit een keten van stappen die niet bewezen zijn. Bouwt de bank haar verwijt op uit aanmelding op onbeveiligde pagina’s, validatie van een boodschap op de kaartlezer en het negeren van waarschuwingen, dan moet zij elke schakel afzonderlijk aantonen. Ontbreekt de staving van een schakel, dan kan die niet zomaar ten laste van het slachtoffer worden aangenomen.

Dat sluit aan bij het gewone bewijsrecht: de bank moet haar verwijt in concreto en met een redelijke mate van zekerheid bewijzen (art. 8.5 Burgerlijk Wetboek), en bij twijfel trekt zij aan het kortste eind (art. 8.4 BW). De Nederlandstalige ondernemingsrechtbank te Brussel stelde dat in maart en mei 2025 al scherp: dat het onduidelijk blijft hoe de bankapp op het toestel van de fraudeur belandde, volstaat niet om de bewijslast om te keren. Het Hof van Cassatie tilt die redenering nu naar het hoogste niveau.

Let op de verhouding met de Europese tweestappenlogica

Dit arrest handelt over de tweede fase van het aansprakelijkheidsstelsel: wie draagt uiteindelijk het verlies. Het mag niet worden verward met de eerste fase, de onmiddellijke terugbetalingsplicht van de bank (art. VII.43 WER). Advocaat-generaal Rantos benadrukte in zijn conclusie van 5 maart 2026 in de zaak C-70/25 (Tukowiecka) dat PSD2 die twee stappen strikt scheidt: art. 73 verplicht de bank het bedrag eerst terug te betalen, en enkel een vermoeden van fraude, niet van grove nalatigheid, laat toe die terugbetaling te weigeren. Pas in de tweede stap (art. 74) kan de bank het terugbetaalde bedrag proberen terug te vorderen door grove nalatigheid aan te tonen. Het Cassatiearrest van 29 juni 2026 speelt zich volledig in die tweede stap af.

Wat betekent dit concreet?

Voor phishingslachtoffers. De uitspraak versterkt de onderhandelings- en procespositie. Dwing de bank om elke feitelijke schakel van haar verwijt hard te maken, en verzet u tegen redeneringen die grove nalatigheid afleiden uit de loutere vaststelling dat de fraude technisch enkel mogelijk was met medewerking van de klant. Voer eerst aan dat de fraude niet vooraf detecteerbaar was (art. VII.44, § 1, tweede lid, 1°) en dat er geen geldige sterke cliëntauthenticatie was, en behandel de grove nalatigheid pas als laatste. Betwiste of niet-bewezen waarschuwings-sms’en tellen niet mee.

Voor banken en betalingsdienstaanbieders. Een verwijt van grove nalatigheid dat leunt op aannames over wat de klant “moet” hebben gezien of gevalideerd, houdt geen stand. Wie de volledige aansprakelijkheid van de klant wil bereiken, moet de concrete gedragingen documenteren en bewijzen: de effectief getoonde en gevalideerde contextboodschap, de aantoonbaar afgeleverde en genegeerde waarschuwing, het effectief doorgegeven van een activatiecode. Een lijvige maar weinig zaakspecifieke stukkenbundel volstaat niet.

Veelgestelde vragen (FAQ)

Moet mijn bank het ontvreemde geld na phishing terugbetalen?
In beginsel wel. Bij een niet-toegestane betalingstransactie draagt de bank de schade, met een franchise van maximaal 50 euro, tenzij zij bedrog of grove nalatigheid in uw hoofde bewijst. Bovendien geldt er een onmiddellijke terugbetalingsplicht die losstaat van de latere discussie over aansprakelijkheid.

Wat is het verschil tussen gewone onvoorzichtigheid en grove nalatigheid?
Gewone onvoorzichtigheid is het niet handelen zoals een normaal voorzichtig persoon. Grove nalatigheid vereist meer: een gedrag met een aanzienlijke mate van onvoorzichtigheid, dat een redelijk zorgvuldig betaler nooit zou stellen. Enkel bij grove nalatigheid (of bedrog) draagt u het volledige verlies zelf.

Wie moet bewijzen dat ik grof nalatig was?
De bank. Zij draagt de bewijslast en moet elke feitelijke schakel van haar verwijt aantonen. Het loutere feit dat u codes gebruikte of dat de fraude technisch uw medewerking veronderstelde, volstaat niet als bewijs.

Conclusie

Het Hof van Cassatie bevestigt dat grove nalatigheid een hoge, toetsbare drempel is en dat een rechter die kwalificatie niet mag stoelen op onbewezen tussenstappen. De inhoudelijke maatstaf is niet nieuw, maar de strenge bewijsrechtelijke eisen die het Hof oplegt, geeft phishingslachtoffers een sterker wapen.


Joris Deene

Advocaat-partner bij Everest Advocaten

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics