Eerste (juridische) hulp bij phishing: wie draagt het financieel risico? (Reyns Advocaten)

Auteur: Marthe Nowé (Reyns Advocaten)

Phishing is een intussen welbekende vorm van cybercriminaliteit waarbij men tracht “te vissen” naar persoonlijke informatie van een persoon om deze vervolgens frauduleus te gebruiken. Via phishing kan een fraudeur persoonlijke gegevens achterhalen en gebruiken om bijvoorbeeld op afstand betalingstransacties uit te voeren. Dit resulteert vaak in grote financiële schade voor het slachtoffer. De vraag die zich stelt is: wie draagt deze financiële schade?

In onderstaande blogpost staan wij stil bij de wettelijk relevante bepalingen in het kader van phishing en geven wij u mee in welke mate het slachtoffer de ontvreemde gelden kan recupereren.

1. Strafrechtelijk: het misdrijf informaticafraude (artikel 504quater, §1 SW.)

Vooreerst maakt phishing een strafbare gedraging uit waarvan de strafbaarstelling ligt vervat in het meer algemene misdrijf informaticafraude. Artikel 504 quater, §1 van het Strafwetboek sanctioneert een gedraging waarbij de dader, voor zichzelf of voor een ander, met bedrieglijk opzet een onrechtmatig economisch voordeel tracht te verwerven of realiseert door middel van gegevensmanipulatie. Dit misdrijf wordt bestraft met een gevangenisstraf van zes maanden tot vijf jaar en/of met een geldboete van 208 euro tot 800.000 euro.

Vaak is het evenwel moeilijk om de dader te identificeren waardoor het slachtoffer met lege handen achterblijft.

2. Burgerrechtelijk: aansprakelijkheidsregeling met betrekking tot niet-toegestane betalingstransacties

Een tweede mogelijkheid voor het slachtoffer om schadeloos te worden gesteld, betreft de aansprakelijkheid van de betalingsdienstaanbieder (de bank). De wetgever voorziet in een bijzondere aansprakelijkheidsregeling die betalingsdienstgebruikers die het slachtoffer zijn geworden van fraude moet beschermen.

Niet-toegestane betalingstransactie 

Een eerste voorwaarde voor deze aansprakelijkheidsregeling is het bestaan van een niet-toegestane betalingstransactie, met name een transactie waarmee de betaler niet heeft ingestemd. De bijzondere aansprakelijkheid van de bank geldt dus niet wanneer het slachtoffer zelf de opdracht heeft gegeven om het bedrag op een welbepaalde rekening over te maken.

Kennisgeving 

Ten tweede moet het slachtoffer vanaf het ogenblik dat hij kennis heeft van het onrechtmatig gebruik van zijn betaalinstrument, de bank hiervan onmiddellijk in kennis stellen.

De wetgever heeft in dit verband voorzien in een absolute vervaltermijn. De bank zal niet meer kunnen worden aangesproken indien het slachtoffer nalaat de bank uiterlijk 13 maanden na de valutadatum van de debitering in kennis te stellen. Daarnaast is de kennisgevingsvereiste ook van belang voor de verdeling van aansprakelijkheid.

Verdeling van aansprakelijkheid 

Het slachtoffer is namelijk in principe beperkt aansprakelijk voor transacties die plaatsvinden voor de kennisgeving en dit voor een maximaal bedrag van 50 euro. Indien er na de kennisgeving van het slachtoffer nog niet-toegestane betalingstransacties plaatsvinden is de bank hiervoor aansprakelijk. Op deze verdeling van aansprakelijkheid bestaan twee uitzonderingen.

Bevrijding van het slachtoffer voor alle verlies 

De eerste uitzondering bevrijdt het slachtoffer van alle verlies waardoor hij geen enkele aansprakelijkheid draagt, zelfs niet voor 50 euro. Dit is het geval wanneer het slachtoffer het onrechtmatig gebruik van een betaalinstrument niet kon vaststellen voordat er een betaling plaatsvond, bijvoorbeeld op het ogenblik van controle van zijn rekening na de frauduleuze betaling.

Om te voldoen aan deze uitzondering zal men nagaan of rekening houdend met alle omstandigheden een gemiddeld persoon in die omstandigheden phishing had moeten detecteren.

Aansprakelijkheid van het slachtoffer voor alle verliezen 

De tweede uitzondering heeft het tegenstelde resultaat, namelijk dat het slachtoffer zelf moet instaan voor alle verliezen. Dit is het geval bij frauduleus handelen van de betaler zelf, opzet of wanneer door grove nalatigheid de betaler één of meer van de in artikel VII. 38 WER genoemde verplichtingen niet is nagekomen. In essentie gaat het om de verplichting om zorgvuldig met de betalingsgegevens om te gaan of om de verplichting om de bank in kennis te stellen van het onrechtmatig gebruik.

Wat nu een grove nalatigheid uitmaakt, wordt niet gedefinieerd door de wet. Wel stelt de rechtspraak dat een grove nalatigheid meer vereist dan een loutere onzorgvuldigheid. Zo besloot het Hof van Beroep te Antwerpen tot een grove nalatigheid omdat (i) de e-mail met een hyperlink die werd gestuurd argwaan had moeten wekken (geen officieel e-mailadres, geen logo of verwijzing naar website van bank, een dt-fout,…) (ii) het daaropvolgend telefonisch contact – op zaterdag – eveneens twijfelachtig was en, (iii) het telefonisch doorgeven van de PIN-code en authenticatiecodes een schending uitmaakt van de verplichtingen die op de betaler rusten.

Het is aan de bank om in dat verband aan te tonen dat er sprake is van een grove nalatigheid in hoofde van de betaler.

3. Besluit

Als slachtoffer van phishing geniet u wettelijke bescherming, zowel strafrechtelijk als burgerrechtelijk. Phishing maakt een misdrijf uit waardoor de fraudeur – indien deze kan worden geïdentificeerd – strafbaar kan worden gesteld. Daarnaast kan ook de bank aansprakelijk worden gesteld waardoor u als slachtoffer geheel of gedeeltelijk schadeloos wordt gesteld, tenzij aan het slachtoffer een grove nalatigheid kan worden verweten.

Bron: Reyns Advocaten