Dat phishing brandend actueel is, blijkt ook uit de cijfers die de Federale Overheidsdienst (FOD) Financiën vorige maand publiceerde. In 2021 alleen al ontving de FOD maar liefst 14.905 meldingen van phishing. In een deel van de gevallen deden de fraudeurs zich zelfs voor als de FOD. Het aantal werkelijke gevallen van phishing ligt wellicht nog een pak hoger “omdat vele pogingen niet gesignaleerd worden en ook omdat vele burgers er zich niet van bewust zijn dat het om phishing gaat”.
Phishing, vishing, spoofing, … What’s in a name?
“Phishing” is een vorm van internetfraude waarbij fraudeurs op zoek gaan naar pincodes of persoonlijke gegevens van slachtoffers. Wellicht ontving je zelf ooit al een verdachte sms of e-mail waarbij je “dringend” werd verzocht om bijvoorbeeld je “rekening te deblokkeren” via een bepaalde link. Of misschien ging je al eens via een zoekmachine op zoek naar de site voor thuisbankieren, maar bleek het gevonden webadres een ongewone naam te hebben. Meer recent blijken fraudeurs in naam van de bank hun slachtoffers op te bellen (“voice-phishing” of “vishing”), waarbij ze zelfs gebruik maken van het nummer van de bank (“spoofing”).
Dat phishing brandend actueel is, blijkt ook uit de cijfers die de Federale Overheidsdienst (FOD) Financiën vorige maand publiceerde. In 2021 alleen al ontving de FOD maar liefst 14.905 meldingen van phishing. In een deel van de gevallen deden de fraudeurs zich zelfs voor als de FOD. Het aantal werkelijke gevallen van phishing ligt wellicht nog een pak hoger “omdat vele pogingen niet gesignaleerd worden en ook omdat vele burgers er zich niet van bewust zijn dat het om phishing gaat”.(1) Het feit dat vele slachtoffers zich schamen na in de val van de fraudeurs te zijn gelopen, speelt eveneens een rol.
Als reactie hierop nemen ook de anti-phishing-campagnes sterk toe. Banken proberen hun klanten te waarschuwen voor phishing- en andere frauderisico’s door middel van actuele phishing voorbeelden. Dat is ook nodig, want fraudeurs gaan steeds inventiever te werk en ontwikkelen geregeld nieuwe methodes om gegevens van slachtoffers te ontfutselen.
Banken lopen daarnaast het “risico” dat zij hun klanten moeten vergoeden voor de schade die zij oplopen door phishing. DGDM verdedigde recent met succes een slachtoffer van phishing in een zaak voor de Nederlandstalige ondernemingsrechtbank in Brussel.
De rechtszaak
In de bewuste zaak had het slachtoffer zich aangemeld op de internetbankingpagina van zijn bank, zoals hij dat steeds deed. Althans, daar ging het slachtoffer van uit. In werkelijkheid had hij zich aangemeld op een frauduleuze website identiek aan de website van zijn bank. Daags nadien bleek er ongeveer 5.000 euro van zijn rekening te zijn verdwenen, zonder dat hij hiervoor de opdracht had gegeven. Het slachtoffer lichtte onmiddellijk zijn bank en de politie in.
In eerste instantie stelde de bank dat het slachtoffer de bewuste verrichtingen had toegestaan doordat hij bewust met zijn gegevens had aangemeld. De bank weigerde over te gaan tot terugbetaling. Ondanks de tussenkomst van de ombudsman in financiële geschillen (Ombudsfin), die de argumentatie van de bank niet bijtrad, bleef de bank bij haar standpunt dat het slachtoffer grof nalatig zou zijn geweest, waardoor zij het slachtoffer weigerde te vergoeden.
De beslissing van de rechtbank
Wanneer een bank wordt aangesproken door een slachtoffer van phishing zal zij middels een grondige analyse van de feiten nagaan of het slachtoffer zelf voldoende kritisch is geweest met betrekking tot de kwestieuze betalingstransacties.
Daarbij zal de bank in eerste instantie nagaan of er sprake is van een “toegestane betalingstransactie”.
In onze zaak ging de bank uit van een door het slachtoffer toegestane betalingstransactie. Het slachtoffer had zich immers aangemeld op een frauduleuze website en had hierdoor op eigen initiatief zijn persoonlijke aanmeldgegevens vrijgegeven. De bank liet met andere woorden uitschijnen dat een slachtoffer slechts vrij van schuld zou zijn wanneer fraudeurs er zouden in slagen om, zonder enige handeling van het slachtoffer zelf, rekeningen te plunderen.
Dit is uiteraard een brug te ver en ook de rechtbank volgde dergelijke redenering niet. Volgens de rechtbank ging het hier wel degelijk om “niet-toegestane betalingstransacties”. De rechtbank verduidelijkte dat het slachtoffer zich weliswaar had aangemeld op een frauduleuze site en de fraudeurs via diverse handelingen zijn gegevens had doorgegeven. Maar het slachtoffer had uiteraard niet ingestemd met het feit dat de fraudeurs hierdoor zelf een mobiele applicatie konden installeren, noch met de betalingstransactie die de fraudeurs achteraf hebben uitgevoerd.
In tweede instantie zal een bank ook nagaan in welke mate een slachtoffer grof nalatig is geweest. Is het duidelijk dat een slachtoffer weinig kritisch is geweest bijv. nadat hij een verdachte mail had ontvangen, zal de bank niet aansprakelijk kunnen worden gesteld.
Ook dit aspect kwam aan bod in onze zaak. Omdat het slachtoffer via een zoekmachine had aangemeld op een website met een “vreemde” URL en omdat het slachtoffer volgens de bank veel meer stappen dan normaal zou hebben ondernomen om zich aan te melden, besloot zij dat het slachtoffer minstens grof nalatig was geweest. Ten slotte zou het slachtoffer volgens de bank tevens een bevestigingsmail hebben ontvangen en genegeerd.
De rechtbank weerlegde ook deze argumenten. Zo stelde de rechtbank dat uit het loutere feit dat het slachtoffer via een zoekmachine naar de website van de bank surfte en hierbij “geen acht sloeg op de URL” van de website waarop hij inlogde, niet volgt dat het slachtoffer grof nalatig was. Een grove nalatigheid vereist immers meer dan een “loutere onzorgvuldigheid”, aldus de rechtbank en het gedrag van het slachtoffer moet een aanzienlijke mate van onvoorzichtigheid vertonen.
Belangrijk hierbij is ook dat de rechtbank bevestigde dat de bewijslast bij de bank ligt. Zij moet bewijzen dat de klant “grof nalatig” is geweest. In deze zaak kon de bank haar argumenten niet hard maken.
Conclusie
Slachtoffers van phishing kunnen een houvast vinden in de wettelijke bepalingen omtrent niet-toegestane betalingstransacties om op die manier hun verliezen te recupereren bij de bank. Enkel wanneer blijkt dat het slachtoffer in feite had ingestemd met de kwestieuze transacties of indien deze een grove nalatigheid kan worden verweten, zal de bank haar klant niet hoeven te vergoeden.
Wat met de banken?
Aan de andere kant mag niet uit het oog worden verloren dat ook de banken zelf slachtoffer zijn van phishing. Het is een feit dat banken aanzienlijke inspanningen leveren om hun klanten te informeren over de gevaren van phishing en zich blijven inzetten om hun systemen adequaat te beveiligen. Wanneer hun klanten desondanks toch geconfronteerd worden met phishing-praktijken, is het zaak aan te tonen dat de klant in feite heeft ingestemd met de kwestieuze transacties of zelfs dat hij “grof nalatig” is geweest. Banken zullen dus niet alleen hun IT-veiligheid op punt moeten houden, maar tevens moeten beschikken over een transparant en aantoonbaar beleid ten aanzien van hun klanten.
Auteur: Freek De Corte, Advocaat De Groote De Man
(1) Een recordjaar voor phishing. (2022, 15 februari). FOD Financiën. Geraadpleegd op 12 maart 2022, van https://financien.belgium.be/nl/Actueel/een-recordjaar-voor-phishing