Phishing en bankfraude: wanneer moet de bank uw gestolen geld terugbetalen?

Heeft u te maken met geld dat van uw rekening verdween door phishing of bankfraude? In veel gevallen weigert de bank terugbetaling door te verwijzen naar ‘grove nalatigheid’. Een vonnis van de Nederlandstalige Ondernemingsrechtbank te Brussel van 15 mei 2025 bevestigt echter dat de bank dit niet zomaar kan inroepen: zonder hard bewijs van uw roekeloosheid, moet de bank de schade vergoeden.

De feiten: een onzichtbare installatie van de bank-app

In deze zaak ontdekken twee rekeninghouders op de ochtend van 1 maart 2024 dat hun gezamenlijke zichtrekening ‘s nachts is geplunderd. In totaal vonden er meerdere overschrijvingen plaats voor een bedrag van € 10.373,98, onder meer naar rekeningen van webshops en buitenlandse begunstigden.

De slachtoffers reageerden onmiddellijk: ze blokkeerden hun kaarten, verwittigden de bank en deden aangifte bij de politie.

De bank weigerde elke terugbetaling. Uit hun intern onderzoek bleek namelijk het volgende scenario:

1. Installatie op 9 februari: Drie weken vóór de fraude, op 9 februari, was de bankapplicatie geïnstalleerd op een iPhone van de fraudeur.
2. Sterke Authenticatie: Volgens de bank was deze installatie enkel mogelijk via ‘sterke cliëntauthenticatie’ (SCA). Dit vereist het fysieke bezit van de bankkaart, de kaartlezer én de geheime pincode.
3. De sms-kwestie: De bank stelde dat er tijdens de installatie een sms met een activatiecode (OTP) naar de klant was gestuurd. Het feit dat de app succesvol werd geactiveerd, bewees volgens de bank dat de klant deze code moest hebben doorgegeven aan de oplichter.

De bank concludeerde hieruit dat de klanten hun persoonlijke codes en bankkaartgegevens aan derden hadden doorgegeven, wat neerkomt op grove nalatigheid. De slachtoffers betwistten dit formeel: zij hadden geen codes gedeeld en nooit een activatie-sms ontvangen.

De beslissing: bank faalt in bewijslast

De rechtbank stelde de slachtoffers in het gelijk en veroordeelde de bank tot terugbetaling van de gestolen bedragen, vermeerderd met interesten en rechtsplegingsvergoeding.

De rechter oordeelde dat de bank niet voldeed aan de bewijslast. Het feit dat de app op een toestel van een fraudeur geïnstalleerd was, bewijst op zich niet dat de klant hiervoor toestemming gaf of codes deelde. De bank kon met logbestanden wel aantonen dat er een ‘verzoek’ tot activatie was, maar niet dat de cruciale sms met de OTP-code (One Time Password) daadwerkelijk door de klant aan de fraudeur was overhandigd.

Bovendien oordeelde de rechtbank dat de bank nalatig was door tijdens de frauduleuze overschrijvingen zelf (die weken na de installatie plaatsvonden) geen nieuwe ‘sterke cliëntauthenticatie’ te eisen.

Juridische analyse en duiding

Deze uitspraak is een belangrijke toepassing van het Wetboek van Economisch Recht (WER), specifiek de regels rond niet-toegestane betalingstransacties. Hieronder duiden we de juridische kernprincipes die in deze zaak – en mogelijk in uw dossier – de doorslag geven.

1. Het uitgangspunt: de bank is aansprakelijk

Volgens artikel VII.44 van het WER is de regel dat de betalingsdienstaanbieder (de bank) het verlies draagt bij ongeautoriseerde transacties. De klant is in principe beschermd, tenzij er sprake is van fraude door de klant zelf of ‘grove nalatigheid’.

2. De lat voor ‘grove nalatigheid’ ligt hoog

Banken schuiven de verantwoordelijkheid vaak af door te stellen dat de klant grof nalatig was (bv. “u heeft op een link geklikt” of “u heeft codes gedeeld”). De rechtspraak bevestigt echter dat loutere onvoorzichtigheid niet volstaat.

Er moet sprake zijn van een verregaande vorm van onachtzaamheid die een normaal zorgvuldig persoon in dezelfde omstandigheden nooit zou begaan. In eerdere zaken was er vaak sprake van een opeenstapeling van fouten (reageren op vreemde nummers, waarschuwingen negeren, codes doorgeven). In deze zaak ontbrak dat patroon.

3. De bewijslast rust op de bank

Dit is het cruciale punt voor slachtoffers. Het is aan de bank om met een redelijke mate van zekerheid te bewijzen dat u grof nalatig bent geweest (art. VII.44, §4 WER). In deze zaak toonde de bank technische logs (“request to enrollment”), maar dat bewijst niet dat de klant de code daadwerkelijk heeft ontvangen én doorgegeven. Twijfel komt ten goede aan de cliënt.

4. Sterke cliëntauthenticatie (SCA)

Banken zijn verplicht om transacties te beveiligen met sterke authenticatie. Als de bank dit nalaat – bijvoorbeeld door geen nieuwe verificatie te vragen bij grote overschrijvingen weken na een app-installatie – vervalt de aansprakelijkheid van de klant volledig (art. VII.44, §2 WER).

Wat betekent dit concreet voor u?

Heeft u slachtoffer van fraude, dan biedt dit vonnis houvast.

• Voor de rekeninghouder: Accepteer niet zomaar een weigering van de bank. De standaardbrief waarin de bank stelt dat “de transactie technisch correct werd uitgevoerd met uw codes”, is juridisch vaak onvoldoende om aansprakelijkheid af te wijzen. U hoeft uw onschuld niet te bewijzen; de bank moet uw grove schuld bewijzen.
• Preventie: Wees uiteraard waakzaam. Deel nooit codes uit uw kaartlezer of itsme via telefoon of e-mail. Maar weet dat als u toch slachtoffer wordt door een geavanceerde truc, u juridisch sterk staat zolang u niet roekeloos handelde.
• Actie: Blokkeer onmiddellijk uw kaarten via Card Stop (078 170 170) en doe aangifte bij de politie. Deze snelle reactie wordt door de rechtbank gezien als bewijs van goede trouw.

Veelgestelde vragen (FAQ)

Wat wordt beschouwd als grove nalatigheid bij bankfraude?
Grove nalatigheid is meer dan een simpele vergissing. Het gaat om een gedrag waarbij u de meest elementaire veiligheidsregels negeert, zoals het telefonisch doorgeven van uw pincode of response code aan een onbekende, ondanks waarschuwingen van de bank.

Moet ik bewijzen dat ik de betaling niet heb gedaan?
Nee, de bewijslast is omgekeerd. Als u ontkent dat u toestemming gaf, moet de bank bewijzen dat u wél toestemming gaf of dat u grof nalatig bent geweest. Simpelweg aantonen dat uw kaart of app is gebruikt, is vaak onvoldoende bewijs.

Krijg ik mijn geld altijd terug bij phishing?
Niet altijd, maar wel vaak. Tot een bedrag van € 50 kan er een eigen risico zijn, tenzij de bank geen sterke authenticatie toepaste of u het verlies niet kon opmerken. Bij grove nalatigheid krijgt u niets terug, maar zoals deze bijdrage aantoont, is dat voor de bank lastig te bewijzen.

De bank zegt dat de transactie gebeurde met “sterke authenticatie” (SCA). Ben ik dan kansloos?
Nee. De bank verwart vaak de installatie van de app met de betalingstransactie. Zelfs als de installatie met SCA gebeurde, moet de bank bewijzen dat u die handeling bewust stelde of grof nalatig was. Bovendien, als de betaling zélf weken later gebeurde zonder nieuwe SCA, bent u vaak volledig beschermd.

Wat als ik per ongeluk op een phishing-link heb geklikt?
Op een link klikken is op zich meestal geen grove nalatigheid. Het wordt pas problematisch als u vervolgens op de valse website persoonlijke codes (zoals uw pincode of response code van de kaartlezer) invoert. Zelfs dan moet de bank bewijzen dat een “normaal oplettend persoon” de vervalsing had moeten herkennen.

Geldt dit vonnis voor alle banken?
Dit is een vonnis van de Ondernemingsrechtbank Brussel. Hoewel het geen bindend precedent is zoals een arrest van het Hof van Cassatie, is het wel een gemotiveerde uitspraak die de strikte toepassing van het Wetboek van Economisch Recht bevestigt. Dit vonnis kan dan ook gebruikt worden in gelijkaardige dossiers om de druk op banken op te voeren.

Conclusie

Banken hebben in België een zware bewijslast wanneer ze weigeren om slachtoffers van fraude te vergoeden. Een technische registratie van een transactie is geen sluitend bewijs van uw aansprakelijkheid. Dit vonnis onderstreept dat twijfel over de toedracht in het voordeel van de consument spreekt.