"Phishing kostte Belgen 34 miljoen euro", "FOD Financiën waarschuwt voor frauduleuze mails: 'Niet reageren'", "Ook Test Aankoop waarschuwt voor phishingberichten in naam van bpost én van FOD Financiën". Deze krantenkoppen komen u waarschijnlijk niet onbekend voor. Criminelen hebben ontdekt dat het voor hen veel eenvoudiger en ook veel veiliger is om digitaal bij iemand in te breken dan om zich met een koevoet ter plaatse te begeven. Maar de vraag rijst wie aansprakelijk is voor de schade die u oploopt als u daar nietsvermoedend op in gaat.

Ook u heeft ongetwijfeld al e-mails ontvangen van (beweerdelijk) uw bank waarin u wordt aangemaand om dringend een verificatie van uw gegevens te doen, een (valse) sms van bpost met daarin een link naar een pakket of een bericht van de FOD Financiën met een link naar een terugbetaling of een premie waarop u recht zou hebben.

Al deze berichten hebben één ding gemeen: ze lijken (soms) zeer echt maar zijn afkomstig van criminelen en ze hebben louter tot doel uw bankrekeningen te plunderen. Klik op de link en volg de verschillende stappen en u kan er op vertrouwen dat uw bankrekeningen kort daarna worden geplunderd. Cybercriminelen deinzen er zelfs niet voor terug om hele websites van banken na te bouwen om geen argwaan op te wekken. Deze vorm van criminaliteit (‘phishing’) wordt dan ook steeds gesofisticeerder.

De vraagt rijst wie nu aansprakelijk is voor de schade in geval van phishing.

In 2018 werd een wetswijziging doorgevoerd waardoor de banken principieel aansprakelijk zijn voor de schade in geval van phishing. Uw bank is dan ook verplicht om de volledige door u geleden schade (min 50 euro) te vergoeden.

Hierop bestaat echter wel een belangrijke uitzondering. Indien de bank kan aantonen dat u zelf op grove wijze nalatig bent geweest in het kader van de phishing, draait u zelf op voor de volledige schade. En, zoals te verwachten en te vrezen, beroepen de banken zich graag op deze bepaling om terugbetaling van de ontvreemde gelden te weigeren.

Maar wat wordt nu als een 'grove nalatigheid' beschouwd ? De wetgever zelf heeft dit niet gedefinieerd en heeft het bijgevolg aan de rechtbanken en hoven van beroep gelaten om dit criterium concreet in te vullen.

Grove nalatigheid is de overtreffende trap van gewone nalatigheid. Waar nalatigheid iets is dat iedereen al eens kan overkomen, moet grove nalatigheid eerder worden gekwalificeerd als een echte stommiteit.

Gelet op het relatief recent karakter van deze wetgeving, bestaat er nog niet veel rechtspraak over hoe het criterium 'grove nalatigheid' in concreto beoordeeld moet worden.

Voorlopig moeten we voornamelijk afgaan op een arrest waarin het hof van beroep te Antwerpen oordeelde dat er in dat geval wel degelijk sprake was van grove nalatigheid.

Het hof baseerde zich daarvoor onder andere op de vaststelling dat de e-mail niet afkomstig was van een e-mailadres (gelijkend op een e-mailadres) van de bank, de desbetreffende e-mail geen logo van de bank bevatte en er evenmin werd doorverwezen naar een (nagemaakte) website van de bank.

Wat kunnen we uit dit arrest leren? Wel, dat het steeds een feitenkwestie zal zijn. De rechtbank zal steeds geval per geval bekijken hoe listig de phishing-poging was en hoe realistisch de valse e-mail, sms en/of website was. Waren deze zeer overtuigend en amper van echt te onderscheiden, dan is de kans reëel dat de rechtbank zal oordelen dat er geen sprake was van grove nalatigheid en dat de bank gehouden zal zijn tot terugbetaling van de ontvreemde bedragen. Is het echter een amateuristische e-mail of website, dan zal de rechtbank waarschijnlijk oordelen dat het een grove nalatigheid betreft.

Dit is des te meer de les die we moeten onthouden nu de banken proactief en regelmatig hun klanten via e-mail, klassieke media en social media waarschuwen voor phishing en benadrukken dat men nooit zijn geheime code aan derden mag meedelen. Het lijkt ons trouwens niet onrealistisch dat rechtbanken in de toekomst nog strenger zullen oordelen voor de slachtoffers, nu het fenomeen van phishing (en hoe je er tegen te beschermen) meer en meer bekend wordt.

Interessant om aan te stippen is ook dat het hof (en ook de rechtbanken in eerste aanleg) evenmin rekening hebben gehouden met de leeftijd van het slachtoffer. De rechtbanken nemen voor het criterium 'grove nalatigheid' als maatstaf "de veronderstelde gedragswijze van een normaal zorgvuldig en omzichtig betaler, geplaatst in dezelfde concrete externe omstandigheden, waarbij geen rekening mag worden gehouden met kenmerken eigen aan de betaler, zoals i.e. de leeftijd."

Tot slot nog even melden dat u als slachtoffer van phishing bij weigering door uw bank, eveneens beroep kan doen op "Ombudsfin", de ombudsdienst voor financiële diensten. Deze ombudsdienst bemiddelt en stelt een verslag op met een voorstel doch de banken zijn niet gebonden door dit verslag of voorstel. In de praktijk komt het dan ook (zeer) regelmatig voor dat de banken het oordeel van Ombudsfin naast zich neerleggen. Op dat moment kan u niet anders dan u tot de rechtbank wenden.

Indien u vaststelt dat u het slachtoffer bent geworden van phishing, moet u meteen uw bank contacteren om het misbruik van uw rekeningen stop te zetten. Wij raden u aan om ons aansluitend zo snel mogelijk te contacteren zodat we er samen voor kunnen zorgen dat de aangifte bij de bank zo goed mogelijk wordt gedaan en er geen voor u nadelige verklaringen worden afgelegd.

Roeland Moeyersons, Seeds of Law