Phishing en internetfraude zijn vandaag alomtegenwoordig in onze steeds meer gedigitaliseerde samenleving. Sensibiliseringscampagnes door Safeonweb, Febelfin en financiële instellingen worden opgevoerd, en banken implementeren voortdurend nieuwe maatregelen om internetfraude tegen te gaan. Desondanks blijft het aantal gevallen van phishing stijgen. Deze toename van internetfraude is duidelijk zichtbaar in de statistieken van Ombudsfin, waar het aantal behandelde internetfraudedossiers jaar na jaar exponentieel stijgt.
Een vraag die wij vaak krijgen is of de bank mee de financiële gevolgen van deze fraude moet dragen? In België is het inderdaad zo dat de bank het bedrag van de ontvreemde bedragen aan de klant terug te betalen wanneer er sprake is van een niet-toegestane betalingstransactie. De bank dient dit evenwel niet te doen indien de fraude detecteerbaar was door de klant of indien de klant grof nalatig is geweest.
Hieronder geven onze advocaten een overzicht van de juridische regels en principes die van toepassing zijn in België bij de aansprakelijkheidsverdeling bij niet-toegestane betalingstransacties zoals vastgelegd in Boek VII van het Wetboek economisch recht (WER).
1. (Niet-)toegestane betalingstransacties
1.1. Wat is een toegestane betalingstransactie?
Om te bepalen of een bank aansprakelijk is bij phishing, moet dus worden vastgesteld of de betaling als een “toegestane” of “niet-toegestane” betalingstransactie kan worden gekwalificeerd.
Volgens artikel VII.32, §1, eerste lid WER wordt een betalingstransactie als toegestaan beschouwd wanneer de betaler heeft ingestemd met de uitvoering van de betalingsopdracht. Is deze instemming er niet, dan wordt de transactie als niet-toegestaan aangemerkt. Er is pas sprake van een toegestane betalingstransactie indien de betaler hiermee uitdrukkelijk heeft ingestemd.
Alhoewel het ondertussen tussen een toegestane en niet-toegestane verrichting vrij eenvoudig lijkt, stellen we vast dat hier in de praktijk veel discussie over bestaat en dan vooral over de vraag of er ‘instemming’ werd gegeven of niet.
1.2. Wie moet bewijzen dat de transactie niet is toegestaan?
Artikel VII.42 WER regelt de bewijslast met betrekking tot het al dan niet toegestane karakter van een betwiste verrichting. Wanneer een klant ontkent dat hij een betalingstransactie heeft toegestaan, moet de bank bewijzen dat de betalingstransactie is geauthenticeerd, juist is geregistreerd, is geboekt en niet door een technische storing of ander falen is beïnvloed.
Een eenvoudige verklaring van de klant dat hij niet heeft ingestemd, volstaat dus om deze bewijslast bij de bank te leggen. Indien de bank deze technische bewijzen niet kan leveren, kan de klant niet aansprakelijk worden gesteld.
Eens de bank bovenstaande bewijzen heeft geleverd, dan dient de klant te bewijzen dat hij niet bewust met de transactie heeft ingestemd. Kan de klant dit niet dan is er sprake van een toegestane verrichting.
Belangrijk hierbij is dat artikel VII.42, §2, eerste lid WER bepaalt dat het gebruik van een betaalinstrument dat door de bank is geregistreerd (zoals een bankkaart met code) op zich niet noodzakelijkerwijs afdoende bewijs vormt dat de betaler de transactie heeft toegestaan of frauduleus heeft gehandeld of met grove nalatigheid zijn verplichtingen niet is nagekomen. In de praktijk zien we immers vaak dat de bank kan aantonen dat een verrichting wel degelijk werd geauthenticeerd (bv. door een code die werd aangemaakt via een bankkaart, pincode, en kaartlezer/digipass/Itsme).
