Alsmaar meer mensen worden het slachtoffer van internetfraude of phishing. De fraude treft lang niet meer alleen opa en oma maar ook jongeren voor wie een digitale omgeving nochtans vertrouwder is. Hoewel banken hun fraudedetectiesystemen voortdurend bijstellen en de gebruiker steeds beter op de hoogte is, lopen mensen nog steeds in de val omdat fraudeurs voortdurend hun modus operandi aanpassen. Cybercriminelen worden gewiekster en meer bedreven dan ooit.
Vaak leest men dat slachtoffers hun bankrekeningen geplunderd zien maar finaal in de kou blijven staan. In de regel moet de financiële instelling de ontvreemde bedragen nochtans onmiddellijk terugstorten en blijft het verlies van de betaler beperkt tot 50 euro. Wanneer het slachtoffer de fraude niet kon opmerken, dan moet de bank het verlies zelfs volledig dragen.
Gezien de omvang die internetfraude de laatste jaren heeft aangenomen beroepen sommige banken zich nu vaker op de uitzonderingen in de wet en proberen zij zelfs te ontsnappen aan de toepassing ervan door een betalersonvriendelijke interpretatie ervan. Nochtans is de wettelijke regeling duidelijk en behoeft deze geen interpretatie.
Principe
De regels waarop slachtoffers van internetfraude zich kunnen beroepen zijn sinds enkele jaren vervat in boek 7 van het Wetboek Economisch Recht (WER) dat de betalingsdiensten reglementeert. Het uitgangspunt is dat de betalingsdienstaanbieder (de bank) onmiddellijk het nodige moet doen om het bedrag van een niet-toegestane betalingstransactie terug te betalen nadat zij de transactie heeft opgemerkt of daarvan in kennis werd gesteld.
De bank is verplicht om onmiddellijk terug te betalen
De bank is gehouden om onmiddellijk terug te betalen, uiterlijk aan het einde van de eerstvolgende werkdag, nadat zij kennis krijgt van een niet toegestane betalingstransactie. De bank kan niet toegestane betalingen op het spoor komen doordat interne controlesystemen verdachte transacties signaleren of omdat de betaler deze meldt.
In beide situaties is de bank gehouden om de bankrekening van de betaler onmiddellijk te crediteren met het bedrag van de transactie, ook al kan het zijn dat het verlies volgens de verdelingsregeling die hierna wordt besproken volledig of gedeeltelijk ten laste komt van de betaler. De bank mag met andere woorden niet wachten om terug te betalen tot er definitief uitsluitsel is over de verdelingsregeling, zelfs als dat pas na een rechterlijke uitspraak is. De wetgever wil immers met de onmiddellijke terugbetalingsverplichting vermijden dat de betaler als zwakkere partij in een positie terechtkomt waarin hij of zij een procedure moet opstarten om over de gelden te kunnen beschikken.
Volgens het jaarverslag van Ombudsfin 2019 blijkt dat bepaalde banken deze verplichting in de praktijk niet naleven in de bij Ombudsfin aanhangig gemaakte dossiers.
Op de verplichting tot onmiddellijke restitutie bestaat slechts één uitzondering. De bank moet dit niet doen wanneer zij redelijke gronden heeft om fraude in hoofd van de betaler te vermoeden in welke situatie zij deze gronden moet meedelen aan de FOD Economie.
Verdeling van het verlies wanneer dit het gevolg is van verlies, diefstal of onrechtmatig gebruik van een betaalinstrument
Wanneer een gebruiker vaststelt dat zijn betaalinstrument onrechtmatig wordt gebruikt (na verlies, diefstal, hacking, …), moet hij de bank daarvan onmiddellijk (onverwijld) verwittigen. In functie van het tijdstip waarop de bank in kennis wordt gesteld voorziet de wetgever in een verdeling van het risico.
- Verliezen die het gevolg zijn van niet toegestane betalingen na de kennisgeving zijn volledig voor rekening van de bank. Van zodra de betaler bv. Card Stop verwittigt, is de bank verantwoordelijk voor transacties die vanaf dan nog met de betaalkaart zouden gebeuren.
Op deze regel bestaat één uitzondering, dit is als de betaler zichzelf schuldig maakt aan fraude. De bank moet deze fraude dan wel aantonen.
- Verliezen die voortvloeien uit niet toegestane betalingen vóór de kennisgeving zijn principieel ook voor rekening van de bank, op een franchise van 50,- EUR na. Het verlies dat de consument zelf moet dragen blijft dus beperkt tot 50,- EUR. Slachtoffers van internetfraude zouden dus in principe onmiddellijk hun geld moeten terugkrijgen, op een franchise van 50,- EUR na.
Aan de basis van deze verdeling van het risico ligt de overweging dat het aan de betalingsdienstaanbieder (de bank) toekomt om structuren op te zetten of te organiseren binnen zijn onderneming waardoor betalingstransacties op een veilige manier kunnen plaatsvinden. De parlementaire voorbereidingen verduidelijken verder dat het in de eerste plaats de betalingsdienstaanbieder is die ter verantwoording moet worden geroepen voor het goed functioneren van het betalingsverkeer. Van de ‘gemiddelde’ betaler mag niet verwacht worden dat hij van dit technische proces een volledige kennis of overzicht heeft.
In de voorbereidende werken wordt uitdrukkelijk gesteld dat deze regeling in geval van twijfel in het voordeel van de betaler geïnterpreteerd moet worden.
Wettelijke uitzonderingen
De betaler draagt geen eigen verlies (geen franchise).
Wanneer het verlies niet kon worden opgemerkt
Als het slachtoffer het onrechtmatig gebruik van zijn betaalinstrument niet vooraf kon waarnemen, draagt hij geen enkel verlies. Wanneer malafide derden gebruik maken van een nagemaakte bankkaart (bv. door skimming of cloning) of wanneer zij de smartphone of pc van het slachtoffer hacken en persoonlijke beveiligings- en betalingsgegevens ontvreemden (bv. na phishing), zal het slachtoffer de niet toegestane transacties niet kunnen opmerken en draagt hij geen enkel verlies.
De wetgever heeft het risico in situaties zoals skimming en hacking bij de bank willen leggen omdat zij het best geplaatst zijn om technologisch te verhinderen dat betaalinstrumenten op die manier worden misbruikt. De bank moet met andere woorden instaan voor de veiligheid en integriteit van het door haar aangeboden betalingsinstrument.
Om de bescherming in geval van niet te detecteren fraude te maximaliseren heeft de wetgever ook voorzien dat de betaler geen verlies draagt, zelfs wanneer hij grof nalatig zou zijn geweest.
Wanneer een aangestelde van de bank verantwoordelijk is voor het verlies
De betaler draagt geen enkel verlies wanneer dit werd veroorzaakt door het handelen of het nalaten van een werknemer, agent of bijkantoor van de bank.
In geval van afwezigheid van sterke cliëntauthenticatie
Wanneer de betalingsdienstaanbieder van de betaler geen sterke cliëntauthenticatie verlangt, draagt de betaler geen verlies, tenzij de betaler frauduleus heeft gehandeld.
Sterke cliëntauthenticatie houdt volgens de wettelijke definitie in dat een betaling wordt goedgekeurd door het gebruik van twee of meer factoren die ‘worden aangemerkt als “kennis” (iets wat alleen de gebruiker weet), “bezit” (iets wat alleen de gebruiker heeft) en “inherente eigenschap” (iets wat de gebruiker is) en die onderling onafhankelijk zijn, in die zin dat compromittering van een ervan geen afbreuk doet aan de betrouwbaarheid van de andere en die zodanig is opgezet dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd’.
Een betaling met bancontact bv. gebeurt met sterke authenticatie omdat de betaler gebruik maakt van een betaalkaart (bezit) en alleen hij kennis heeft van de pincode.
Bij diefstal van een kredietkaart draagt de betaler in de regel geen verlies omdat betalingen met de kredietkaart mogelijk zijn louter op basis van de kredietkaartgegevens (kaartnummer, vervaldatum en verificatiecode).
Ombudsfin heeft in haar jaarverslag 2019 gemeld dat zij betwijfelt of er nog sprake is van sterke cliëntauthenticatie wanneer na phishing een banking app wordt geïnstalleerd op het toestel van de fraudeur, die vervolgens toegang geeft tot de rekeningen van het slachtoffer van de fraude. De fraudeur maakt dan immers gebruik van een op zijn eigen toestel geïnstalleerde app die nooit in het bezit van het slachtoffer is geweest en van een door hemzelf aangemaakte toegangscode, die dus niet gekend is door het slachtoffer.
De betaler draagt alle verliezen.
