Contractenrecht

Wie draait op voor de schade bij factuurfraude via een gehackte mailbox?

Joris Deene
4 weken geleden
164 keer bekeken
6 minuten leestijd

Factuurfraude via e-mail, ook wel Business Email Compromise (BEC) genoemd, kost bedrijven jaarlijks aanzienlijke sommen geld. Wanneer een schuldenaar een vervalste factuur betaalt nadat de mailbox van de schuldeiser werd gehackt, rijst onmiddellijk de vraag of die schuldenaar zijn schuld nogmaals moet betalen aan de échte schuldeiser. Een uitspraak van de Franstalige Ondernemingsrechtbank te Brussel van 2 mei 2024 toont aan dat de rechtbank kan oordelen tot een gedeelde aansprakelijkheid (50/50) wanneer beide partijen onzorgvuldig hebben gehandeld en interne procedures niet hebben gerespecteerd.

De feiten

In de zaak die voorlag bij de rechtbank, werkten een Italiaans IT-bedrijf (ITA) en een Luxemburgs IT-bedrijf (LUX) samen in een consortium. LUX trad op als leider van het consortium, ontving de gelden en moest ITA betalen voor haar prestaties. Na een cyberaanval kreeg een hacker toegang tot de mailbox van een medewerker van ITA.

De hacker onderschepte het e-mailverkeer en stuurde frauduleuze berichten naar LUX. Onder het voorwendsel van een bancaire audit werd LUX verzocht om de openstaande facturen te betalen op een nieuw, Spaans bankrekeningnummer. De hacker bezorgde hiervoor een document met een vervalste, slecht gespelde handtekening. Zonder verdere verificatie voerde LUX twee betalingen uit voor een totaalbedrag van 618.220,10 euro. Toen ITA het geld niet ontving en aan de bel trok, kwam de fraude aan het licht. ITA eiste vervolgens de betaling van de facturen op.

De beslissing van de ondernemingsrechtbank

De juridische discussie draaide rond twee centrale wetsartikelen uit het (oude) Burgerlijk Wetboek:

  • Artikel 1239 oud BW: Dit artikel stelt dat een betaling bevrijdend is wanneer ze aan de echte schuldeiser wordt gedaan. Doet men dit niet, dan geldt het principe “wie slecht betaalt, betaalt twee keer”.
  • Artikel 1240 oud BW: Dit artikel vormt een uitzondering op de hoofdregel en stelt dat een betaling wél geldig (bevrijdend) is indien ze te goeder trouw werd gedaan aan iemand die in het bezit is van de schuldvordering (de zogenoemde “schijnschuldeiser”).

LUX beriep zich op haar goede trouw (artikel 1240 oud BW), maar de rechtbank verwierp dit argument. LUX had onvoldoende waakzaamheid aan de dag gelegd: de handtekening op het document was zichtbaar vervalst, de hacker communiceerde plots in het Italiaans in plaats van in het Engels, en LUX negeerde haar eigen interne procedures door het document niet grondig te controleren.

Echter, de rechtbank oordeelde dat ook de schuldeiser (ITA) een zware (buitencontractuele) fout had begaan (artikel 1382 oud BW, thans art. 5.5 BW). Ondanks haar status als IT-bedrijf, had ITA talrijke waarschuwingen genegeerd, zoals verdachte inlogpogingen vanuit Nigeria en ongebruikelijke e-mailregels.

Omdat beide partijen grove nalatigheden hadden begaan die de fraude mogelijk maakten, besloot de rechtbank tot een gedeelde aansprakelijkheid. LUX werd veroordeeld om de helft van het bedrag (309.110,05 euro) alsnog aan ITA te betalen.

Juridische analyse en duiding

De uitspraak illustreert een interessante wisselwerking in de rechtspraak tussen de vertrouwensleer (de theorie van de schijnvertegenwoordiging) en het buitencontractueel aansprakelijkheidsrecht.

Enerzijds vereist de toepassing van artikel 1240 oud BW (thans gecodificeerd onder artikel 5.198 BW) een “legitieme dwaling” in hoofde van de betaler. De rechtspraak oordeelt hier streng: van een professionele speler (zeker in de IT-sector) wordt een hoge mate van zorgvuldigheid verwacht bij het wijzigen van bankgegevens. Elke anomalie – zoals een spelfout in een handtekening of een plotse taalswitch – ontneemt de betaler de mogelijkheid om zich op de verschoonbaarheid van zijn dwaling te beroepen.

