De rol van grove nalatigheid in het kader van de voorlopige terugbetalingsverplichting bij niet-toegestane betalingstransacties (Tijdschrift voor Belgisch Handelsrecht)

Auteur: Ward Bruneel (Tijdschrift voor Belgisch Handelsrecht)

Weinig juridische thema’s beheersen de actualiteit zo hardnekkig als phishing. Intussen is het geen understatement om te stellen dat deze fraudevorm pandemische proporties heeft aangenomen. Uit cijfers van de bankenfederatie Febelfin blijkt dat phishingbendes in 2024 maar liefst 49 miljoen euro buitmaakten in België[1]. Slachtoffers wiens bankrekening werd geplunderd, richten zich veelal tot hun bank om hun geleden schade te recupereren. Daarbij kunnen ze zich beroepen op een bijzonder aansprakelijkheidsregime voor niet-toegestane betalingstransacties uit Boek VII WER, dat de omzetting vormt van de Payments Services Directive II (PSD2)[2].

Op papier oogt dit aansprakelijkheidsregime bijzonder consumentvriendelijk. Dit blijkt onder meer uit de voorlopige terugbetalingsverplichting (art. VII.43, §1 WER) die de bank verplicht om de betaalrekening van het slachtoffer voorlopig opnieuw te crediteren met het bedrag van de niet-toegestane betalingstransactie(s). In de praktijk blijkt evenwel dat deze verplichting niet altijd even strikt wordt nageleefd[3]. Zo argumenteren banken vaak dat de verrichting als ‘toegestaan’ moet worden beschouwd of dat het slachtoffer grof nalatig heeft gehandeld, doorgaans zonder concrete motivering. Hierdoor komt de bal in het kamp van het slachtoffer te liggen, dat zelf juridische stappen moet ondernemen als hij zijn geld wil terugzien. Velen onder hen zijn hiertoe niet bereid en gooien de handdoek in de ring.

Feitenrelaas

Dit was anders in de zaak die recent aan de voorzitter van de ondernemingsrechtbank in Antwerpen werd voorgelegd. Daarin werd een hoogbejaard koppel het slachtoffer van telefonische phishing, ook wel ‘vishing’ genoemd. Tijdens het uitvoeren van een overschrijving werden zij opgebeld door een oplichter die zich valselijk voordeed als een medewerker van hun bank. Wat zich daarna precies heeft afgespeeld, is niet geheel duidelijk.

Wel staat vast dat het koppel later die dag opmerkte dat hun rekening voor een totaalbedrag van 49.958 EUR was gedebiteerd ten voordele van een onbekende Portugese begunstigde. De bank ging echter niet in op het verzoek om de gedebiteerde bedragen terug te betalen, waarna het koppel een dagvaarding in kortgeding liet betekenen.

Hoogdringendheid bij betaalfraude

Om in kortgeding te kunnen procederen, moet het koppel allereerst aantonen dat er sprake is van hoogdringendheid[4]. Dit veronderstelt dat een onmiddellijke beslissing wenselijk is om schade van een bepaalde omvang, dan wel ernstige ongemakken te voorkomen[5]. Bij die beoordeling beschikt de voorzitter van de ondernemingsrechtbank, zetelend in kortgeding, over een ruime feitelijke beoordelingsvrijheid[6].

In casu oordeelde de voorzitter dat deze voorwaarde was vervuld. Deze hoogdringendheid werd afgeleid uit de korte termijn waarbinnen de wetgever de bank verplicht om tot voorlopige terugbetaling over te gaan. Ingevolge art. VII.43, §1 WER moet dit immers ‘onmiddellijk’ en  ‘in elk geval uiterlijk aan het einde van de eerstvolgende werkdag’ gebeuren. Daarnaast hield de voorzitter er ook rekening mee dat een normale rechtspleging vaak jarenlang kan duren, terwijl het koppel de gelden net dringend nodig had om in hun levensonderhoud te voorzien.

De ‘klassieke’ ontsnappingsroute van de bank

Ten gronde steunde het verweer van de bank precies op de twee argumenten waarnaar eerder al werd verwezen en die geregeld in phishingzaken opduiken:

1. In hoofdorde werd geargumenteerd dat het koppel had ingestemd met de frauduleuze  betalingstransacties. Volgens de bank volgde deze instemming uit het feit dat de correcte authenticatieprocedures werden doorlopen. Hierdoor zouden de transacties als ‘toegestaan’ kwalificeren.
2. In ondergeschikte orde werd geargumenteerd dat het koppel überhaupt geen aanspraak kon maken op voorlopige terugbetaling omdat zij grof nalatig zouden hebben gehandeld.

Authenticatie ≠ autorisatie

Niet geheel onlogisch vond het eerste argument geen weerklank in rechte. Intussen is het immers duidelijk dat er een onderscheid moet worden gemaakt tussen autorisatie (of instemming) en authenticatie. Dit volgt onder meer uit het arrest Eurobank Bulgaria, waarin het Hof van Justitie bevestigde dat beide niet zomaar met elkaar kunnen worden gelijkgesteld[7].

