phishing

Is de bank aansprakelijk bij phishing als ik zelf de codes doorgaf?

Joris Deene
1 week geleden
154 keer bekeken
6 minuten leestijd

Slachtoffers van phishing krijgen vaak nul op het rekest van hun bank wanneer zij om terugbetaling vragen. De bank beroept zich dan vaak op ‘grove nalatigheid’ omdat de klant zelf codes heeft doorgegeven. Een arrest van het hof van beroep te Antwerpen van 3 september 2025 zet deze praktijk echter op losse schroeven. Het Hof oordeelde dat zelfs bij het doorgeven van codes de bank aansprakelijk blijft als hun eigen veiligheidssystemen falen.

De feiten: een geraffineerde valstrik

In deze zaak werd een rekeninghouder slachtoffer van een geavanceerde vorm van ‘bankhelpdeskfraude’. De feiten speelden zich als volgt af:

  • De initiële mail: De cliënt ontving een e-mail die afkomstig leek van zijn bank (Argenta) over de vervanging van zijn kaartlezer. De mail was in perfect Nederlands opgesteld en wekte geen argwaan.
  • Het telefoontje: Na het invullen van enkele basisgegevens (zonder codes), werd de man gebeld door een oplichter die zich voordeed als medewerker van de fraudedienst. De oplichter meldde dat er een verdachte transactie van 20.000 euro was waargenomen en dat er snel gehandeld moest worden.
  • De manipulatie: De fraudeur wist specifieke details, zoals de naam van de kantoorhouder van het slachtoffer, wat veel vertrouwen wekte. Onder begeleiding van de fraudeur voerde het slachtoffer handelingen uit met zijn kaartlezer, in de veronderstelling dat hij de fraude aan het stoppen was.
  • De diefstal: In werkelijkheid installeerden de fraudeurs op dat moment de bank-app op hun eigen toestel en schreven ze 23.150 euro over naar hun rekening.

Argenta weigerde aanvankelijk elke terugbetaling, stellende dat de transactie ‘toegestaan’ was en dat de klant grof nalatig was geweest.

De beslissing: bank moet volledig terugbetalen

Het Hof van Beroep te Antwerpen oordeelde evenwel in het voordeel van het slachtoffer:

  1. Geen toegestane transactie: Hoewel de codes met de kaartlezer van de klant werden gegenereerd, had de klant nooit ingestemd met een betaling aan de fraudeur. Hij dacht immers dat hij handelingen stelde om zijn rekening te beveiligen. Het feit dat codes zijn gebruikt, is op zichzelf geen bewijs van instemming.
  2. Geen grove nalatigheid: Het Hof oordeelde dat de klant niet grof nalatig was, gezien de verfijnde aanpak van de fraudeurs (o.a. perfect Nederlands, kennis van bankdetails).
  3. Falen van de bank: Een doorslaggevend element was dat de fraudeurs de bank-app op een nieuw, onbekend toestel hadden geïnstalleerd. De bank had nagelaten de klant hierover te waarschuwen (via sms of mail), wat volgens het Hof wijst op een “ernstig en zwaarwichtig falen van het IT-systeem en het fraudedetectiesysteem van de bank”.

De bank werd veroordeeld tot terugbetaling van het volledige bedrag, vermeerderd met intresten.

Juridische analyse en duiding

Dit arrest bevat belangrijke nuances over de toepassing van Boek VII van het Wetboek van Economisch Recht (WER).

Bewijslast bij ‘toegestane’ transacties

Volgens artikel VII.32 WER moet een betaler instemmen met een transactie. Banken argumenteren vaak dat het gebruik van de kaartlezer en pincode (‘authenticatie’) gelijkstaat aan instemming. Het Hof verwerpt deze automatische gelijkstelling. Artikel VII.42 §2 WER bepaalt expliciet dat het geregistreerde gebruik van een betaalinstrument niet noodzakelijk bewijst dat de betaler de transactie heeft toegestaan. Wanneer een klant waarschijnlijk maakt dat hij misleid werd, verschuift de bewijslast naar de bank.