Anderzijds biedt het buitencontractueel aansprakelijkheidsrecht (artikel 1382 oud BW, thans artikel 6.5 BW) een belangrijk correctiemechanisme. Zelfs als de schuldenaar een inschattingsfout maakt, kan hij schadevergoeding vorderen (of schuldvergelijking toepassen) wanneer de schuldeiser zelf onzorgvuldig is omgesprongen met de beveiliging van zijn IT-systemen. Het niet adequaat reageren op ‘impossible travel activity’ of ‘risky sign-in alerts’ in een Microsoft Office 365-omgeving wordt hierbij expliciet als een foutbreuk in de algemene zorgvuldigheidsnorm gekwalificeerd.

Deze evolutie toont aan dat rechters steeds vaker naar het effectieve gedrag inzake cyberhygiëne van beide partijen kijken om het financiële risico bij BEC-fraude billijk te verdelen.

Wat dit concreet betekent

Voor bedrijven, zowel in de hoedanigheid van schuldenaar als schuldeiser, heeft deze rechtspraak aanzienlijke praktische gevolgen:

  • Voor de betaler (schuldenaar): U kunt niet blindelings afgaan op een e-mailbericht waarin een nieuw rekeningnummer wordt gecommuniceerd. Zelfs als het bericht afkomstig is van het echte e-mailadres van uw leverancier, draagt u een aanzienlijk risico. Het strikt naleven van interne procedures (zoals een telefonische verificatieverplichting via een reeds gekend, betrouwbaar telefoonnummer) is cruciaal.
  • Voor de leverancier (schuldeiser): U bent niet automatisch beschermd wanneer u het slachtoffer wordt van een hack. Indien uw IT-infrastructuur gebrekkig beveiligd is (bv. ontbreken van Multi-Factor Authenticatie) of als u waarschuwingen (security alerts) negeert, riskeert u een groot deel van uw vordering definitief mis te lopen.

Veelgestelde vragen (FAQ)

Moet ik een factuur nogmaals betalen als ik ben opgelicht door een hacker?
Ja, in de regel bent u niet bevrijd van uw schuld wanneer u aan een oplichter betaalt in plaats van aan uw werkelijke schuldeiser. Uitzonderingen bestaan slechts wanneer u te goeder trouw en zonder enige nalatigheid handelde (de theorie van de schijnschuldeiser), of wanneer de hacker mede kon toeslaan door een zware fout van uw leverancier.

Wat is Business Email Compromise (BEC)?
BEC, of factuurfraude via e-mail, is een oplichtingsvorm waarbij een cybercrimineel de e-mailaccount van een bedrijf hackt. De oplichter onderschept facturen en past de bankrekeningnummers aan, waardoor nietsvermoedende klanten hun betalingen naar de rekening van de fraudeur sturen in plaats van naar de rechtmatige leverancier.

Hoe kan mijn bedrijf factuurfraude voorkomen?
Implementeer strikte, meerlagige beveiligingsprocedures. Controleer wijzigingen van bankgegevens altijd via een alternatief kanaal, zoals een telefoongesprek met uw vaste contactpersoon. Zorg bovendien aan uw eigen zijde voor een goede cyberhygiëne, inclusief actieve monitoring van verdachte inlogpogingen, om medeaansprakelijkheid te vermijden.

Conclusie

De stijgende trend van factuurfraude en Business Email Compromise dwingt ondernemingen in België tot opperste waakzaamheid. Betaalt u op het verkeerde rekeningnummer, dan is de kans reëel dat u de factuur een tweede keer moet voldoen. Wordt u als schuldeiser gehackt, dan loopt u het risico deels op te draaien voor de schade indien u nalatig was inzake cyberveiligheid. Een nauwgezette analyse van de gedragingen van álle betrokken partijen is cruciaal om de aansprakelijkheidsvraag correct te beantwoorden.

Heeft u te maken met een complexe zaak rond factuurfraude, cybercrime of een contractueel geschil? Onze advocaten, gespecialiseerd in het ondernemingsrecht en aansprakelijkheidsrecht, staan klaar om uw dossier grondig te analyseren en uw belangen te verdedigen. Wilt u weten wat we voor u kunnen betekenen? Neem dan gerust contact met ons op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics