U kent het ongetwijfeld wel: e-mails, sms- of whatsappberichten van een derde partij – veelal van de post of de bank – waarin u een terugbetaling of een premie beloofd wordt. Al wat u moet doen, is de vermelde link openen en u inloggen met uw gegevens. Criminelen gaan vaker op deze wijze te werk om bij iemand digitaal binnen te breken en de slachtoffers geld te ontfutselen.
Maar hier rijst de vraag. Indien het slachtoffer daar nietsvermoedend op ingaat: wie is aansprakelijk voor de schade?
“Phishing” is een vorm van e-oplichting via online communicatiemiddelen waarbij cybercriminelen persoonlijke gegevens proberen te verkrijgen van internetgebruikers met het doel om deze gegevens frauduleus te gebruiken. Hierbij doen zij zich voor als bekende bedrijven, vertrouwde entiteiten of derde partijen, waarbij zij steeds realistischer deze tussenpartijen nabootsen: zelfs hele websites worden nagebouwd om te misleiden. Het hoofddoelwit: banken, hun klanten en de rekeningen.
Ondanks de vele waarschuwingen van de publieke autoriteiten en bedrijven, blijkt het aantal “phishing”-misdrijven in stijgende lijn.
Maar wie is nu aansprakelijk bij schade in geval van phishing?
Met een wetswijziging in 2018, werd art. VII.44 van het Wetboek van economisch recht ingevoegd.[1] Het principe luidt dat de bank verplicht is om de door haar klant geleden schade volledig te vergoeden, onder aftrek van 50 euro, die ten laste van de klant blijft.
Echter, de wet voorziet ook enkele uitzonderingen op dit principe. Naast de gebruikelijke figuren van bedrog en opzet, moeten de banken de schade van hun klanten niet vergoeden indien er sprake is van “grove nalatigheid”. De schade blijft dan integraal ten laste van de schadelijder – de klant. De bewijslast rust op de bank: het is de bank die moet aantonen dat haar klant op grove wijze nalatig is geweest.
Maar wat maakt nu een grove nalatigheid uit? De wetgever heeft reeds een voorbeeld in de bepaling opgenomen wat een dergelijke nalatigheid – dat zwaarwichtiger moet zijn dan de gewone nalatigheid – uitmaakt. Zo wordt “het feit, voor de betaler, zijn gepersonaliseerde veiligheidsgegevens, zoals zijn identificatienummer of enige andere code in een gemakkelijk herkenbare vorm te noteren, en met name op het betaalinstrument of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt, alsook het feit van de betalingsdienstaanbieder, of de door laatstgenoemde aangeduide entiteit, niet onverwijld in kennis te hebben gesteld van het verlies of diefstal”[2] als grove nalatigheid beschouwd.
Buiten dit ene geval, heeft de wetgever geen andere omstandigheden als grove nalatigheid opgenomen. De rechtbank en hoven krijgen hier een interpretatiemarge om te bepalen wat als grove nalatigheid kan worden beschouwd. Bij de beoordeling van deze nalatigheid, moet de rechter het geheel van feitelijke omstandigheden in acht nemen.[3] Van de klant wordt in elk geval verwacht dat hij alle redelijke maatregelen neemt om de veiligheid van het betaalinstrument en de vertrouwelijkheid van de ermee verband houdende gegevens te waarborgen en de uitgevende instelling in kennis te stellen van elk verlies, diefstal, onwettig of ongeoorloofd gebruik van het instrument.
Gezien het relatief recent karakter van de bepaling, bestaat er hieromtrent nog niet veel rechtspraak. Het Hof van Beroep te Antwerpen heeft evenwel op 5 november 2020 een eerste uitklaring gegeven aan het begrip ‘grove nalatigheid’.
In de zaak waarin het Hof moest oordelen, kwam het tot de vaststelling dat er wel degelijk sprake was van grove nalatigheid, zodat de klant de integrale schade diende te dragen.
Het Hof was van oordeel dat een bepaald aantal elementen/omstandigheden de aandacht van de klant had moeten trekken. De volgende elementen acht het Hof van belang: het feit dat de klant zijn gepersonaliseerde veiligheidsgegevens had meegedeeld, de phishing-e-mail het logo van de bank niet bevatte, de ontvangen e-mail niet afkomstig was van een e-mailadres gelijkend op dat van de bank, het daaropvolgend telefoongesprek werd gehouden op een zaterdag (terwijl het niet dringend was). Het Hof verduidelijkt nog dat van een zorgvuldige en voorzichtige betalingsdienstgebruiker mag worden verwacht dat hij een bijzondere voorzichtigheid aan dag legt wanneer hij gevraagd wordt om op een link te klikken. Dit geldt des te meer indien hij vervolgens door een onbekende persoon gevraagd wordt persoonlijke veiligheidscodes vrij te geven.
Het negeren van deze elementen, in combinatie met het doorgeven van de persoonlijke codes van de klant, is grove nalatigheid en heeft tot gevolg dat de klant onbeperkt aansprakelijk is voor de schade die hij lijdt.
Wat dan met de hoge leeftijd van de klant? Een belangrijk gegeven in de zaak is de hoge leeftijd van de klant (89 jaar). Is deze dan van geen tel? In het arrest herinnert het Hof eraan dat grove nalatigheid wordt beoordeeld aan de hand van het criterium van een normaal voorzichtige en zorgvuldige betalingsdienstgebruiker, geplaatst in dezelfde externe omstandigheden. Er kan dus geen rekening worden gehouden met de kenmerken eigen aan de betalingsdienstgebruiker, zoals leeftijd.
Het Hof werkte dit verder uit door te stellen dat er sprake is van nalatigheid zodra men afwijkt van het gedrag dat men van een klant, die gebruik maakt van een elektronisch betalingssysteem, mag verwachten. In dit geval had het slachtoffer jarenlang gebruik gemaakt van de elektronische betaaldiensten van de bank, zodat hij moest worden beschouwd als elke andere « normale » gebruiker van betalingsdiensten.
Welk gevolg kunnen we nu trekken uit het arrest? De rechtbank zal steeds geval per geval kijken, en op basis van een feitenkwestie beslissen of er al dan niet een grove nalatigheid bestaat. Dit moet deze situatie moet worden geanalyseerd vanuit een objectief oogpunt, en niet op basis van persoonlijke kenmerken (zoals bijvoorbeeld de hoge leeftijd, of de wijze waarop de schadelijder een bepaalde situatie ervaart of ziet). Het is alleen indien de rechter tot de vaststelling komt dat door het abstracte gedrag van elke voorzichtige persoon in dezelfde omstandigheden hij ook het slachtoffer van phishing geweest zou zijn, dat de schadelijder de gevolgen van de phishing niet zelf moet dragen.
In de steeds complexere en gesofisticeerde wereld van cybercriminaliteit, zal de rechtbank zien hoe realistisch de frauduleuze mail, bericht of website wel is. Hoe realistischer, hoe groter de kans dat de rechtbank zal oordelen dat er geen sprake was van grove nalatigheid en de bank gehouden zal zijn tot terugbetaling van de gelden. Omgekeerd, hoe amateuristischer de e-mail of de website, hoe waarschijnlijker de rechtbank zal oordelen dat het een grove nalatigheid van de schadelijder betreft.
Gezien het stijgend aantal gevallen van phishing, en de alomtegenwoordige waarschuwingen vanwege de overheid, banken en andere instanties, lijkt het niet uitgesloten dat rechtbanken in de toekomst strenger zullen oordelen voor de slachtoffers van phishing.
[1] Wet van 19 juli 2018 houdende wijziging en invoering van bepalingen inzake betalingsdiensten in verschillende boeken van het Wetboek van economisch recht, BS 30 juli 2018.
[2] Art. VII.44, §4, 2e lid van het Wetboek economisch recht.
[3] Art. VII.44, §4, 3e lid van het Wetboek economisch recht.