Dezelfde redenering wordt ook gevolgd in de Payments Services Regulation (PSR)[8], waarover inmiddels een politiek akkoord is bereikt. Zo vermeldt art. 49 van het PSR-voorstel dat er geen sprake is van instemming ‘where the transaction was initiated or modified by a third party who is acting without the consent of the payment service user, including by using the personalised security credentials of the payment service fraudulently obtained’.

Eerst betalen, daarna pas argumenteren

Ook het tweede argument werd door de voorzitter van tafel geveegd. Net zoals advocaat-generaal Rantos eerder al had beklemtoond in Tukowiecka[9], werd geoordeeld dat een vermoeden van grove nalatigheid geen grond vormt om de voorlopige terugbetaling te weigeren. De wet stelt immers dat zo’n weigering slechts in één situatie is toegelaten: wanneer er redelijke gronden zijn om fraude in hoofde van het slachtoffer te vermoeden én de bank daarvan schriftelijk melding maakt aan de bevoegde nationale autoriteit (lees: de FOD Economie)[10].

Het feit dat grove nalatigheid niet kan worden ingeroepen om de voorlopige terugbetaling te weigeren, betekent evenwel niet dat consumenten zich voortaan zomaar roekeloos mogen gedragen. Wanneer de bank meent dat er grove nalatigheid in het spel is, kan zij achteraf nog steeds een gerechtelijke procedure instellen om de terugbetaalde bedragen terug te vorderen. Daarbij zal zij wel concrete elementen moeten aanreiken om haar standpunt te onderbouwen. Een loutere bewering dat het slachtoffer grof nalatig heeft gehandeld zonder verdere motivering, zoals nu vaak gebeurt, zal dus niet volstaan.

Hoewel deze kortgedingbeschikking slechts een voorlopig karakter heeft, zal ze in de bankensector wellicht voor de nodige zenuwachtigheid zorgen. Voor het eerst in de gepubliceerde Belgische rechtspraak wordt immers het principe ‘eerst betalen, daarna pas argumenteren’[11] zo concreet uitgewerkt. De bank kan zich aldus niet langer verschuilen achter een vermeende grove nalatigheid om haar voorlopige terugbetalingsverplichting te omzeilen. Op die manier draagt deze uitspraak bij tot een sterkere consumentenbescherming op de EU-betaalmarkt.

Wat brengt de toekomst?

Toch is enige voorzichtigheid op zijn plaats, aangezien het PSR-voorstel opnieuw een andere richting uitgaat dan wat in deze kortgedingbeschikking werd beslist. In de meest recente tekst komt de EU-wetgever de bankensector namelijk tegemoet door de uitzondering op de voorlopige terugbetalingsverplichting open te trekken. Terwijl een weigering vandaag enkel kan worden gerechtvaardigd door redelijke gronden om fraude van het slachtoffer te vermoeden, zou dit in de toekomst ook mogelijk zijn indien er ‘objectively justified reasons’ zijn om opzet of grove nalatigheid aan te nemen[12]. Hierover is het laatste woord ongetwijfeld nog niet gezegd…

[1] Voor 2025 zijn momenteel nog geen cijfers bekend. Zie FEBELFIN, “If it smells phishy, it probably is”, 4 augustus 2025, https://febelfin.be/en/press-room/fraude-veiligheid/if-it-smells-phishy-it-probably-is.

[2] Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten  in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, Pb.L. 23 december 2015, https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex:32015L2366.

[3] DE WAELE B., “Aansprakelijkheidsverdeling bij niet-toegestane betalingstransacties”, BFR 2023, afl. 3, (196) 203-204.

[4] Art. 584 Ger. W.

[5] Cass. (1e k.) 3 mei 2018, AR C.17.0387.N., RW 2018-19, afl. 15, 586.

[6] Cass 17 maart 1995, AR C.93.0204.N, RW 1996-97, 99.

[7] HvJ 11 juli 2024, C-409/22, ECLI:EU:C:2024:600, UA/Eurobank Bulgaria

[8] Proposal for a Regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulations (EU) No 1093/2010, (EU) No 260/2012, (EU) 2017/2394, (EU) 2021/1230 and (EU) 2023/114, https://data.consilium.europa.eu/doc/document/ST-8221-2026-INIT/en/pdf. 

[9] RANTOS A., ‘Conclusie van 5 maart 2026 bij HvJ, C-70/25, Tukowiecka, ECLI:EU:C:2026:153.

[10] Art. VII.43, §1, eerste lid, in fine WER

[11] GUIMARÃES M.R. en STEENNOT R., “Allocation of Liability in Case of Payment Fraud: Who Bears the Risk of Innovation? A Comparison of Belgian and Portuguese Law in the Context of PSD2”, ERPL 2022, (29) 48.

[12] Art. 56(1) PSR-voorstel

Bron: Tijdschrift voor Belgisch Handelsrecht