Hoe kan de klant aannemelijk maken dat hij niet ingestemd heeft met een geauthenticeerde verrichting? Dit kan hij doen door een gedetailleerd overzicht te geven van alle stappen die de fraudeur heeft uitgevoerd of door het abnormaal karakter van de verrichtingen aan te tonen of door een strafklacht in te dienen.
1.3. Subjectieve of objectieve instemming van de klant?
1.3.1. Standpunt van vele banken : objectieve instemming
In de praktijk stellen wij vast dat sommige banken authenticatie (het gebruik van de juiste codes en procedures) gelijk stellen met autorisatie (instemming). Zij menen dan ook dat wanneer zij het bewijs leveren van een geauthenticeerde verrichting er sprake is van een toegestane betalingsverrichting en het dossier voor hen afgesloten is. Dit is de zogenaamde objectieve of technische instemming.
1.3.2. Standpunt dat door de klant verdedigd wordt : subjectieve instemming
Volgens ons moet evenwel het het principe van een subjectieve uitdrukkelijke instemming gehanteerd worden. Er kan pas sprake zijn van een toegestane betalingstransactie wanneer de betaler hiermee vrij en bewust heeft ingestemd. De betaler moet op het moment van de betaling het bedrag en de begunstigde rekening of het doel van de transactie kennen.
Dit principe kan aan de hand van voorbeelden worden uitgelegd:
- Bij Whaling-fraude (waarbij een fraudeur zich via WhatsApp voordoet als een familielid en vraagt om overschrijvingen uit te voeren) is meestal sprake van toegestane betalingstransacties, omdat de klant zelf bewust de overschrijvingen uitvoert.
- Bij phishing of smishing, waarbij een fraudeur codes onderschept die het slachtoffer invoert op een valse website en vervolgens deze codes misbruikt voor betalingen, is er sprake van niet-toegestane betalingstransacties. Het slachtoffer dacht immers dat hij bijvoorbeeld de aanvraag van een nieuwe digipass of de deblokkering van een itsme-account bevestigde, niet dat hij betalingen autoriseerde.
1.3.3. Standpunt in de rechtspraak
In een arrest van 9 januari 2020 oordeelde het hof van beroep te Luik in een phising-zaak dat er sprake is van een niet-toegestane betalingstransactie, aangezien de klant nooit de bedoeling had de betwiste verrichting te bevestigen. Ook de Nederlandstalige rechtbank van eerste aanleg te Brussel in een vonnis van 15 juni 2023 en het vredegerecht te Antwerpen in een vonnis van 28 november 2022 bevestigden in het principe van de subjectieve instemming.
Het principe van de objectieve instemming werd daarentegen aanvaard door de Nederlandstalige rechtbank van eerste aanleg te Brussel in een vonnis van 8 januari 2021 en door de Franstalige rechtbank van eerste aanleg te Brussel in een vonnis van 13 februari 2023 (zij het dat in beide zaken het slachtoffer onvoldoende aannemelijk maakte dat hij niet met de verrichtingen had ingestemd). Het principe van objectieve instemming werd ook aanvaard door de Franstalige ondernemingsrechtbank te Brussel in een vonnis van 8 februari 2021, de Nederlandstalige ondernemingsrechtbank te Brussel in een vonnis van 7 juli 2023, het vredegerecht te Luik in een vonnis van 21 mei 2021, de rechtbank van eerste aanleg te Antwerpen in vonnissen van 29 juni 2022 en 9 november 2022 en door de Franstalige rechtbank van eerste aanleg in een vonnis van 18 februari 2025.
2. Verplichting tot onmiddellijke terugbetaling
2.1. Regeling in artikel VII.43 WER
Wanneer er sprake is van een niet-toegestane betalingstransactie, dan stelt artikel VII.43, §1, eerste lid WER dat de bank aan de klant onmiddellijk het bedrag van de niet-toegestane betalingstransactie moet terugbetalen, uiterlijk aan het einde van de eerstvolgende werkdag.
Deze verplichting geldt echter niet indien de bank redelijke gronden heeft om fraude in hoofde van de betaler te vermoeden en deze gronden schriftelijk aan de FOD Economie meedeelt. De bank heeft dus de mogelijkheid om binnen een redelijke termijn te onderzoeken of er sprake is van fraude in hoofde van de klant. Blijkt evenwel uit dit onderzoek dat de klant zelf geen fraude heeft gepleegd dan dient de bank tot terugbetaling over te gaan, ook al bestaat er nog geen definitief uitsluitsel over de aansprakelijkheid van de klant (zie punt 3).
2.2. Banken leven deze verplichting vaak niet na
Wij stellen vaak vast dat de meeste banken deze verplichting in de praktijk niet naleven. Ze beroepen zich vaak op het (foutieve) argument dat een geauthenticeerde verrichting ook een toegestane verrichting is en ze dus niet tot onmiddellijke terugbetaling moeten overgaan of dat deze verplichting enkel zou gelden voor niet-toegestane betalingstransacties zonder betaalinstrument.
Zowel in een vonnis van 11 februari 2022 van de Nederlandstalige rechtbank van eerste aanleg als in een vonnis van 27 oktober 2022 van de ondernemingsrechtbank te Brussel van 27 oktober 2022, werd evenwel geoordeeld dat een bank niet mag wachten om tot terugbetaling over te gaan tot er definitief uitsluitsel is over de mogelijke aansprakelijkheid van de klant (zie punt 3).
Bij niet-naleving van deze verplichting kan de klant aanspraak maken op vergoeding van de veroorzaakte schade, met name interesten aan de wettelijke interestvoet vanaf de datum waarop de terugbetaling op de rekening diende te gebeuren.
3. Aansprakelijkheidsverdeling bij niet-toegestane betalingstransacties
3.1. Betwisting van betalingstransacties vóór en ná kennisgeving van de fraude
Het WER maakt een onderscheid tussen transacties die hebben plaatsgevonden vóór en ná de kennisgeving van het verlies, de diefstal, het onrechtmatig gebruik of het niet-toegestane gebruik van het betaalinstrument.
3.1.1. Verplichting tot onverwijlde kennisgeving
De klant is verplicht de bank onverwijld in kennis te stellen van het verlies, de diefstal of het onrechtmatige gebruik van zijn betaalinstrument zodra hij hiervan kennis heeft (bv. via Card Stop). Artikel VII.41, §1 WER bepaalt dat de klant alleen rechtzetting kan verkrijgen indien hij de bank onverwijld én uiterlijk 13 maanden na de valutadatum kennisgeeft van zulke transactie.
Deze twee criteria (onverwijld en binnen 13 maanden) zijn cumulatieve voorwaarden. Als de klant de fraude pas ná 13 maanden ontdekt, kan hij de transactie niet meer betwisten. Als hij niet onverwijld na ontdekking kennis geeft, ontstaat een weerlegbaar vermoeden dat hij de transactie heeft aanvaard.
Volgens een arrest van het Hof van Justitie van 2 september 2021 kan de klant zich ná het verstrijken van deze 13 maanden niet op een ander aansprakelijkheidsregime beroepen (bv. op die van artikel 6.6 §2 BW).
De bank moet ervoor zorgen dat de klant te allen tijde (24/7) en kosteloos deze kennisgeving kan doen. Sinds januari 2023 hebben alle Belgische banken een klantendienst die 24/7 bereikbaar is.
3.1.2. Belang van de kennisgeving
Na kennisgeving door de klant mag het betaalinstrument niet meer worden gebruikt. Artikel VII.44, §3 WER bepaalt uitdrukkelijk dat het gebruik van het betaalinstrument na kennisgeving geen financiële gevolgen voor de klant kan hebben, tenzij de bank bewijst dat de klant frauduleus heeft gehandeld.
Bovendien ontstaat vanaf het moment van kennisgeving voor de bank de verplichting om redelijke maatregelen te nemen om frauduleus ontvreemde gelden te recupereren, zoals betwiste verrichtingen tegenhouden, het blokkeren van begunstigde rekeningen en het versturen van recuperatieberichten naar andere financiële instellingen.
