Twee recente vonnissen van de Nederlandstalige ondernemingsrechtbank Brussel verschuiven de aansprakelijkheid bij phishing nadrukkelijk richting banken. In beide zaken moesten de betrokken banken als betalingsdienstaanbieder de slachtoffers vergoeden, ondanks dat de gebruikers zelf acties hadden ondernomen die tot de fraude leidden.
In de eerste zaak had een slachtoffer na phishing een valse bankapplicatie geïnstalleerd en zelfs een waarschuwingsmail ontvangen. In de tweede zaak verliep de fraude via een tekortkoming in het Itsme-systeem dat de bank zelf in haar betalingsdiensten had geïntegreerd. Toch oordeelde de rechtbank in beide gevallen dat de bank moet terugbetalen.
De vonnissen lijken alvast duidelijk te maken dat de terugbetalingsverplichting van de bank het uitgangspunt is, en onbeperkte aansprakelijkheid van de gebruiker de uitzondering. Alleen wanneer de bank kan bewijzen dat de gebruiker grof nalatig is geweest, kan deze aansprakelijk worden gesteld. Maar die bewijslast rust volledig bij de bank, en bij twijfel wordt de bank in het ongelijk gesteld.
Overmacht door Itsme
Nele Somers, advocaat ondernemingsrecht bij Artes die de vonnissen signaleerde, benadrukt dat bij de beoordeling van grove nalatigheid moet worden uitgegaan van een hoog beschermingsniveau ten voordele van de gebruiker. ‘Opvallend is ook dat banken geen overmacht kunnen inroepen door te verwijzen naar tekortkomingen in systemen van derden, zoals Itsme’, merkt Somers op.
De uitspraken kunnen behoorlijke gevolgen hebben voor de financiële sector. Banken zullen mogelijk meer moeten investeren in preventieve maatregelen en detectiesystemen. De vonnissen onderstrepen in elk geval dat consumenten niet automatisch alle risico’s dragen wanneer ze het slachtoffer worden van steeds geavanceerdere fraudetechnieken.
