Slachtoffer van phishing? De bank is verplicht je te vergoeden!

Burgerlijk recht, Strafrecht

1. Inleiding

Tegenwoordig krijgen de cybercriminelen er niet genoeg van. Via e-mail of sms proberen ze inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens van jou te achterhalen.

Ze geven zich dan uit als je bank, creditcardmaatschappij of een andere betrouwbare instantie met de boodschap dat ze je gegevens willen controleren vanwege een update of dat je rekening is geblokkeerd. Of je zou een prijs hebben gewonnen of een erfenis krijgen.

Door de betrouwbaar ogende afzender kan je geneigd zijn in te gaan op het verzoek om je inloggegevens of pincode te geven. Het risico is dan groot dat je rekening de daarop volgende uren geplunderd werd.

Als je slachtoffer bent van phishing, doe je best twee zaken zo snel mogelijk: 1) onmiddellijk aangifte doen bij de politie en 2) je bank op de hoogte brengen van deze phishingactie.

Maar wat als deze laatste weigert om je te vergoeden? Kan je dan actie ondernemen tegen je bank?

2. Wat is phishing en hoe herken je het?

Phishing is een vorm van cybercriminaliteit waarbij het potentiële slachtoffer wordt benaderd via e-mail, sms, instant messaging, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders. Dat kan je bank, energieleverancier of een technologiebedrijf zijn, maar evenzeer een vriend of familielid.

Het doel is om te “hengelen” (“phishing” in het Engels) naar gevoelige gegevens, zoals persoonlijke informatie, wachtwoorden, bank- of kredietkaartgegevens. Eens hij/zij die gegevens heeft buitgemaakt krijgt de oplichter vrij spel: hij/zij kan er bijvoorbeeld toegang mee krijgen tot belangrijke accounts van het slachtoffer, zijn geld of identiteit stelen.

Een phishing-bericht kan je vaak aan de volgende elementen herkennen:

  • De mail is niet aan de klant persoonlijk gericht, maar begint met een algemene opening als "geachte klant".

  • De mail bevat taal- en stijlfouten.

  • Er wordt gesuggereerd dat het account "geverifieerd" (op juistheid onderzocht en bevestigd) moet worden met de inloggegevens van de klant.

  • Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan de mail.

  • De link waarnaar wordt verwezen bevat subtiele verschillen met de originele link, zoals een andere extensie of andere schrijfwijze.

  • De afzender correspondeert niet met de naam van het bedrijf.

3. De wetgever biedt een oplossing

In de meeste gevallen is het een onmogelijke zaak om het geld te gaan recuperen bij de cybercriminelen die je rekening leeggemaakt hebben.

Gelukkig heeft de wetgever in een oplossing voorzien: op basis van artikel 44 van het Wetboek economisch recht (hierna WER genoemd) kan je immers als slachtoffer van phishing je bank aanspreken.

Artikel VII. 44 WER biedt immers bescherming in geval van niet-toegestane betalingstransacties met een betaalinstrument. Naast het verlies en diefstal van een betaalinstrument, valt ook het onrechtmatig gebruik van een betaalinstrument (bvb. phishing of smishing) hier onder.

Voor transacties vóór kennisgeving aan de bank ben je als klant aansprakelijk, maar is je aansprakelijkheid beperkt tot een bedrag van 50 euro, wat dus wil zeggen dat de bank alles moet terugbetalen behalve 50 euro.

Daarentegen draag je als betaler geen enkel verlies als je het onrechtmatig gebruik van je betaalinstrument niet vaststelde voor dat er geld van je rekening gehaald werd. De wetgever geeft voor deze laatste hypothese zelf het voorbeeld van phishing, zodat duidelijk is dat phishing valt onder de situatie waarin je als klant nooit aansprakelijk zal zijn, tenzij je frauduleus, opzettelijk of met grove nalatigheid hebt gehandeld.

In de praktijk proberen banken vaak te ontsnappen aan hun plicht om de slachtoffers van phishing te vergoeden door te stellen dat de betaler grof nalatig is geweest.

De vraag die zich vervolgens stelt is wat er onder een grove nalatigheid moet worden verstaan.

Dit wordt niet wettelijk bepaald. De rechter zal inzake rekening dienen te houden met het geheel van de feitelijke omstandigheden.

Kan er sprake zijn van een grove nalatigheid indien de klant doorklikt op een link en zijn gegevens meedeelt? Dit lijkt niet het geval te zijn. Er moet immers een onderscheid worden gemaakt tussen een onachtzaamheid en een grove nalatigheid.

Er kan tenslotte maar sprake zijn van een grove nalatigheid indien het gedrag van de betaler een aanzienlijke mate van onvoorzichtigheid vertoont.

Een voorbeeld van een grove nalatigheid is het, op een gemakkelijke en herkenbare wijze, noteren van de eigen veiligheidsgegevens (zoals het noteren van de pincode op de bankkaart).

Hoe dan ook ligt de bewijslast voor het aantonen van een grove nalatigheid bij de bank.

4. Besluit

Als je het slachtoffer bent van phishing, moet je dit zo snel mogelijk melden aan je bank en klacht neerleggen bij de politie.

Als je bank weigert om het weggemaakte bedrag terug te betalen, zal je deze in gebreke moeten stellen.

Ben je slachtoffer van phishing en weigert je bank om je te vergoeden, aarzel dan niet contact met ons op te nemen. Wij kunnen je zeker helpen om je geld te recupereren.

 

Lauranne Van Daele, 21/10/2021

Wij zorgen voor oplossingen.