Rechtbank wijst vordering tot schadevergoeding na phishingfraude af

Rb. Amsterdam 12 juni 2024, IT 4756; ECLI:NL:RBAMS:2024:3461 (eisende partij tegen Bunq) Eisende partij is slachtoffer geworden van phishing, waarbij haar persoonlijke inloggegevens zijn buitgemaakt via een frauduleuze website. Vervolgens is op 8 juli 2022 een nieuw apparaat gekoppeld aan haar online bankomgeving, waarna haar e-mailadres werd gewijzigd en een bedrag van € 44.175 naar een buitenlandse rekening werd overgeboekt. Eisende partij vordert dat de bank haar dit bedrag vergoedt, omdat zij van mening is dat de bank onvoldoende veiligheidsmaatregelen heeft genomen om haar tegen deze fraude te beschermen. De bank voert verweer en stelt dat eisende partij zelf nalatig is geweest door haar inloggegevens op een niet-officiële website in te vullen. Daarnaast vordert eisende partij de vernietiging van bepaalde algemene voorwaarden van de bank, die zij als onredelijk bezwarend beschouwt.

De rechtbank oordeelt dat de bank niet aansprakelijk is voor de schade die eisende partij heeft geleden door de phishingfraude. De rechtbank stelt vast dat de bank voldoende veiligheidsmaatregelen heeft genomen, zoals het verzenden van waarschuwingsberichten en het instellen van een afkoelingsperiode van 24 uur voor transacties boven de € 500 vanaf een nieuw gekoppeld apparaat. De rechtbank concludeert dat eisende partij zelf nalatig is geweest door haar inloggegevens op een frauduleuze website in te vullen en niet tijdig actie te ondernemen na de ontvangen waarschuwingen. Hierdoor is sprake van grove nalatigheid aan de kant van eisende partij, waardoor de bank zich terecht beroept op artikel 7:529 lid 1 BW. De vorderingen van eisende partij, inclusief de vernietiging van de algemene voorwaarden, worden daarom afgewezen.

4.12. De rechtbank volgt het beroep van de Bank op grove nalatigheid aan de kant van [eisende partij] vanwege het volgende. Op zich is invoelbaar dat [eisende partij] na ontvangst van het phishing-bericht (7 juli 2022, 19:54 uur) op de link heeft geklikt in de veronderstelling dat ze met de Bank van doen had. Dit kan als een menselijke fout gezien worden die ook anderen had kunnen overkomen. Maar vervolgens had [eisende partij] haar fout kunnen inzien en herstellen en dit had ook van haar verwacht mogen worden. Daar gaf het systeem van de Bank [eisende partij] namelijk voldoende tijd en gelegenheid voor. [eisende partij] ontving dezelfde avond (22:20) het bankbericht over een new device terwijl daar bij [eisende partij] geen sprake van was. Vervolgens heeft de Bank dezelfde avond om 22:45 uur [eisende partij] gemaild met het waarschuwingsbericht dat er met een nieuwe iPhone was ingelogd. [eisende partij] had toen 24 uur de tijd om deze signalen op te pakken en zich te realiseren dat er “iets” met een nieuw apparaat gebeurde, terwijl [eisende partij] geen nieuw apparaat probeerde te koppelen. Na deze afkoelingsperiode werd het in de avond van 8 juli 2022 voor de fraudeur mogelijk om op de nieuw gekoppelde iPhone in te loggen met [eisende partij] persoonlijke codes, haar e-mailadres te wijzigen en transacties van boven de € 500 te verrichten als gevolg waarvan [eisende partij] haar volledige saldo verloor. Kortom, de combinatie van de volgende factoren maakt dat het systeem van de Bank in dit geval voldoende heeft gedaan om [eisende partij] tegen een menselijke fout te beschermen op het gebied van phishing:

de diverse vooraf gedeelde algemene waarschuwingen en veiligheidsvoorschriften om bekendheid met phishing preventief onder de aandacht van haar klanten te brengen,

het verzenden van een bericht met het verzoek te bevestigen dat een new device gekoppeld moet worden (het bankbericht), 

de waarschuwingsmail die direct dezelfde avond naar [eisende partij] werd verstuurd, 

e afkoelingsperiode van 24 uur voor transacties van meer dan € 500 vanaf een nieuw gekoppeld apparaat.

4.13. Bij deze stand van zaken is de Bank niet verplicht om, in plaats van waarschuwingsberichten actief te bellen (zoals [eisende partij] op zitting nog heeft aangevoerd). Het staat de Bank vrij om ter voorkoming van helpdeskfraude geen telefonisch contact met klanten te voeren en daarom slechts via andere kanalen informatie te verstrekken. Op die manier weten klanten dat het per definitie een fraudepoging is als iemand belt die zich voordoet als van de Bank, omdat de Bank dat nooit doet (zoals door de Bank in reactie is toegelicht).

4.14. Het vorenstaande leidt tot de slotsom dat de niet toegestane betaling het gevolg is van grove nalatigheid bij een onveilig gebruik van het betaalinstrument, waardoor het beroep van de Bank op artikel 7:529 lid 1 BW slaagt. Uit het voorgaande volgt ook dat toerekenbaar tekortschieten van de Bank in haar zorgplicht niet kan worden aangenomen, nu niet is gebleken dat zij in dit geval haar systemen anders had moeten inrichten. Dat betekent dat [eisende partij] zelf de verliezen draagt van de niet toegestane betaling. De hoofdsom en nevenvorderingen worden dus afgewezen.