Wanneer de betaler zich schuldig maakt aan fraude
In dat geval is de bank ook niet verplicht tot onmiddellijke rechtzetting doch moet zij aan de FOD Economie de redelijke gronden melden op basis waarvan zij vermoedt dat er fraude in het spel is.
Wanneer de betaler opzettelijk of door grove nalatigheid zijn verplichtingen niet is nagekomen
De verplichtingen waarvan sprake betreffen
- de verplichting om het betaalinstrument te gebruiken overeenkomstig de voorwaarden die op de uitgifte en het gebruik ervan van toepassing zijn,
- de verplichting om alle redelijke maatregelen te nemen om de veiligheid van het betaalinstrument en de persoonlijke beveiligingsgegevens ervan te waarborgen en
- de verplichting onverwijld kennis te geven van verlies, diefstal of het onrechtmatig gebruik van het betaalinstrument.
De wetgever heeft geen algemene definitie van grove nalatigheid gegeven en heeft zich beperkt tot het geven van enkele voorbeelden: het niet onverwijld kennis geven van verlies, diefstal of het onrechtmatig gebruik van het betaalinstrument, alsook het op een gemakkelijk herkenbare wijze noteren van persoonlijke beveiligingsgegevens (pincode), met name op het betaalinstrument, of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt.
Een overweging bij de Europese Richtlijn stelt dat een grove nalatigheid meer vereist dan een loutere onzorgvuldigheid. Er moet sprake zijn van een aanzienlijke mate van onvoorzichtigheid. De bewijslast rust op de financiële instelling.
Steeds vaker proberen sommige banken te argumenteren dat hun klant grof nalatig is geweest om zo te ontsnappen aan de terugbetalingsverplichting. Het bewijs hiervan leveren is echter niet zo eenvoudig. Zelden zal uit een strafdossier blijken dat de betaler de code op de bankkaart (of een erop gekleefde post-it) heeft geschreven.
Het produceren van de correcte registratie en het gebruik van het betaalmiddel met de geheime code vormen alleszins geen voldoende vermoeden van nalatigheid met betrekking tot de betaler.
Ten slotte mag niet uit het oog worden verloren dat zelfs als de betaler door grove nalatigheid zijn verplichtingen niet zou zijn nagekomen, hij toch geen verlies draagt wanneer de fraude niet te detecteren was (zie hoger).
Toegestane betalingen?
Niettegenstaande het betalersvriendelijke karakter van het wettelijk verankerde principe, trachten sommige financiële instellingen de toepassing ervan te vermijden door te stellen dat de betaler wel heeft ingestemd met de betalingen. In dat geval zou het voormeld principe volgens hen geen toepassing vinden. Dan zouden zij de bankrekening niet voorlopig moeten crediteren en niet verder moeten nagaan of zij zich kunnen beroepen op een uitzondering zoals bv. het door grove nalatigheid niet nakomen van verplichtingen.
Dergelijke interpretatie gaat echter in tegen het principe dat de betaler automatisch en onmiddellijk moet worden vergoed eens de bank weet heeft van de fraude. De bedoeling van de wetgever om te vermijden dat de betaler een procedure voor de rechter moet opstarten om terugbetaling te bekomen wordt op die wijze immers op losse schroeven gezet.
Zoals hierna toegelicht blijkt bovendien dat bij internetfraude betalingen slechts zelden als toegestaan kunnen worden beschouwd.
Vrije geïnformeerde toestemming
Een betalingstransactie wordt op basis van de wet slechts als toegestaan aangemerkt indien de betaler heeft ingestemd met de uitvoering van de betalingsopdracht. Van een vrije instemming is enkel sprake als de betaler naast het bedrag, de begunstigde én het doel van de transactie kent.
Een klassiek voorbeeld van een niet toegestane betaling betreft een geldopname door de oneerlijke vinder van een bankkaart. In gevallen van internetfraude betreft het betalingen die mogelijk worden gemaakt na phishing zonder dat het slachtoffer bewust is van het feit dat hij meewerkt aan de verwerving van de controle over zijn bankrekening. Veelal wordt pas achteraf gemerkt dat de bankrekening werd geplunderd. Het spreekt voor zich dat dan van een vrije geïnformeerde toestemming tot die betalingen geen sprake is.
