Joris DeeneIn een recent vonnis van 18 februari 2025 heeft de Franstalige rechtbank van eerste aanleg te Brussel zich uitgesproken over een zaak van phishing en de daaruit voortvloeiende aansprakelijkheid. De zaak betrof een cliënt die slachtoffer werd van een geavanceerde phishing-aanval waarbij fraudeurs zich voordeden als Microsoft-medewerkers. Volgens de rechtbank was ING bank niet aansprakelijk.
Feiten van de zaak
In juli 2023 ontving het slachtoffer en alarmbericht, zogenaamd afkomstig van Microsoft, waarin hem werd gevraagd contact op te nemen met een opgegeven telefoonnummer. Aan de telefoon werd hem meegedeeld dat hij het slachtoffer was van frauduleuze transacties op zijn rekening en dat een “IT-ingenieur” en een “operator” de controle over zijn computer zouden overnemen.
Het slachtoffer gaf gehoor aan de instructies, waaronder:
- Het toelaten van externe toegang tot zijn computer via de Anydesk-applicatie
- Het ingeven van codes via zijn Itsme
- Het verstrekken van “een hele reeks cijfers” die zogenaamd de fraude zouden blokkeren
De volgende dag drong het besef door dat hij slachtoffer was geworden van fraude. Tegen die tijd waren er echter al verschillende transacties uitgevoerd via zijn zichtrekening en kredietkaart, met een totaal ontvreemd bedrag van €12.458. Het slachtoffer besloot een gerechtelijke procedure op te starten tegen ING om terugbetaling van de ontvreemde bedragen te krijgen.
Kernpunten van het vonnis
Juridisch kader
De rechtbank baseerde haar analyse op het Wetboek van Economisch Recht, in het bijzonder Boek VII dat betrekking heeft op betalingsdiensten. Daarbij wordt een onderscheid gemaakt tussen “toegestane” en “niet-toegestane” betalingstransacties. De bank is gehouden om de ontvreemde bedragen terug te betalen indien er sprake is van een niet-toegestane betalingstransactie én de klant niet grof nalatig is geweest.
1. Toegestane betalingstransactie
De rechtbank verduidelijkt dat een betalingsoperatie als “geautoriseerd” wordt beschouwd wanneer de betaler zijn toestemming heeft gegeven voor de uitvoering van de betalingsopdracht, volgens de overeengekomen procedure tussen de partijen.
Volgens de rechtbank moet het gaan om een objectieve, expliciete en/of “technische” toestemming en dus geen (subjectieve) toestemming zoals bedoeld in artikelen 5.33 e.v. van het Burgerlijk Wetboek.
De rechtbank benadrukt dat de werkelijke intentie van de betaler met betrekking tot de identiteit van de begunstigde dus irrelevant is. Het naleven van de overeengekomen betalingsprocedure is voldoende om een betaling als “toegestaan” te beschouwen.
De rechtbank concludeerde dat de litigieuze bankverrichtingen door het slachtoffer zelf waren geautoriseerd, aangezien hij zijn kaart en geheime code had gebruikt en, in overeenstemming met de gebruiksvoorwaarden van de kaart, de betalingsoperaties geldig had geauthenticeerd via itsme en zijn toestemming had gegeven voor de betwiste operaties.
2. Grove nalatigheid
Ondergeschikt wees de rechtbank er op dat het slachtoffer zich schuldig heeft gemaakt aan grove nalatigheid in de zin van artikel VII.44, §1, lid 4 van het Wetboek van Economisch Recht. Indien de klant grof nalatig is geweest is een bank hoe dan ook niet verplicht om tot terugbetaling over te gaan.
De rechtbank definieerde grove nalatigheid als “een onredelijk gedrag dat een normaal voorzichtig en zorgvuldig persoon, geplaatst in dezelfde omstandigheden, nooit zou hebben vertoond.”
In dit geval waren er meerdere elementen die de eiser hadden moeten alarmeren:
- Hij had geen bewijs dat zijn gesprekspartner daadwerkelijk een Microsoft-medewerker was
- Microsoft heeft geen toegang tot bancaire gegevens van ING-cliënten
- Hij stond een onbekende derde toe om toegang te krijgen tot zijn computer via Anydesk
- Hij gaf telefonisch mondeling toegangscodes door
Conclusie en praktische implicaties
Dit vonnis bevestigt bepaalde rechtspraak dat bij phishing-fraudes de beoordeling van nalatigheid dient te gebeuren vanuit een objectief standpunt, namelijk dat van een normaal voorzichtig en zorgvuldig betaler in een identieke situatie, en niet rekening houdend met hoe de rekeninghouder zelf de situatie heeft ervaren.
Het onderstreept het belang van waakzaamheid bij online bankieren en het opvolgen van de veiligheidsrichtlijnen van financiële instellingen.