Indien een bank haar recuperatieverplichting niet naleeft, dan kan de bank gehouden zijn tot terugbetaling van de volledige schade, zo oordeelde het vredegerecht te Antwerpen in een vonnis van 28 november 2022.
3.2. Sterke cliëntenauthenticatie
Volgens artikel VII.44, §2, eerste lid WER hoeft de klant geen financiële verliezen te dragen wanneer de bank geen sterke cliëntenauthenticatie verlangt, tenzij de klant zelf frauduleus heeft gehandeld.
Artikel I.9, 33/16° WER geeft een definitie van een sterke cliëntenauthenticatie die er op neerkomt dat er minstens een tweefactorauthentificatie (2FA) vereist is (bv kaartgegevens en ItsMe bevestiging). Dit is bijvoorbeeld niet het geval bij een online kredietkaartbetaling (Visa/Mastercard) waarbij uitsluitend kaartnummer, vervaldatum en CVC code moet ingevuld worden.
In een vonnis van 11 februari 2022 oordeelde de Nederlandstalige rechtbank van eerste aanleg te Brussel dat er sprake is van sterke cliëntenauthenticatie in gevallen waarbij een fraudeur erin slaagt om een mobiele bankapp te installeren op het toestel van het slachtoffer met behulp van responscodes gegenereerd met de bankkaart van het slachtoffer, en vervolgens frauduleuze verrichtingen bevestigt met een eigen gekozen code of vingerafdruk.
3.3. Franchise van 50 euro
Artikel VII.44, §1, eerste lid WER bepaalt dat de klant tot aan de kennisgeving het verlies moet dragen tot een bedrag van 50 euro voor alle niet-toegestane betalingstransacties als gevolg van het gebruik van een verloren of gestolen betaalinstrument. Deze franchise geldt voor de totaliteit van de niet-toegestane transacties, niet per transactie.
3.4. Detecteerbaarheid van de fraude
3.4.1. Wettelijk kader
Artikel VII.44, §1, tweede lid, 1° WER bepaalt dat de klant geen enkel verlies draagt indien het verlies, de diefstal of het onrechtmatige gebruik van het betaalinstrument niet kon worden vastgesteld door de betaler voordat een betaling plaatsvond, tenzij de betaler zelf frauduleus heeft gehandeld. Indien het slachtoffer van een fraudegeval het onrechtmatig gebruik van zijn betaalinstrument vooraf kon detecteren, is hij dus wél aansprakelijk voor het fraudegeval.
Bij de beoordeling of de fraude detecteerbaar was, wordt rekening gehouden met alle omstandigheden en wordt nagegaan of een gemiddelde betaler de phishing had kunnen detecteren.
Relevante factoren zijn onder andere:
- de opmaak van het fraudeuleuze bericht (bv. grammaticale of spellingsfouten)
- het e-mailadres dat de fraudeur gebruikte (het afzendadres)
- de URL van de frauduleuze website
- het aanmaken van een digipass code terwijl de klant enkel een bedrag moet ontvangen
- het telefonisch doorgeven van codes
- het reageren op smsen afkomstig van itsme over de blokkering van een account terwijl de klant geen itsme account heeft
- contextboodschappen die verschijnen op de digipass (bv. tekenen voor de installatie van een nieuw app terwijl de klant enkel een betaling wil bevestigen)
Het is in elk geval de betaler die bewijzen moet aanleveren waaruit blijkt dat hij de fraude op voorhand niet kon detecteren.
3.4.2. Wat indien de klant grof nalatig was?
Artikel VII.44, §1, vierde lid WER bepaalt dat de betaler alle verliezen in verband met een niet-toegestane betalingstransactie moet dragen indien hij door grove nalatigheid bepaalde van zijn verplichtingen niet is nagekomen.
Wij zijn van mening dat de uitzondering bij grove nalatigheid niet geldt voor gevallen waarin de fraude vooraf niet detecteerbaar was. In dat geval speelt de grove nalatigheid volgens ons geen rol: als de fraude niet detecteerbaar was, draagt de klant geen verlies, zelfs als hij grof nalatig is geweest.
Het vredegerecht te Antwerpen bevestigde deze stelling in een vonnis van 28 november 2022. De Nederlandstalige rechtbank van eerste aanleg te Brussel sprak dit evenwel in een vonnis van 4 april 2022 tegen en onderzocht als zelfstandige uitzondering of de klant grof nalatig geweest was.
3.5. Grove nalatigheid, fraude of opzet in hoofde van de betaler
Artikel VII.44, §1, vierde lid WER bepaalt dat de klant alle verliezen draagt indien deze geleden werden doordat hij frauduleus heeft gehandeld of opzettelijk of door grove nalatigheid bepaalde verplichtingen niet is nagekomen.
In het bijzonder is de klant grof nalatig indien hij één van de verplichtingen opgesomd in artikel VII.38 WER niet is nagekomen, zoals:
- het veilig bewaren van betaalinstrumenten en persoonlijke beveiligingsgegevens
- de bank onmiddellijk op de hoogte brengen zodat de klant verlies, diefstal of onrechtmatig gebruik van zijn betaalinstrument vaststelt
De beoordeling van grove nalatigheid moet volgens artikel VII.44, §4, derde lid WER rekening houden met alle feitelijke omstandigheden. Het hof van beroep te Antwerpen oordeelde in een arrest van 5 november 2020 dat de grove nalatigheid moet worden beoordeeld volgens het criterium van de veronderstelde gedragswijze van een normaal zorgvuldig en omzichtige betaler geplaatst in dezelfde concrete externe omstandigheden. Hierbij mag volgens het hof geen rekening worden gehouden met de leeftijd van de betaler.
Volgens artikel VII.44, §4, eerste lid WER ligt de bewijslast inzake bedrog, opzet of grove nalatigheid bij de bank. Het louter gebruik van het betaalinstrument met de code van de klant vormt op zich geen voldoende vermoeden van nalatigheid.
4. Moet een bank systemen implementeren om fraude te detecteren?
Banken zijn verplicht fraude-monitoringsystemen te implementeren die verdachte transacties detecteren (art. 2 SCA verordening in combinatie met artikel 95 PSD II).
Als deze systemen kennelijk tekortschieten (bijvoorbeeld wanneer tientallen identieke transacties niet worden tegengehouden), rijst de vraag of de bank hiervoor aansprakelijk kan worden gesteld. SCA en PSD II blijven hier evenwel stil over. Het Hof van Justitie lijkt in zijn arrest van 2 september 2021 een aanvullend beroep op een andere aansprakelijkheidsregeling uit te sluiten, terwijl het hierboven vermeld vonnis van het vredegerecht te Antwerpen van 28 november 2022 (inzake de gebrekkige naleving van de recuperatieverplichting) eventueel ook zou kunnen toegepast worden op gevallen waarin een bank duidelijk tekort geschoten is in zijn fraudedetectieplicht.
Conclusie: Hoe kunnen onze advocaten u helpen?
De regelgeving omtrent aansprakelijkheid bij phishing is complex en de toepassing ervan in de praktijk is niet altijd eenduidig. Banken nemen vaak standpunten in die niet stroken met de bescherming die de wetgever de consument heeft willen bieden.
Onze advocaten hebben ruime ervaring in het bijstaan van slachtoffers van phishing en andere vormen van internetfraude. Wij kunnen u helpen bij:
- Het analyseren van uw specifieke phishing-geval en de toepasselijke regelgeving
- Het beoordelen of de bank terecht weigert tot terugbetaling over te gaan
- Het ondersteunen bij het opstellen van een klacht bij Ombudsfin
- Het voeren van gerechtelijke procedures tegen de bank indien nodig
