Rechtbank Amsterdam, 12 juni 2024, Wie is verantwoordelijk voor phishingfraude?
(ECLI:NL:RBAMS:2024:3461)
Essentie
In deze zaak gaat het om een klant die slachtoffer werd van phishingfraude en daardoor € 44.175 verloor. De klant vorderde schadevergoeding van de bank, stellende dat de bank haar zorgplicht had verzaakt. De rechtbank oordeelde echter dat de bank voldoende veiligheidsmaatregelen had genomen en dat de klant grove nalatigheid had vertoond door haar gegevens op een valse website in te vullen en de waarschuwingssignalen van de bank te negeren.
Rechtsregel
Een bank is bij phishingfraude niet verplicht het gestolen bedrag terug te betalen als de klant grove nalatigheid vertoont. Dit betekent dat de klant zelf verantwoordelijk is voor de geleden schade als de hij veiligheidswaarschuwingen en signalen van de bank negeert. De bank moet echter wel voldoende veiligheidsmaatregelen hebben genomen.
Feiten
Op 7 juli 2022 ontving eiser een sms-bericht dat leek te komen van haar bank. In het bericht stond dat haar gegevens niet volledig geverifieerd waren en dat ze op een link moest klikken om blokkade van haar account te voorkomen. Eiser klikte op de link, die leidde naar een valse website waar ze haar persoonlijke inloggegevens invulde.
Diezelfde avond om 22:20 uur ontving eiser een sms van haar echte bank waarin stond dat ze op een link moest klikken om haar inlogpoging op een nieuw apparaat te bevestigen, met de waarschuwing dat de bank en haar medewerkers nooit om het delen van dergelijke links zouden vragen. Om 22:45 uur ontving ze een e-mail van de bank waarin werd bevestigd dat er was ingelogd op een nieuw apparaat (iPhone) vanaf een nieuw IP-adres. De e-mail adviseerde eiser om haar inloggegevens te wijzigen als ze niet zelf had ingelogd op een nieuw apparaat en contact op te nemen met het supportteam als ze geen toegang meer had tot haar account.
De bank hanteerde een afkoelingsperiode van 24 uur voor het verrichten van transacties boven € 500 en het wijzigen van persoonsgegevens, zoals e-mailadres en telefoonnummer, vanaf een nieuw gekoppeld apparaat. Op 8 juli 2022 om 22:34 uur werd vanaf het nieuw gekoppelde apparaat ingelogd op de online bankomgeving van eiser en werd haar e-mailadres gewijzigd. Tussen 22:37 en 22:51 uur werd het volledige saldo van eiser, terd waarde van € 33.190, overgeboekt naar een buitenlandse rekening van Finlux Tech Pay LTD. In hetzelfde tijdsbestek werd een bedrag van € 10.985, dat op de rekening van eiser was bijgeschreven, eveneens overgemaakt naar Finlux, waardoor in totaal € 44.175 van haar rekening werd afgeschreven.
Oordeel rechtbank
De rechtbank oordeelde dat het standpunt van eiser over algemene risicoverschuiving niet concreet genoeg was om haar vordering te ondersteunen. De bank had voldoende veiligheidsmaatregelen genomen door waarschuwingen te geven en een afkoelingsperiode van 24 uur in te stellen voor grote transacties vanaf een nieuw gekoppeld apparaat. Deze maatregelen boden eiser voldoende tijd om actie te ondernemen na de waarschuwingsberichten van de bank.
De rechtbank verwierp het argument van eiser dat de algemene voorwaarden van de bank onredelijk bezwarend waren. Deze voorwaarden benadrukken de eigen verantwoordelijkheid van klanten in het voorkomen van phishing, wat de zorgplicht van de bank overigens niet vermindert. De veiligheidsvoorschriften en waarschuwingen waren niet oneerlijk of onredelijk bezwarend.
Daarnaast oordeelde de rechtbank dat eiser grove nalatigheid had vertoond door haar persoonlijke inloggegevens op een valse website in te vullen en vervolgens niet adequaat te reageren op de waarschuwingsberichten van de bank. Hierdoor was de niet-toegestane betaling het gevolg van haar eigen nalatigheid, waardoor de bank niet verplicht was om het gestolen bedrag terug te betalen.
Als gevolg hiervan wees de rechtbank alle vorderingen van eiser af, en veroordeelde haar tot betaling van de proceskosten.