De bewijslast rust op de bank
De instemming om een betalingstransactie te doen uitvoeren wordt in principe verleend in de tussen de betaler en de betalingsdienstaanbieder overeengekomen vorm en volgens de overeengekomen procedure, bijvoorbeeld door het tekenen van een betalingsverrichting in de app van de bank, met een vingerafdruk, ingeven van de pincode of door gebruik van bankkaart en kaartlezer. Omdat hierover nogal wat discussie kan rijzen heeft de wetgever bepaald dat de bank steeds vier bewijzen moet leveren.
- Dat de betalingstransactie werd geauthenticeerd;
- Dat de betalingstransactie juist werd geregistreerd;
- Dat de betalingstransactie geboekt werd;
- Dat de betalingstransactie niet door een technische storing of enig ander falen is beïnvloed.
Hoe dit bewijs geleverd wordt, is niet in de wet bepaald maar de consument moet wel steeds de mogelijkheid krijgen om met alle middelen van recht tegenbewijs te leveren.
Authenticatie betekent niet noodzakelijk autorisatie
De wetgever is echter nog een stap verder gegaan in de bescherming van de betaler. Zelfs als de bank het bewijs levert dat een betaalinstrument werd gebruikt, vormt dit op zichzelf niet noodzakelijkerwijze afdoende bewijs dat de betalingstransactie door de betaler is toegestaan (of dat de betaler frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer van zijn verplichtingen niet is nagekomen). De bank is sinds 9 augustus 2018 gehouden om ondersteunend bewijs te leveren. Wanneer de betalingsdienstaanbieder de 4 eerder vermelde bewijzen levert, brengt dit dus niet automatisch mee dat de betwiste transactie als toegestaan mag worden beschouwd.
Zo zal het gecombineerd gebruik van bankkaart, kaartlezer, pincode en response codes niet noodzakelijkerwijze bewijzen dat de betaler opdracht heeft gegeven tot de betaling.
Ondanks de duidelijke bewoording van de wet, stelt Ombudsfin in haar jaarverslag 2019 dat verschillende financiële instellingen autorisatie (toestaan) en authenticatie vereenzelvigen. Een dergelijke invulling van de wet waarbij autorisatie gelijk wordt gesteld met authenticatie haalt de bescherming die de Europese en Belgische wetgever echter volledig onderuit.
In de door Ombudsfin aanhangig gemaakte dossiers komt slechts één type van internetfraude naar voor waarbij Ombudsfin in 2020 heeft gemeend dat de betaler wel heeft ingestemd met de betaling. In geval van kluisrekeningfraude doet de fraudeur zich voor als medewerker van de bank die het slachtoffer wijs maakt dat hij zal helpen om een frauduleuze verrichting te voorkomen door het geld van het slachtoffer veilig te stellen op een zogenaamde veilige kluisrekening. De fraudeur helpt het slachtoffer zogezegd bij het overzetten van de gelden naar de kluisrekening wat in werkelijkheid een bankrekening van de fraudeur is. Op dat ogenblik geeft het slachtoffer echter zelf via de app opdracht tot de betaling. Hoewel de betaler volledig is misleid en het slachtoffer is van oplichting, meent Ombudsfin dat hij in een dergelijk scenario wel degelijk ingestemd met de betalingsverrichting.
Gezien burgerrechtelijk de toestemming aangetast is door een wilsgebrek, valt het te betwijfelen of er wel degelijk sprake is van een vrije instemming. Het werkelijke doel van de transactie is ook niet gekend door de betaler…
Besluit
De wetgever heeft de betaler willen beschermen voor het verlies dat voortvloeit uit betalingsverrichtingen die hij niet heeft toegestaan. In principe draagt de betaler enkel een verlies van 50 euro op voorwaarde dat hij de niet toegestane transactie of fraude onmiddellijk meldt. Wanneer hij de fraude niet kon opsporen of wanneer er geen sprake meer is van een betaling met sterke cliëntauthenticatie, moet hij geen enkel verlies dragen.
Op dit principe bestaan een aantal uitzonderingen die in geval van internetfraude niet snel van toepassing zijn. Niettemin proberen sommige financiële instellingen deze uitzonderingen vaker in te roepen gezien de proporties die internetfraude de laatste jaren aanneemt. Daarnaast trachten sommige banken ook te ontsnappen aan de toepassing tout court van de wet door te stellen dat de betaler de betalingsverrichting wel heeft toegestaan. Nochtans loochent dergelijke benadering het principe van de onmiddellijke terugbetaling en zijn er in het geval van internetfraude slechts weinig situaties waarin kan aangetoond worden dat de betaler zijn toestemming tot de betalingsverrichting heeft gegeven.