Phishing en bankfraude: is inloggen op een valse website ‘grove nalatigheid’?

Bent u het slachtoffer geworden van online bankfraude of phishing en weigert uw bank de schade te vergoeden omdat u “zelf uw codes hebt ingegeven”? Een vonnis van de Vrederechter te Antwerpen van 15 april 2025 bevestigt dat de bank niet zomaar kan weigeren. Zelfs als er is ingelogd met de bankkaart en kaartlezer, moet de bank bewijzen dat er sprake is van ‘grove nalatigheid’ om terugbetaling te ontlopen.

De feiten: een klassiek geval van phishing?

In een zaak die voor de Vrederechter van het tweede kanton in Antwerpen kwam, draaide het geschil om een klant die het slachtoffer was geworden van fraude. De dame in kwestie probeerde via haar computer in te loggen op de website van haar bank. Dit lukte echter niet. Kort daarna ontving zij een telefonische oproep van een zogenaamde medewerker van de fraudedienst, die aanbood haar computer over te nemen. De dame kreeg argwaan, verbrak de verbinding en liet haar kaart blokkeren via Card Stop.

Toch was het kwaad al geschied: via de app op haar telefoon zag ze dat er twee betalingen van 1.000 euro waren uitgevoerd naar PayPal in Singapore.

De bank (Crelan, voorheen Axa Bank) weigerde de 2.000 euro terug te betalen. Haar argumentatie was tweeledig:

1. De betalingen waren technisch correct uitgevoerd met de chip van de kaart en de pincode, wat volgens de bank wees op toestemming van de klant.
2. De bank verweet de klant grove nalatigheid omdat zij vermoedelijk via een zoekmachine op een valse website was beland en daar haar gegevens had ingegeven.

De beslissing van de vrederechter

De Vrederechter volgde de redenering van de bank niet en veroordeelde de financiële instelling tot terugbetaling van de integrale schade.

De rechter oordeelde vooreerst dat het loutere feit dat een betaling technisch correct is geregistreerd (met chip en pincode), niet automatisch bewijst dat de klant ook de toestemming heeft gegeven voor die specifieke transactie. De klant had immers meteen betwist dat zij deze betalingen wilde doen en had onmiddellijk actie ondernomen (Card Stop bellen, klacht neerleggen).

Daarnaast oordeelde de rechter dat de bank faalde in haar bewijslast wat betreft de grove nalatigheid. De bank stelde wel dat de klant op een valse website moest zijn beland, maar kon dit niet hardmaken. De bank had bovendien nagelaten om tijdig (binnen de maand) de browsergegevens van de klant op te vragen, waardoor eventueel bewijs verloren was gegaan. Zonder bewijs dat de website “zo duidelijk vals was dat het inloggen daarop getuigt van een grove nalatigheid”, kan de schade niet op de klant worden verhaald.

Juridische analyse en duiding

Deze uitspraak raakt aan de kern van het betalingsverkeer in het digitale tijdperk: de balans tussen gebruiksgemak en beveiliging, geregeld in Boek VII van het Wetboek van Economisch Recht (WER).

Authenticatie is geen autorisatie

Een cruciaal onderscheid die moet worden gemaakt, is dat tussen authenticatie en autorisatie (toestemming). Artikel VII.42, § 2 WER stelt expliciet dat het gebruik van een betaalinstrument (zoals een bankkaart met pincode) op zich niet noodzakelijk volstaat om te bewijzen dat de betaler de transactie heeft toegestaan. Een transactie kan technisch perfect geauthenticeerd zijn (via 3D Secure), terwijl de wilsovereenstemming van de klant ontbreekt. Als een fraudeur de codes onderschept (bijvoorbeeld via een valse website) en deze onmiddellijk gebruikt, is er sprake van een niet-toegestane betalingstransactie.

De bewijslast van grove nalatigheid

Wanneer vaststaat dat de betaling niet toegestaan was, moet de bank de schade vergoeden, tenzij de klant frauduleus handelde of blijk gaf van grove nalatigheid (art. VII.44 WER). De drempel voor grove nalatigheid ligt hoog. Het wordt beoordeeld in abstracto: zou een normaal voorzichtige en redelijke persoon in dezelfde omstandigheden ook in de val zijn getrapt? Het vonnis van de Vrederechter te Antwerpen benadrukt dat de bewijslast hiervoor volledig bij de bank ligt. Het loutere vermoeden dat een klant onvoorzichtig was, volstaat niet. De bank moet concreet aantonen dat de klant zich roekeloos heeft gedragen, bijvoorbeeld door in te loggen op een website die overduidelijk amateuristisch of vals was.

Wat betekent dit concreet voor u?

Voor slachtoffers van fraude

• Betwist onmiddellijk: Als de bank weigert terug te betalen omdat u uw kaartlezer hebt gebruikt, accepteer dit niet zomaar. Technisch gebruik van de kaart staat niet gelijk aan juridische toestemming voor de fraude.
• Bewaar bewijs: Maak screenshots van uw oproepgeschiedenis en browsergeschiedenis. In de besproken zaak verloor de bank de discussie deels omdat ze deze gegevens te laat opvroegen, maar als klant staat u sterker als u dit zelf bewaart.
• Meldingsplicht: Verwittig onmiddellijk Card Stop en uw bank. Een snelle reactie is een sterke indicatie dat u niet instemde met de transacties.

Voor bankinstellingen

• Onderzoeksplicht: Het standaardantwoord dat “de pincode is gebruikt” volstaat niet. Er moet actief worden gezocht naar bewijs van grove nalatigheid of fraude.
• Snelheid is essentieel: Indien u als bank wil bewijzen dat een klant op een overduidelijk valse website surfte, moet u onmiddellijk de technische loggegevens (URL’s, browserhistoriek) veiligstellen of opvragen.

Veelgestelde vragen (FAQ)

Is inloggen via een link in een e-mail of zoekmachine altijd ‘grove nalatigheid’?
Nee, niet automatisch. De bank moet bewijzen dat de valse website zo amateuristisch of verdacht was dat een normaal voorzichtig persoon dit meteen had moeten zien. Als de valse website een perfecte kopie is van de echte bankwebsite, is er meestal geen sprake van grove nalatigheid.

De bank zegt dat ik ‘toestemming’ gaf omdat ik mijn kaartlezer gebruikte. Klopt dit?
Juridisch gezien niet noodzakelijk. Het Wetboek van Economisch Recht maakt een onderscheid. U kunt uw codes ingeven om in te loggen (authenticatie), maar dat betekent niet dat u toestemming geeft voor een overschrijving naar een onbekende rekening (autorisatie). Als fraudeurs uw codes onderscheppen, is de transactie ‘niet-toegestaan’ en is de bank in principe aansprakelijk.

Wie moet bewijzen dat ik onvoorzichtig was?
Die bewijslast ligt volledig bij de bank. Zolang de bank niet kan bewijzen dat u grof nalatig was of zelf fraude pleegde, moet de bank de niet-toegestane transacties terugbetalen.

Conclusie

De strijd tegen phishing is complex, maar de rechtspraak beschermt de consument steeds beter tegen de zware bewijslast die banken vaak opleggen. Het vonnis van de Vrederechter te Antwerpen bevestigt dat een bank niet zomaar de handen in onschuld kan wassen door te verwijzen naar het gebruik van de kaartlezer. Zonder keihard bewijs van grove nalatigheid, blijft de bank in België aansprakelijk voor het verlies.