De lat voor grove nalatigheid

Artikel VII.44 WER bepaalt dat de klant opdraait voor de schade bij ‘grove nalatigheid’. Het Hof bevestigt hier echter de strikte interpretatie van dit begrip: grove nalatigheid veronderstelt “een gedrag dat een aanzienlijke mate van onvoorzichtigheid vertoont” en dat “niet te begrijpen is voor een redelijk persoon”. In casu oordeelde het Hof dat een normaal zorgvuldig persoon in de gegeven omstandigheden (stress, overtuigende ‘bankmedewerker’, correcte contextinformatie) misleid kon worden. Het is aan de bank om grove nalatigheid te bewijzen, en het loutere feit van phishing volstaat niet als bewijs.

De algemene zorgplicht van de bank

Juridisch zeer interessant is de overweging over de zorgplicht van de bank. Het Hof stelde vast dat de bank tekortschoot in haar contractuele en wettelijke veiligheidsverplichtingen. Het feit dat een app op een vreemd toestel (vreemd IP-adres) geïnstalleerd kon worden zonder enige waarschuwing naar de klant, werd aangerekend als een fout van de bank. Dit opent de deur voor aansprakelijkheid van banken, zelfs in twijfelgevallen rond de nalatigheid van de klant.

Wat dit concreet betekent

Deze uitspraak heeft directe gevolgen voor verschillende partijen:

  • Voor slachtoffers: Heeft uw bank een terugbetaling geweigerd na phishing? Accepteer dit niet zomaar. Zeker als u niet gewaarschuwd werd voor de installatie van een bank-app op een nieuw toestel, staat u juridisch sterk. Zelfs als u codes heeft doorgegeven, is terugbetaling mogelijk als de manipulatie geraffineerd was.
  • Voor banken: De focus verschuift van de “fout van de klant” naar de “systemen van de bank”. Banken moeten hun fraudedetectie aanscherpen. Als een systeem toelaat dat een nieuwe app wordt gekoppeld zonder expliciete notificatie aan de rekeninghouder (bv. via sms op het geregistreerde nummer), dreigt aansprakelijkheid.
  • Voor de bewijsvoering: Het is cruciaal om als slachtoffer zoveel mogelijk bewijs te verzamelen (screenshots, telefoonlogboeken). Echter, in deze zaak werd geoordeeld dat het wissen van de phishing-mail door het slachtoffer niet fataal was voor de vordering, zolang het verhaal geloofwaardig is.

FAQ: Veelgestelde Vragen

Is het doorgeven van codes via de telefoon altijd ‘grove nalatigheid’?
Nee, niet per definitie. De rechtbank kijkt naar de concrete omstandigheden. Als de fraudeurs zeer professioneel te werk gingen en u onder druk zetten (bijvoorbeeld door te beweren dat ze fraude aan het stoppen waren), oordeelt de rechter vaak dat er geen sprake is van grove nalatigheid.

Wie moet bewijzen dat ik onvoorzichtig ben geweest?
De bewijslast ligt bij de bank. De bank moet aantonen dat u grof nalatig bent geweest. Het enkele feit dat uw codes zijn gebruikt, is voor de wet onvoldoende bewijs om nalatigheid aan te tonen.

Mijn bank en Ombudsfin hebben mijn klacht afgewezen. Kan ik nog iets doen?
Ja. In de besproken zaak had Ombudsfin de klant in het ongelijk gesteld. Een advies van de Ombudsman is niet bindend. De rechtbank kan, na een grondige analyse van de feiten en logbestanden, tot een heel ander oordeel komen.

Conclusie

De strijd tegen phishing in België is niet alleen een technologisch gevecht, maar ook een juridisch. Dit arrest van het hof van beroep te Antwerpen is een belangrijke overwinning voor de consument. Het bevestigt dat banken een grote verantwoordelijkheid hebben om hun systemen waterdicht te maken en afwijkingen (zoals nieuwe toestelregistraties) te detecteren. Uw ‘fout’ om in een val te trappen, weegt vaak minder zwaar dan het falen van de beveiliging van de bank.

Heeft u te maken met een weigering tot terugbetaling na phishing of bankfraude? De beoordeling van ‘grove nalatigheid’ is complex en feitelijk. Onze advocaten, gespecialiseerd in bank- en financieel recht, staan klaar om uw dossier en de weigering van de bank grondig te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics