phishing

Phishing-slachtoffer? Wanneer oordeelt de rechter dat u ‘grof nalatig’ was (en uw geld kwijt bent)?

Joris Deene
2 weken geleden
160 keer bekeken
6 minuten leestijd

U bent het slachtoffer van phishing. U bent misleid door een valse e-mail en een geraffineerde telefoonoproep, en duizenden euro’s zijn van uw rekening verdwenen. U verwacht dat de bank dit rechtzet, maar die weigert. De cruciale vraag is: was u ‘gewoon’ onoplettend, of was u ‘grof nalatig’? Een arrest van het hof van beroep te Antwerpen van 28 november 2024 toont aan dat wie duidelijke alarmbellen negeert, zelf opdraait voor de volledige schade.

De feiten: een klassiek phishing-scenario met een zware rekening

De zaak die voor het hof van beroep te Antwerpen kwam, begon met een professioneel ogende phishing-mail, zogenaamd van de bank Belfius. De bestuurder van een vennootschap klikte op een link om een nieuwe kaartlezer aan te vragen. Kort daarna werd de bestuurder opgebeld door een persoon die zich voordeed als medewerker van Card Stop.

Deze fraudeur hanteerde een uitgekiende strategie van psychologische manipulatie:

  1. Hij overtuigde de bestuurder om in te loggen op de online bankomgeving.
  2. Hij kondigde aan dat het scherm “even zwart” zou worden, zogezegd om de frauduleuze transacties te kunnen terugdraaien.
  3. Hij vroeg de bestuurder om de codes die op de kaartlezer verschenen, telefonisch door te geven.

De bestuurder volgde de instructies op, waarna de fraudeur in totaal 14.398 euro buitmaakte. De vennootschap stapte naar de rechter om dit bedrag terug te vorderen van de bank.

De beslissing van het hof van beroep

Het hof moest twee cruciale juridische vragen beantwoorden, die de kern vormen van elke phishing-zaak.

1. Was de betalingstransactie ‘toegestaan’?

Volgens de wet (Boek VII van het Wetboek Economisch Recht) moet de bank bewijzen dat een transactie correct werd geauthenticeerd en dus ‘toegestaan’ was. Gebeurt dat niet, dan is de transactie ‘niet-toegestaan’ en moet de bank het geld in principe terugbetalen.

Het hof oordeelde dat de transacties niet-toegestaan waren. De redenering is technisch, maar essentieel: de bank kon niet bewijzen dat de klant de authenticatieprocedure volledig zelf had doorlopen. De bestuurder had de finale ‘responsecode’ immers niet zelf ingegeven in de bankomgeving, maar deze telefonisch doorgegeven aan de fraudeur. Daardoor was het de fraudeur, en niet de klant, die de transactie finaal bevestigde.

2. Was het slachtoffer ‘grof nalatig’?

Dit is de ‘escape’ voor de bank. Als een transactie ‘niet-toegestaan’ is, moet de bank het bedrag terugbetalen, tenzij de bank kan bewijzen dat de klant zich schuldig heeft gemaakt aan grove nalatigheid. Als de bank daarin slaagt, draait het slachtoffer zelf op voor alle verliezen.

Het hof oordeelde dat het slachtoffer in deze zaak inderdaad grof nalatig was.

Juridische analyse en duiding

Dit arrest is een perfect voorbeeld van de “grijze zone” van aansprakelijkheid bij phishing. Het toont aan hoe rechters het gedrag van het slachtoffer tot in detail analyseren.

De opvallende splitsing in de beoordeling

Het meest leerrijke deel van het arrest is de manier waarop het hof het gedrag van het slachtoffer in tweeën deelt:

  • NIET grof nalatig: Het loutere klikken op de phishing-link en het niet opmerken van het verdachte e-mailadres (‘diens.belfiu@t-online.de’). Het hof vond de e-mail professioneel genoeg (met logo, correcte opmaak) en beschouwde dit hoogstens als een ‘onoplettendheid’. Een gewone onvoorzichtigheid is nog geen grove nalatigheid.
  • WEL grof nalatig: Het gedrag na het klikken op de link. Het hof stelde vast dat het slachtoffer “meerdere alarmbellen” had genegeerd. Een “normaal, zorgvuldig en vooruitziend” persoon, zo stelt het hof, zou gealarmeerd moeten zijn door:
    1. Een ongebruikelijke telefoonoproep van (zogezegd) Card Stop die vraagt om betalingen uit te voeren;
    2. De aankondiging dat het scherm zwart zou worden;
    3. Het feit dat men geen voorafgaande controle van de bankrekeningen uitvoerde.

Door in te gaan op deze instructies en de codes door te geven, beging het slachtoffer een “onvergeeflijke nalatigheid” en miskende het de plicht om de veiligheid van de persoonlijke beveiligingsgegevens te waarborgen.

Opgelet: het slachtoffer was geen consument

Een belangrijke juridische voetnoot: het slachtoffer was hier een vennootschap (BV), geen consument. Voor niet-consumenten kan de aansprakelijkheidsregeling van artikel VII.44 van het Wetboek Economisch Recht contractueel worden uitgesloten. Hoewel dat in deze zaak niet leek te zijn gebeurd, is dit een cruciaal aandachtspunt voor ondernemingen.

Wat dit concreet betekent

  • Voor slachtoffers (particulieren en bedrijven): Dit arrest is een harde waarschuwing. Hoewel een rechter begrip kan opbrengen voor het feit dat u op een overtuigende link klikt, stopt de mildheid daar. Zodra u in een ongebruikelijke situatie terechtkomt (een telefoongesprek, een zwart scherm, de vraag om codes door te geven), verwacht de rechtbank dat u stopt, de verbinding verbreekt en zelf contact opneemt met uw bank via de officiële kanalen. Doet u dat niet, dan is de kans reëel dat u als grof nalatig wordt beschouwd en u uw geld definitief kwijt bent.
  • Voor banken: De bewijslast ligt bij de bank. Zij moeten aantonen dat de klant grof nalatig was. Dit arrest geeft hen een sterk argument in dossiers waar slachtoffers, ondanks duidelijke waarschuwingssignalen, toch meewerken met de fraudeurs.

FAQ (Veelgestelde vragen)

Nee, niet automatisch. Dit hof van beroep oordeelde dat het klikken op een professioneel ogende valse e-mail op zich geen grove nalatigheid is. De grove nalatigheid begon pas toen het slachtoffer de verdere, zeer ongebruikelijke instructies van de fraudeur via de telefoon opvolgde.

Wat als mijn bank niet bereikbaar was tijdens de fraude?

In deze zaak probeerde het slachtoffer ook aan te voeren dat de bank niet bereikbaar was. Het hof verwierp dat argument. Het stelde dat er op het ogenblik van de feiten geen wettelijke verplichting was voor de bank om permanent bereikbaar te zijn. Bovendien had het slachtoffer ook gewoon de verbinding met de fraudeur kunnen verbreken.

Is de wetgeving rond phishing definitief?

Nee, de wetgeving is in volle evolutie. Zowel in België als op Europees niveau wordt nagedacht over nieuwe regels. Er ligt een Belgisch wetsvoorstel op tafel om de aansprakelijkheid van het slachtoffer te beperken, zelfs bij grove nalatigheid. Ook Europa bekijkt of de definities van ‘toestemming’ en ‘grove nalatigheid’ verduidelijkt moeten worden. De juridische strijd is dus nog niet gestreden.

Conclusie

Dit arrest van het hof van beroep in Antwerpen benadrukt een pijnlijke realiteit: de grens tussen onoplettendheid en grove nalatigheid is flinterdun, maar heeft verstrekkende financiële gevolgen. Een rechter zal in België uw volledige gedrag analyseren. Het klikken op een link kan u vergeven worden, maar het negeren van duidelijke alarmbellen – zoals een telefoontje van “Card Stop” of een plots zwart scherm – wordt gezien als een onvergeeflijke fout die u de volledige schade kost.

Zelf slachtoffer geworden van phishing of bankfraude? De grens tussen onoplettendheid en grove nalatigheid is complex en cruciaal voor uw dossier. Onze advocaten, gespecialiseerd in financieel recht en aansprakelijkheid, analyseren uw situatie en verdedigen uw belangen. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics